[PEDIEN] 개정 개인정보보호법 컴플라이언스가 올여름 한국 기업의 최대 현안으로 떠올랐다.
오는 9월 11일 시행되는 개정법이 과징금 상한을 전체 매출액의 3%에서 10%로 끌어올리고, 대표이사(CEO)를 개인정보 보호의 최종 책임자로 못 박았기 때문이다.
본지가 국회 본회의를 통과한 개정법률과 개인정보보호위원회의 시행령 입법예고안, 그리고 최근 확정된 대형 제재 사례를 교차 분석한 결과, 이번 개정은 단순한 벌칙 강화가 아니라 데이터 유출을 '기술 사고'에서 '경영 실패'로 재정의하는 구조적 전환으로 읽힌다.
기업이 어느 유형에 속하느냐에 따라 대응의 무게중심이 완전히 달라진다는 점이 이번 분석의 핵심이다.
먼저 사실관계부터 정리하자.
개정 개인정보보호법은 2026년 2월 12일 국회 본회의를 통과했고, 시행일은 9월 11일로 정해졌다.
개인정보보호위원회는 6월 1일부터 7월 13일까지 시행령 개정안을 입법예고 중이다.
즉 이 기사가 나가는 시점은 법률은 확정됐으나 하위 법령의 세부 기준이 막 윤곽을 드러낸, 기업 실무진에게는 가장 예민한 구간이다.
개인정보보호법 개정, 무엇이 어떻게 달라지나
변화의 축은 크게 넷이다.
첫째는 과징금이다. 2023년 9월 시행된 앞선 개정에서 이미 산정 기준이 '위반 관련 매출액의 3%'에서 '전체 매출액의 3%'로 바뀌어, 국제 표준인 유럽연합 일반개인정보보호규정(GDPR) 방식에 가까워졌다.
이번 개정은 여기서 한 발 더 나아갔다.
고의나 중대한 과실로 3년 이내 같은 위반을 반복한 경우, 피해 정보주체가 1천만 명 이상인 경우, 시정명령을 이행하지 않아 유출이 재발한 경우에는 전체 매출액의 최대 10% 범위에서 과징금을 부과할 수 있다.
상한만 놓고 보면 3배 이상 뛴 셈이다.
시행령안은 여기에 더해 '직전 사업연도 매출액'과 '직전 3개 사업연도 연평균 매출액' 가운데 큰 금액을 산정 기준으로 삼도록 해, 매출 변동으로 제재를 회피할 여지를 좁혔다.
둘째는 지배구조다.
개정법은 사업주와 대표자를 개인정보 처리·보호의 최종 책임자로 명시했다.
종전에는 유출 사고가 실무 부서나 외주 협력사의 기술적 실수로 처리되는 경우가 많았지만, 이제는 최고경영진의 관리 책임이 법문에 새겨졌다.
일정 규모 이상의 개인정보처리자는 개인정보 보호책임자(CPO)를 지정할 때 이사회 의결과 보호위원회 신고 절차를 거쳐야 하고, CPO에게는 전문 인력 관리, 예산 확보, 이사회 정기 보고 권한과 의무가 부여된다.
지정 의무 대상은 연간 매출·수입 1,500억 원 이상, 정보주체 100만 명 이상, 민감정보·고유식별정보 5만 명 이상 보유 기업, 상급종합병원, 학생 2만 명 이상 대학 등으로 넓게 잡혔다.

셋째는 유출 통지의 시점이다.
종전에는 유출을 '인지'한 뒤 통지하면 됐으나, 개정법은 유출 '가능성'을 인지한 단계에서도 지체 없이 정보주체에게 사실과 피해 최소화 방법을 알리도록 의무화했다.
조사와 통지를 동시에 굴려야 한다는 뜻으로, 초동 대응 매뉴얼을 새로 짜야 하는 기업이 적지 않다.
넷째는 감경 인센티브다.
개인정보보호 예산·인력·설비·장치에 대한 투자와 운영 등 대통령령으로 정하는 사유가 있으면, 고의나 중대한 과실이 아닌 한 과징금을 반드시 감경하도록 했다.
