Headline
최근 본회의를 통과한 강화된 개인정보보호법 개정안
■ 개요
최근 몇 년간 공공과 민간 전반에서 크고 작은 개인정보 유출 사고가 빈번하게 발생하고 있다. 개인정보가 유출되면 기업의 신뢰도와 브랜드 이미지가 심각하게 손상될 뿐만 아니라, 막대한 경제적 손실과 법적 리스크로 이어질 수도 있다. 이러한 상황에서 개인정보 유출 신고 건수는 지속적으로 증가하여 지난해에는 역대 최대치를 기록했다.
| 연도 | 신고 건수 | 비고 |
| 2021년 | 약 301건 | 전년 대비 소규모 추정치 포함 |
| 2022년 | 161건 | 신고 기준 강화 추진 |
| 2023년 | 303건 | 신고 기준 강화로 전년 대비 증가 |
| 2024년 | 337건 | 전년과 유사한 수준 유지 |
| 2025년 (1월~9월) | 227건 | 연말 전체 통계 발표 전 (역대 최대치 예상) |
표 1. 개인정보 유출 신고 건수 (연도별)
또한, 개인정보 유출 사고의 반복과 국민들의 인식 제고에 따라 개인정보보호에 대한 국민적 관심이 그 어느 때보다 고조되고 있다.
| 구분 | 전혀 중요하지 않다 | 중요하지 않은 편이다 | 보통이다 | 중요한 편이다 | 매우 중요하다 |
| 전체 | 0.6% | 0.4% | 4.0% | 71.1% | 23.9% |
| 남성 | 1.2% | 0.1% | 6.7% | 76.3% | 15.7% |
| 여성 | 0.1% | 0.7% | 1.2% | 65.6% | 32.5% |
표 2. 개인정보보호 중요성에 대한 인식 조사
이에 고의 또는 중대한 과실로 대규모 개인정보 유출이 반복적으로 발생하면 전체 매출액의 10% 범위에서 과징금을 부과할 수 있는 조항 등이 담긴 개인정보보호법 개정안이 국회 본회의를 통과했다. 또한, 개인정보보호위원회는 주요 공공시스템을 대상으로 긴급 실태 점검을 진행하고, 고유식별정보 실태조사도 전면 개편했다.
이러한 규제 변화에 안일하게 대처할 경우, 법적제재와 경제적 손실이 불가피하다. 이에 변경되는 개정안을 정확히 이해하고 잘 대응할 수 있도록 개인정보보호법 개정안의 세부 내용 및 개인정보보호위원회의 주요 정책을 살펴보고자 한다.
■ 개인정보 유출 사고 사례
최근 A기관의 이용자 약 462만 건의 정보가 외부로 빠져나간 사건은 공공 디지털 인프라 관리 체계의 취약성이 여실히 드러난 사례다. 범행 당시 중학생이었던 이들은 A기관이 운영하는 서버에서 가입자 인증 없이 정보 조회가 가능했던 취약점을 이용하여 아이디, 휴대전화번호, 이메일, 주소, 생년월일, 성별, 체중 등을 확보한 것으로 조사됐다. 이는 공공서비스의 보안 결함의 심각성을 단적으로 보여준다. 이번 사고의 구체적 원인은 시스템 내부의 기술적 결함에 있었다. 특히, 외부에서 데이터를 요청할 때 정당한 권한이 있는지 확인하는 API 인증 절차가 갖춰져 있지 않았던 것으로 파악된다.
피의자들은 서버에 인증 절차 없이 특정 호출을 하면 정보가 조회되는 허점을 이용해, 자동화된 스크립트를 통해 수백만 개의 개인정보를 확보했다. 정상적인 구조였다면 인증 토큰 검증, 조회 횟수 제한, 이상 트래픽 자동 차단장치가 작동하여 개인정보 유출을 차단했을 것이다.
