대규모 개인정보 유출, 매출액 10% 과징금 시대가 도래했습니다.

국회 정무위원회가 2025년 12월 17일, 중대한 개인정보 유출 사고를 낸 기업에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 상한선을 대폭 높인 개인정보보호법 일부개정안을 의결했습니다.

이번 의결은 현행 3% 과징금 부과에서 세 배 이상 강화된 수준으로, 개인정보보호가 기술 보안의 문제를 넘어 기업 존립에 직결되는 법적 리스크로 자리 잡았음을 의미합니다.

2024년 이후 잇따라 발생한 SK텔레콤·롯데카드·쿠팡 등 대형 유출사건 이후 정부·국회가 명확히 설정한 방향, 즉 “경영진의 책임을 실질화하겠다”는 메시지의 연장입니다.

개정안의 주요 내용은 다음과 같습니다.

1. 3년 이내 반복적 위반
2. 고의 또는 중대한 과실로 1천만 명 이상 대규모 피해 발생
3. 시정명령 불이행으로 유출 발생

위의 사유가 인정되면 개인정보보호위원회(이하 개보위)는 해당 기업의 매출액의 최대 10% 범위에서 과징금을 부과할 수 있습니다.

또한 매출액 산정이 불가능한 기업이라면 기존 20억 원 상한이 50억 원으로 상향됩니다.

왜 지금 개인정보보호법이 문제일까? 변화된 리스크 환경

최근의 법·행정 환경을 종합해보면 개인정보 리스크는 과거의 보안 이슈를 넘어 전사적 법률 리스크로 진화했습니다.

특히 행정처분으로 사건이 종결되는 시대 역시 막을 내렸습니다.

최근 대형 유출 사건에서는 개보위의 과징금 이후 피해자의 손해배상청구, 더 나아가 형사 고발로 이어지는 삼중 리스크 구조가 현실화되었습니다.

1. 제재 수위의 질적 변화

개보위의 최근 제재 흐름은 고의성보다 관리 체계의 부실 여부에 초점을 맞추고 있습니다.

개보위가 발표한 2024년 2분기 개인정보보호법 위반에 따른 행정처분 내용을 살펴보면 접근 통제 및 로그 기록 등 안전조치 의무 위반·개인정보 파기 미이행 등, “관리 부실”만으로도 과태료 부과와 시정명령을 처분하는 기조를 분명히 하고 있습니다.

이러한 상황에서 매출의 10% 과징금 부과는 처분으로 끝나지 않고 사실상 기업 영업정지에 준하는 경제적 제재입니다.

이는 유럽의 GDPR이 부과하는 과징금(전 세계 매출액의 4%)보다도 훨씬 강력하며, 국내 규제 사상 최고 수위로 평가됩니다.

2. 책임 주체의 전면 확장

기존에는 개인정보보호책임자(CPO)에게 형식적 책임이 집중되었으나 이제는 대표이사, 임원, 실무자, 원청까지 동일 선상에서 조사·제재 대상이 될 것으로 전망됩니다.

개인정보보호법은 해당 개인정보처리자대표자의 관리·감독 소홀을 명시적으로 규정하고 있으나, 이번 개정을 통해 사업주와 대표의 책임을 명확히 하며 개인정보 보호책임자의 권한과 독립성이 강화될 예정입니다.

개인정보처리를 위탁한 입장이라면 외주사에서 개인정보가 유출됐다 하더라도 원청기업이 감독 의무를 다하지 않았을 경우 1차적으로 책임을 지는 구조가 명확해질 것으로 보입니다.

기업이 놓치기 쉬운 개인정보 유출 리스크 포인트

다수의 기업 자문을 수행하며 확인하는 리스크는 대부분 관리 부실과 증빙 부재에 있습니다.

①개인정보처리방침과 실제 운영 불일치
홈페이지나 앱에 게시된 개인정보처리방침이 최신화 되어 있다 하더라도 실제 운영상 수집항목, 보유기간, 위탁처가 일치하지 않으면 허위 공시로 간주됩니다.