뒤집어 말하면, 평소 투자를 증빙할 수 있는 기업과 그러지 못한 기업의 최종 부담이 크게 벌어진다는 얘기다.
이 대목에서 이번 개정의 무게를 실감하게 한 사건이 있다.
개인정보보호위원회는 6월, 안전조치 의무를 위반하고 법적 근거 없이 개인정보를 수집한 대형 이커머스 사업자에 과징금 약 6,246억 원과 과태료를 부과했다.
전직 직원 출신 해커가 회원 3,322만 명과 비회원 최소 433만 명의 정보를 빼냈고, 별도로 이용자 약 1,117만 명의 타사 온라인 활동기록이 동의 없이 수집·저장돼 있던 사실도 드러났다.
종전 최대였던 통신사 유심정보 유출 과징금 약 1,348억 원을 네 배 이상 뛰어넘는 역대 최대 규모다.
아직 상한 10%가 적용되기 전 기준으로도 이 정도라는 점에서, 시장은 개정법 시행 이후의 제재 강도를 가늠하며 긴장하고 있다.
개인정보보호법 개정 컴플라이언스, 다른 나라와 비교하면
국제 비교는 이번 개정의 좌표를 잡는 데 유용하다.
유럽연합의 GDPR은 중대 위반에 대해 전 세계 연매출의 4% 또는 2천만 유로 중 큰 금액을, 경미한 위반에는 2% 또는 1천만 유로를 상한으로 둔다.
유럽 규제기관 집계를 보면 2018년 시행 이후 누적 과징금이 71억 유로를 넘어섰고, 2025년 한 해에만 12억 유로가량이 부과됐다.
이 기준에서 보면 한국의 '전체 매출 10%'는 상한 자체로는 GDPR을 웃도는 세계 최고 수준에 진입한 것이다.
다만 GDPR이 오래 축적한 판례와 감경·가중의 정교한 기준을 갖춘 반면, 한국은 상한만 앞서 있고 세부 산정 기준은 시행령으로 이제 채워 넣는 단계라는 차이가 있다.
미국 캘리포니아의 소비자프라이버시법(CCPA·CPRA)은 접근법이 다르다.
위반 1건당 비고의는 약 2,500달러, 고의는 7,500달러를 물리되, 영향받은 소비자 수만큼 곱해 계산한다.
소비자 1천 명에게 미친 고의 위반 3건이면 3천 건으로 환산돼 벌금이 수직 상승하는 구조다.
게다가 CCPA는 규제당국을 거치지 않고 소비자가 직접 소송할 수 있는 사적 소송권을 인정한다.
매출 대비 정률로 상한을 두는 한국·EU와, 위반 건수로 쌓아 올리는 미국의 방식은 철학이 다르다.
한국 대형 플랫폼처럼 EU·미국 소비자를 동시에 상대하는 기업은 세 체계를 겹쳐 관리해야 하는 부담을 안게 됐다.

본지가 이들 자료를 종합해 도출한 첫 번째 명제는 이렇다. 이번 개정의 실질 위력은 상한 10%라는 숫자가 아니라 '감경 인센티브'와 '큰 금액 기준' 산정의 결합에 있다. 평소 보호 투자를 증빙하는 기업은 감경을 받고, 매출이 급증한 기업은 3개년 평균이 아닌 직전 연도 매출로 계산돼 부담이 커지는 등, 같은 위반이라도 결과가 극단적으로 갈린다. 컴플라이언스는 사고 이후가 아니라 사고 이전의 '증빙 자산'으로 성격이 바뀐 것이다.
두 번째, 본지 분석에 따르면 이번 개정으로 가장 크게 노출되는 쪽은 매출 규모가 크고 정보주체 수가 많은 대형 플랫폼·이커머스·금융권이다. 전체 매출에 정률을 곱하는 방식은 매출 조 단위 기업에서 조 단위 과징금을 만들어낸다. 앞선 6천억 원대 사례가 상한 인상 전 기준이었다는 점을 감안하면, 시행 이후 반복·중대 위반 시 과징금이 조 단위��� 치솟을 개연성은 현실적이다.