* 출처 : 한겨레 신문
그림 1. A기관 개인정보 유출 과정
이번 개인정보 유출 사례는 해킹보다는 보안 설정 및 관리 부실에서 비롯된 내부 통제 실패 사례로, 다음과 같은 개인정보보호법을 위반했다.
1. 안전조치 의무 위반
개인정보보호법 제29조는 개인정보처리자에게 기술적·관리적 보호조치를 취할 의무를 부과한다. 접근통제, 암호화, 접속 기록 보관 등이 여기에 포함되는데, 서버 취약점이 방치됐다면 이 조항 위반 가능성이 검토 대상이 된다.
2. 유출 통지 및 신고 의무
개인정보보호법 제34조는 침해 사실을 알게 된 경우 지체 없이 정보 주체에게 통지하고 감독기관에 신고(개인정보 유출 사실 인지 후 72시간 이내) 하도록 규정하고 있다. A기관은 유출 사실을 알고도 18개월간 사고를 은폐하였기에 법적 책임 문제로 이어질 수 있다.
■ 개인정보보호법 개정안 본회의 통과
개인정보보호위원회 발표 자료에 의하면 최근 5년간 민간과 공공영역에서 총 1,329건의 개인정보 유출∙침해 사건이 발생했다. 이중, 기업 등 민간 영역 유출은 887건(66.7%), 공공영역 유출은 442건(33.3%)으로 증가세를 보이고 있다.
* 출처 : 개인정보보호위원회
그림 2. 연도별 개인정보 유출∙침해 사건
최근 개인정보보호법 개정안이 국회 본회의를 통과하였고, 법안은 국무회의 의결을 거쳐 공포 후 6개월이 지난 9월부터 적용된다. 이에 따라 개인정보 처리 과정 전반에 많은 변화가 예상되기에, 기업 및 공공기관의 개인정보 담당자는 변경 사항을 꼼꼼하게 숙지해야 한다.
특히 고의∙중과실에 따른 대규모 개인정보 유출 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 명시했다. 기존 과징금 상한(3%)은 유지하되, 일정 요건을 충족하는 경우에 한해 적용되는 '징벌적 과징금 특례'가 도입되어 개인정보보호 정책 전반에서 개인정보위원회의 제재 실효성이 강화될 전망이다.
개인정보보호법 개정의 배경은 최근 주요 통신사, 금융사, 플랫폼 사업자 등에서 대규모 개인정보 유출 사고가 잇따르면서 국민 피해가 지속적으로 확대되고 있기 때문이다. 그럼에도 일부 기업은 개인정보보호를 비용으로만 치부하여 개인정보보호 노력이 충분하지 않다는 지적이 제기됐다. 이에 따라 개인정보 침해 사고를 사전에 예방하고, 기업의 책임성을 강화하기 위해 개인정보보호 체계 및 행정제재의 실효성을 강화해야 한다는 요구가 커지고 있다.
이에 개정안은 반복적이거나 중대한 개인정보 침해행위에 대해서는 보다 강력한 과징금 제도를 마련하여 현행 제재 수단의 한계를 보완하고, 사업주 또는 대표자의 책임을 명확히 하고자 한다. 또한, 개인정보보호책임자(CPO)의 권한과 독립성을 강화하고, 일정 규모 이상의 개인정보처리자에 대한 개인정보보호 인증을 의무화할 계획이다. 이를 통해 정보 주체인 국민들이 권리 보호 및 피해 구제를 보다 쉽게 받을 수 있도록 ‘유출 가능성 통지 제도’를 도입하는 등 개인정보보호 체계를 정비하는 데 목적이 있다.
■ 개인정보보호법 개정안 주요 내용
1. 사업주 또는 대표자의 책임 명확화 및 개인정보보호책임자의 역할 강화 (개인정보보호법 제30조의3 신설 및 제31조)
사업주 또는 대표자를 개인정보 처리 및 보호에 관한 최종 책임자로 명확히 규정하고, 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보보호책임자(CPO) 지정에 관한 사항을 신고하도록 의무화하여 개인정보보호에 필요한 인력 관리 및 예산 확보 등 역할을 강화함.