②형식적인 직원 교육과 관리 기록 부재
교육 자체를 진행했다 하더라도 CPO와 개인정보보호담당자, 개인정보처리 업무를 수행하는 수탁자 등에 대한 정보, 교육 시간, 교육 내용 이력이 관리되지 않는다면 ‘미이행’으로 간주되기 십상입니다.

사후조사 또는 관리실태 점검에서 개인정보보호 교육 실시 여부와 이수 기록 등이 필수 점검항목이 되므로 관련 실시 기록 대장을 요구받기도 합니다.

③외주·플랫폼·클라우드 관리·감독 부재
법 제26조는 위탁자의 감독의무를 명확히 규정합니다.

계약서상 표면적인 보안 유지 의무만으로는 부족하며, 개인정보에 대한 접근 제한 등 안전성 확보 조치와 보안 점검 절차, 접속 계정 관리, 재위탁 금지, 사고 시 통보 프로세스 등이 명시되어야 합니다.

④퇴사자 계정 및 접근권한 관리 부실
사고 조사에서 개보위는 인사이동 및 퇴직 시 계정과 접근권한을 지체없이 회수 또는 말소했는지를 중요한 점검 항목으로 봅니다.

퇴사자의 계정이 일정 기간 그대로 유지되어 제3자가 접속할 수 있었다면 실제 접근 주체가 누구인지와는 무관하게 ‘관리적 조치 소홀’로 평가될 가능성이 큽니다.

⑤사고 대응 매뉴얼 부재
현재 시행령은 개인정보처리자가 일정 규모 이상의 개인정보 유출을 알게 된 경우 72시간 이내 개보위에 신고하도록 규정하고 있습니다.

그러나 이번 개정안은 72시간 내 신고 규정을 ‘대통령령으로 정한다’로 변경하여, 늑장 신고에 대한 제재 근거를 보다 탄력적으로 두고 있습니다.

따라서 법무·개인정보 보안 및 홍보·PR팀이 즉시 협조할 수 있는 사고 대응 시나리오가 문서화되어 있어야 합니다.

기업이 당장 실행 가능한 대응 방안

해당 개정안은 소급 적용되지 않지만 사전 준비 없이는 시행 즉시 제재 리스크가 발생할 수 있습니다.

법무법인 대륜은 기업의 개인정보 리스크 관리 전 과정을 법적 관점에서 체계적으로 지원이 가능합니다.

• 최신 법령 개정사항 및 개보위 집행 동향 반영한 개인정보보호 세미나 및 임직원 교육
• 개인정보 처리 구조 진단 및 리스크 점검
• 수집·보관·이용·파기 단계별 법적 취약점 분석 및 개선 로드맵 제시
• 사고 발생 시 대응 전략 및 대외 커뮤니케이션 자문
• 유출 인지 시점부터 조사 대응, 언론·피해자 통지, 후속 대응까지 1:1 밀착 지원
• 과징금·손해배상·형사 리스크 통합 대응

이번 개인정보보호법 개정은 기업의 관리 부실 자체를 제재 근거로 삼는 최초의 입법 변화입니다.

이제는 보안사고가 발생해야 문제가 되는 시대가 아니라 사고가 나기 전의 관리 체계 부재부터 처벌 사유가 됩니다.

본 법인은 개인정보·정보보안 전문변호사와 디지털 포렌식 전문가로 구성된 TF를 구성하여 선제적 리스크 진단은 물론, 사건 발생 시 72시간 내 골든타임 긴급 대응, 이어지는 민·형사·행정소송에 강력한 방어 전략을 구축해드립니다.

지금 점검하지 않으면 문제가 발생한 뒤에는 감당하기 어려운 대가를 치러야 할 수 있습니다.

법무법인 대륜과 함께 귀사의 개인정보 관리 체계를 점검하시기 바랍니다.

🔗개인정보보호 컴플라이언스 진단·자문 상담받기(화상상담 가능)

참고 : 개인정보 유출사고 단계별 대응 프로세스

사고 발생 시 신속하고 체계적인 초기 대응이 법적 책임 및 과징금 경감의 핵심 요소가 됩니다.