세 번째, 본지의 결론은 중소기업·스타트업의 리스크가 과징금이 아니라 거버넌스 미비에 있다는 것이다. 매출이 작으면 정률 과징금 절대액은 낮지만, CPO 지정·이사회 의결·신고 절차를 갖추지 못하면 절차 위반 자체로 제재 대상이 된다. 인력과 예산이 빠듯한 조직일수록 감경 인센티브의 증빙 요건을 채우기 어려워, 상대적 타격이 오히려 클 수 있다.
기업 유형별로 무엇을 먼저 해야 하나
그렇다면 실무 권고는 무엇인가.
대형 플랫폼과 금융권은 이사회 차원의 개인정보 거버넌스를 정식 안건으로 올리고, 투자 증빙 체계를 문서화해 감경 요건을 선제적으로 확보해야 한다.
유출 '가능성' 단계 통지 의무에 맞춰 초동 대응 시나리오를 다시 짜는 일도 미룰 수 없다.
중소기업과 스타트업은 자사가 CPO 전문성 지정 대상(매출 1,500억 원, 정보주체 100만 명 등)에 해당하는지부터 점검하고, 요건을 갖춘 인력 확보와 신고 프로세스 구축에 집중하는 편이 효율적이다.
공공기관·대학·병원은 공공시스템 운영기관 기준과 민감정보 보유 규모를 함께 살펴야 한다.
글로벌 사업자는 한국·EU·미국의 서로 다른 산정 방식을 하나의 관리 체계로 통합하되, 통지 시점과 사적 소송권처럼 국가별로 어긋나는 지점을 별도 관리하는 것이 안전하다.
물론 반론과 한계도 짚어야 한다.
산업계는 상한 10%가 과도하며 투자 위축과 국내 사업 부담으로 이어질 수 있다고 반발한다.
실제로 상한이 곧 실제 부과액을 뜻하지는 않으며, 부과 요건이 반복·중대 위반 등으로 한정돼 있어 대다수 기업에 곧바로 10%가 적용되는 것은 아니다.
세부 감경·가중 기준을 담을 시행령이 아직 확정 전이라, 실제 제재 수위는 시행령 최종안과 초기 판례가 나와야 가늠할 수 있다.
이 기사의 수치와 요건도 그 범위 안에서 읽혀야 한다.
종합하면, 개정 개인정보보호법 컴플라이언스는 '얼마를 맞느냐'의 문제에서 '평소 무엇을 증빙해 두었느냐'의 문제로 옮겨 갔다.
과징금 상한이라는 채찍과 투자 감경이라는 당근이 한 쌍으로 설계된 이상, 데이터 보호는 더 이상 정보보호팀의 기술 과제가 아니라 이사회의 경영 의제가 됐다. 9월 11일까지 남은 시간은 결국 각 기업이 자기 유형을 정확히 진단하고, 그에 맞는 최소한의 준비를 끝낼 수 있느냐에 달려 있다.
검증 노트
본 기사는 2026년 7월 3일 기준으로 작성됐다. 근거 자료로는 2026년 2월 12일 국회 본회의를 통과한 개인정보보호법 개정법률, 개인정보보호위원회의 시행령 개정안 입법예고(2026년 6월 1일~7월 13일), 6월 확정된 대형 이커머스 과징금(약 6,246억 원) 처분 발표, 유럽 규제기관의 GDPR 과징금 누적·연간 집계, 미국 캘리포니아 CCPA·CPRA 벌금 기준을 교차 확인했다. 과징금 상한 10%는 반복·중대 위반 등 요건 충족 시의 상한이며, 세부 산정·감경 기준은 시행령 최종 확정에 따라 달라질 수 있어 일부 수치는 입법예고안 기준의 잠정치임을 밝힌다. 본지 자체 명제는 공개 1차 자료를 종합·해석한 것이다. Faxtr verdict: VERIFIED(1차 자료 교차 확인).
편집국