2. 개인정보보호 인증 의무화 (개인정보보호법 제32조의2)
매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보보호 인증을 의무적으로 받도록 함으로써 개인정보 관리 체계의 신뢰성과 안정성을 제고함.
3. 유출 가능성 통지제 도입 및 통지 항목 확대 등 (개인정보보호법 제34조)
기존 통지 대상이던 개인정보의 분실∙도난∙유출 뿐만 아니라 위조∙변조∙훼손까지 통지 범위를 확대하고, 대통령령으로 정하는 유출 가능성이 있는 경우에도 통지 의무를 부여함.
4. 반복적이거나 중대한 개인정보 침해에 대한 과징금 강화 (개인정보보호법 제64조의2 제2항 신설 등)
고의 또는 중대한 과실로 3년 이내 반복적 위반, 고의 또는 중대한 과실로 1천만 명 이상 대규모 피해 발생, 시정조치 명령에 따르지 아니하여 유출이 발생한 행위에 대해서는 전체 매출액의 10% 범위내에서 과징금을 부과할 수 있도록 하고, 예산∙인력∙설비∙장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경하도록 하여 기업의 사전적 예방 투자를 유도함.
5. 부대의견
개인정보보호위원회는 과징금을 강화한 개정안의 취지에 맞추어 개인정보보호법 위반으로 징수한 과징금 수입을 실제 피해자 구제 및 지원 등에 활용하는 기금을 개인정보보호법에 도입하는 방안을 검토함.
| 항목 | 개정 전 | 개정 후 |
| 과징금 상한 | 전체 매출의 3% 이하 | 최대 10%까지 가능 (고의∙중대한 과실 등 조건 충족 시) |
| 징벌적 과징금 | 아직 없음 | 고의∙중대한 과실 시 상향 가능 |
| 과징금 조건 | 일반 위반 행위 중심 | 고의∙중과실 반복, 대규모 피해 등 조건 규정 |
| CEO (최고책임자) 책임 | 명문화 미흡 | 조직의 대표자∙CEO가 최종 책임자로서 법적 책임 명시 |
| CPO 역할 및 보고 의무 | 의무화 약화 또는 모호 | CPO(개인정보보호책임자) 지정∙보고 등 역할 강화 |
| 유출 통지 의무 | 신고/통지 의무 있음 | 조기∙확대 통지 의무 강화 (사고 가능성 단계 포함) |
표 3. 개인정보보호법 개정 전∙후 비교표
개정안은 개인정보처리자가 법 위반을 반복하거나 대규모 피해를 발생시키는 등 중대한 책임이 인정되는 경우 제재 실효성을 높이기 위해 '징벌적 과징금' 제도를 도입한 것이 핵심이다. 구체적으로 최근 3년간 고의 또는 중대한 과실에 따른 위반이 반복되거나, 고의 또는 중대한 과실로 1천만 명 이상의 정보 주체에게 대규모 피해를 초래한 경우 과징금 부과가 가능하다. 아울러 시정명령을 이행하지 않아 개인정보 유출 등 추가 피해가 발생한 경우도 부과 대상에 포함된다.
이밖에 이번 개정안에는 '유출 가능성 통지제'가 도입되었다. 현행법은 '유출 등을 인지했을 때' 통지하도록 규정해 통지가 지연되는 문제가 있었으나, 앞으로는 유출 가능성이 있는 단계에서도 정보 주체에게 통지해야 한다. 또한 개인정보보호책임자(CPO)의 지정·변경·해제 시 이사회 의결을 의무화하고, 이를 당국에 신고하도록 하는 신고제가 도입된다.
공공∙민간 주요 개인정보처리자에 대해 정보보호 및 개인정보보호 관리 체계 (ISMS-P) 인증을 의무화하는 등 내부 관리 책임도 강화되었다. ISMS-P는 정보보호에서 나아가 개인정보까지 범위를 확장하여 관리함으로써, 기업이 보유한 정보 자산을 안전하게 운영하는 목표를 두고 있다. 이를 위해 “정보보호 정책 → 정보보호 활동 → 정보보호시스템 운영 → 물리 보안” 등의 과정이 필요하며, 특히 정보보호 정책을 관리 및 운영하는 보안 인력의 인식이 가장 중요하다.
* 출처 : SK쉴더스 블로그
그림 3. 정보보호 관리체계
■ 한국 개인정보보호법과 해외 개인정보보호법 비교
이번 개인정보보호법 개정안은 공공기관 및 기업들에게 상당한 변화를 요구한다. 특히 개인정보 유출에 대한 과징금이 강화되면서 이에 대한 부담이 증가했다. 대한민국 영토 내에 있는 해외 기업의 지사나 법인은 기본적으로 한국의 개인정보보호법을 최우선으로 적용 받으나, 본사와의 관계나 데이터 흐름에 따라 해외법이 중첩 적용될 수 있어 주의가 필요하다. 반대로 국내 기업이 미국이나 유럽 등 해외로 진출한 경우에도, 한국의 개인정보보호법 뿐만 아니라 진출한 국가의 현지 법령이 동시에 적용될 수 있기에 해외 주요국의 개인정보보호법을 검토할 필요가 있다.
해외 개인정보보호법은 EU의 GDPR(일반 개인정보보호법)처럼 강력한 사전 동의와 엄격한 과징금(전 세계 매출의 4% 등)을 부과하는 포괄적 방식과, 미국의 CCPA와 같이 소비자 권리 강화와 사후 규제에 집중하는 방식 등으로 나뉜다. 주요국은 데이터 주체(이용자)의 통제권을 극대화하며, 특히 유럽은 적정성 결정을 통해 한국의 수준을 인정하는 등 국제적 기준을 선도하고 있다.
주요 국가 및 지역별 개인정보보호법은 보호 대상과 위반 시 제재 수위, 데이터 이전 방식에서 차이를 보인다. 특히 유럽의 GDPR은 전 세계 개인정보보호 표준의 기준으로 평가받으며, 미국은 연방법과 주법이 병행되는 특징이 있다.
| 구분 | 한국 (PIPA) | 유럽연합 (GDPR) | 미국 (CCPA 등) | 일본 (APPI) |
| 핵심 법령 | 개인정보보호법 | 일반 개인정보보호법 (GDPR) | CCPA(캘리포니아), APRA(미국연방법안) | 개인정보보호법 (APPI) |
| 특징 | 수집 시 명시적 동의 원칙 | 세계에서 가장 엄격한 수준, 정보주체 권리 강화 | 이원화 체계 (연방법 + 주별 독자 법안) | 2017년 전면 시행, 한국과 유사하나 세부 차이 존재 |
| 적용 범위 | 국내 거주자 및 서비스 | EU 내 사업장 보유 또는 EU 시민 대상 서비스 | 해당 주 거주자 대상 서비스 제공 기업 | 일본 내 개인정보 처리 사업자 |
| 위반 제재 | 징역 또는 벌금, 과징금 | 전 세계 연매출의 최대 4% 또는 2천만 유로 | 민사상 손해배상 및법정 과태료 | 과태료 및 시정명령, 위반시 형사처벌 |
표 4. 주요 국가별 개인정보보호법 비교
■ 개인정보보호위원회, 공공부문 집중관리시스템 확대 지정
앞서 A기관의 개인정보 유출 사건과 같이 공공 시스템도 더는 ‘보안 안전지대’가 아닌 것으로 나타났다. 최근 5년간 개인정보 유출∙침해 사건 3건 중 1건이 공공 분야에서 발생한 것으로 나타나면서 대중의 불안은 더욱 커지고 있다. 특히 공공기관은 대량의 개인정보와 국가 연구 및 기술정보를 보유∙처리·연계하고 있어 보안시스템이나 개인정보 관리 체계 등 철저한 보안이 요구된다. 이에 개인정보보호위원회는 주요 공공 시스템을 대상으로 긴급 실태 점검을 실시하고, 고유식별정보 실태조사도 전면 개편하는 등 공공기관에 대한 관리를 강화할 예정이다.
개인정보보호위원회는 이 같은 내용을 골자로 한 주민등록번호 등 주요 개인정보를 대규모로 처리하는 공공기관의 사전 예방 중심 관리 강화 방안을 발표했다.
이를 위해 개인정보보호위원회는 다음과 같은 원칙을 세우고, 이를 기반으로 사전 예방 업무를 추진할 계획이다.
(1) 위험 기반 관리(Risk-based)
(2) 증적 중심 점검(Evidence-based)
(3) 결과와 인센티브 연계(Outcome-linked)로 자발적 개선 유도
이번 조치는 인공지능∙클라우드 확산, 플랫폼 경제로의 전환 등으로 대규모∙고위험 개인정보 처리가 일상화되면서 개인정보 유출 및 침해 위험이 높아지는데 따른 것이다. 공공기관의 경우 국민 개인정보를 당사자 동의 여부와 무관하게 법령에 따라 대규모로 처리함에 따라 위험도가 크지만, 과징금 부과 등 사후 제재 효과가 크지 않아 우선적으로 실태 점검과 안전 관리 체계 확립에 나선 것으로 해석된다.
개인정보보호위원회에 따르면 2025년 기준 공공부문 유출 신고 현황은 128건이다. 이는 전체 신고 건수의 28.6%에 해당하며, 2022년 23건, 2023년 41건, 2024년 104건, 2025년 128건으로, 지속적으로 증가하고 있다. 유출 원인은 업무 과실(64%), 해킹(32%) 순서였고, 위반유형은 안전조치 의무(64%), 주민등록번호 등 수집 제한(8%)으로 나타났다.
* 출처 : 개인정보보호위원회
그림 4. 공공부문 개인정보 유출 현황
위와 같이 공공부문의 개인정보 유출이 지속적으로 증가함에 따라, 보다 엄격한 보호 체계가 요구되는 공공부문의 집중관리시스템이 올해부터 확대되었다. 집중관리시스템으로 지정되면, 개인정보취급자 권한 부여 시 인사정보와 연계, 접속 기록 자동 분석 등 일반 시스템보다 강화한 안전조치를 적용해야 한다.
개인정보보호위원회는 오는 3월까지 공공기관의 387개 집중관리시스템과 1만 명 이상의 주민등록번호를 처리하는 시스템을 대상으로 긴급 실태점검을 실시한다. 이번 점검은 최근 대형 유출 사고에서 확인한 주요 취약 요인을 점검하고 조치하기 위한 것이다. 집중관리시스템은 최신 보안패치 적용 여부, 취급자 접속 시 인증서∙일회용 비밀번호 등 안전한 인증수단 적용, 로그기록에 주민등록번호 등 주요 정보가 남지 않도록 하는 비식별조치 여부 등을 중점 점검한다. 또한, 1만 건 이상의 주민등록번호를 처리하는 시스템은 주민등록번호 암호화 시 안전한 암호화 알고리즘 이용 여부와 암호키 관리 방식 등을 점검한다. 점검 결과 미흡 사항은 기관 별로 우선 조치하되, 위험도에 따라 컨설팅 등 개선 조치 지원을 통해 점검의 실효성을 확보할 계획이다.
개인정보보호법에 따라 개인정보보호위원회는 일정 규모(공공은 1만 명 이상 고유식별정보 처리, 민간은 5만 명 이상 고유식별정보 처리) 이상의 주민등록번호 등 고유식별정보를 처리하는 기관의 안전관리 실태를 점검해야 한다. 이전에는 자체 점검 결과를 서면으로 제출하는 형식적 점검에 그쳤고, 조사의 강제성이 없어 처리자 자율에 의존하는 측면이 크다는 지적이 있었다. 이에 당초 고유식별정보 관리 실태 점검 취지에 맞게, 공공기관의 개인정보 파일 목록에 있는 고유식별정보 유형, 처리 규모 등을 바탕으로 위험 정도를 파악해 점검 대상을 선정한다. 이를 위해 개인정보 파일 목록을 상반기에 현행화할 예정이다. 또한, 기존 26개 점검 항목을 대폭 개편하여 고유식별정보 취급자의 권한 부여 현황과 취급자의 정보 조회 시 일부 마스킹 등 비식별조치, 암호키 관리 실태 등 핵심 항목 위주로 깊이 있게 점검하되, 구체적인 증빙자료를 제출하도록 하여 점검의 실효성을 높일 계획이다. 아울러, 미흡 사항 확인 시에는 개선 계획 제출을 의무화하고, 점검 결과 우수기관에 대해서는 일정 기간 점검 면제 및 포상 등 인센티브를 제공할 방침이다.
■ 맺음말
최근 개인정보 유출 사례는 지속적인 증가세를 보이고 있으며, 특히 안전조치 의무 위반과 내부 관리 소홀에 기인한 사고 비중이 높게 나타나고 있다. 이는 단순한 기술적 보안 강화만으로는 한계가 있으며, 제도적∙관리적 대응 체계의 전면적인 재정비가 필요함을 시사한다.
개인정보보호법 개정으로 과징금 부과 기준이 강화되고, 정보 주체 권리 보장 및 책임성이 확대됨에 따라 공공기관 역시 보다 엄격한 법적 책임을 부담하게 되었다. 개정 법령의 시행 이후에는 위반 행위에 대한 제재 수준이 실질적으로 상향될 가능성이 높아, 사전 예방 중심의 대응 전략이 무엇보다 중요하다. 이에 따라 각 기관은 ▲개인정보 처리 전 과정에 대한 위험 요인 재점검 ▲접근권한 및 계정 관리 강화 ▲위탁∙수탁 관리 체계 정비 ▲유출 대응 매뉴얼 고도화 ▲정기적 내부 점검 및 교육 강화 등을 체계적으로 추진할 필요가 있다. 아울러 법 개정 취지를 반영한 내부규정 정비와 조직 차원의 책임성 확보가 병행되어야 한다.
향후 개인정보보호는 단순한 법규 준수를 넘어, 기업의 신뢰를 확보하는 핵심 요소로 작용할 것이다. 따라서 강화되는 법제 환경에 대한 선제적∙체계적인 보호조치를 마련함으로써 국민의 신뢰를 확보해야 할 것이다. SK쉴더스의 정보보안 컨설팅은 최신 법규 및 기술 동향에 대한 심층적인 분석을 바탕으로 기업의 개인정보 처리 시스템을 면밀히 진단하고, 잠재적인 보안 취약점을 사전에 정확하게 식별할 수 있다. 급변하는 규제 환경 속에서, SK쉴더스의 정보보안 컨설팅을 통해 개인정보보호 체계를 구축한다면, 보다 안전하고 신뢰성 있는 기업으로 도약할 수 있을 것이다.
■ 참고 문헌 및 자료
[1] 법제처 국민참여입법센터, "개인정보보호법 일부개정법률안", 2026.02
[2] 개인정보보호위원회, "공공부문 필두로 사전 예방 중심 보호 체계 전환 첫걸음", 2026.02
[3] SK쉴더스 정보보안 블로그, 보안트랜드의 개인정보보호 자료 (2023~2025)