개인정보보호법 개정, CPO·대표자 책임 강화로 본 필수 준비 3가지

안녕하세요! 성징어의 IT 잉크사이트(IT Ink-Sight) 성징어입니다.

지금 수행 중인 사이트 고객사에서 얼마전에 목표시스템에 개정된 개인정보보호법에 대응할 수 있는 체계를 수립해야한다는 말씀을 하시더군요. 사실 개인정보보호법이 개정된다는 얘기를 처음 들었던지라 다소 당황했습니다. 그래서 이 참에 어떤 부분이 개정되는지 공부도할겸 정리해보려고 하니다. 개인정보보호법이 지난 2월 국회 본회의를 통과했고, 오는 9월 11일부터 본격 시행됩니다. 시간이 두 달도 안 남았습니다.

기업을 운영하는 대표님이라면, 기관에서 전산직을 수행하시는 분들이라면 개인정보보호법에 대한 고민을 안할수가 없는데요. 특히 직원 수가 적어 CPO를 별도로 채용하지 못하는 스타트업이나 중소 IT기업이라면 더욱 고민이 깊으실 것 같습니다. 오늘은 이번 개정의 다섯 가지 핵심 축을 정리하고, 시간이 촉박한 만큼 우선순위를 어디에 둬야 할지까지 함께 짚어보겠습니다.

왜 지금 이 개인정보보호법 개정이 중요한가

2026년 2월 12일 국회 본회의를 통과한 이번 개인정보보호법 개정안은 시행령까지 포함하면 올해 안에만 두 번의 시행 시점을 맞습니다. 시행령 일부개정령은 2월 19일 공포돼 8월 20일부터 시행되고, 본법 개정안은 9월 11일부터 시행됩니다. 두 시점이 한 달 남짓 간격을 두고 이어지다 보니, 담당자 입장에서는 여름 내내 준비할 시간이 실질적으로 그리 넉넉하지 않습니다.

이번 개정이 특히 무겁게 느껴지는 이유는 단순히 조항 몇 개가 추가된 수준이 아니기 때문입니다. 대표자와 CPO의 법적 책임을 명문화하고, 과징금 상한을 매출액의 10%까지 끌어올리고, 유출 통지 범위를 넓히고, 일정 규모 이상 기업에는 보안 인증까지 의무화하는 다섯 갈래 개정이 한꺼번에 들어왔습니다. 저는 이 조합을 보면서 “이제 개인정보 보호가 IT팀만의 일이 아니라 경영진의 일이 됐다”는 인상을 강하게 받았습니다.

돌이켜보면 국내 개인정보 관련 법제는 몇 년에 한 번씩 큰 변곡점을 지나왔습니다. 2020년 데이터 3법 개정으로 가명정보 개념이 도입됐고, 2023년 개정으로 전송요구권과 자동화된 결정에 대한 대응권이 생겼습니다. 이번 2026년 개정은 그 흐름의 연장선에 있으면서도, 처음으로 대표자 개인의 책임을 정면으로 다뤘다는 점에서 결이 다릅니다. 그동안은 법인이 과징금을 내는 선에서 마무리됐다면, 이제는 대표자가 개인정보 보호를 소홀히 한 정황이 드러나면 경영진 개인의 책임 문제로까지 번질 수 있다는 뜻입니다.

개인정보보호법 개정의 핵심 축 5가지 총정리

먼저 개인정보보호법 개정 전체 그림을 훑어보겠습니다. 첫째, 대표자와 CPO의 책임 명문화입니다. 둘째, 개인정보 보호 인증, 즉 ISMS-P 의무화입니다. 셋째, 유출 가능성 통지 범위 확대입니다. 넷째, 과징금 제도를 매출액 10% 한도까지 강화한 것입니다. 다섯째, 이 흐름과 별도로 진행 중인 AI 학습용 개인정보 활용 특례입니다.

앞의 네 가지는 이미 국회 본회의를 통과해 9월 11일 시행이 확정된 사안입니다. 다섯 번째인 AI 특례는 국회 정무위원회를 5월 14일 통과했고 본회의 처리를 앞두고 있어 아직 완전히 확정된 상태는 아닙니다. 저는 이 다섯 가지를 따로따로 보기보다 “정보주체 보호를 강화하는 축”과 “AI 활용 여지를 넓히는 축”이 동시에 움직이고 있다고 이해하는 편이 맥락을 잡기 쉽다고 봅니다. 규제를 조이는 손과 풀어주는 손이 한 법 안에서 같이 움직이고 있는 셈입니다.

개인정보보호법 개정 5가지 핵심 축을 보여주는 다이어그램

대표자·CPO 책임 강화, 무엇이 달라지나

가장 먼저 짚어야 할 부분은 대표자 책임입니다. 개정법은 개인정보처리자의 사업주 또는 대표자를 개인정보의 안전한 처리와 정보주체 권리 보호에 대한 최종 책임자로 명시합니다. 필요한 인력과 예산을 확보하는 총괄적 관리 조치까지 대표자의 의무로 규정한 겁니다.

CPO 쪽도 역할이 커집니다. CPO가 개인정보 보호에 필요한 전문 인력 관리와 예산 확보 업무를 직접 수행하도록 의무화됐고, 대표자와 이사회에 개인정보 보호 관련 사항을 정기적으로 보고하도록 했습니다. 지금까지는 CPO가 실무 총괄자 정도의 위상이었다면, 앞으로는 이사회 보고 라인까지 갖춘 준경영진급 직책에 가까워지는 셈입니다. 제가 앞서 언급한 스타트업 대표님처럼 CPO를 겸직하고 있는 경우라면, 이제 그 겸직이 형식적인 명패가 아니라 실질적인 보고 의무를 동반한다는 점을 새로 인식해야 합니다.

흥미로운 건 이 조항이 단순히 처벌을 위한 장치가 아니라는 점입니다. 대표자가 최종 책임자로 명시되면 역설적으로 예산 확보의 명분도 함께 생깁니다. 지금까지 보안 예산을 요청할 때 “법적 근거가 뭐냐”는 질문에 막혔던 CPO라면, 이제는 법 조문 자체가 근거가 됩니다.

한 가지 더 짚어두고 싶은 건 CPO의 독립성 문제입니다. 그동안 CPO가 개발팀장이나 법무팀장을 겸직하는 경우, 정작 자기 부서의 문제를 스스로 감사해야 하는 구조적 모순이 있었습니다. 이번 개정으로 CPO의 이사회 직접 보고 라인이 생기면서, 적어도 형식적으로는 CPO가 특정 실무 부서 눈치를 보지 않고 문제를 제기할 수 있는 근거가 마련됐습니다. 다만 실제로 그 독립성이 지켜지느냐는 회사마다 다를 수밖에 없어서, 조직 문화 차원의 뒷받침이 함께 필요하다고 봅니다.

과징금 최대 매출액 10%, 어떤 경우에 해당하나

과징금 이야기를 안 할 수 없습니다. 이번 개정은 고의 또는 중대한 과실로 반복 위반하거나, 1천만 명 이상 대규모 피해가 발생하거나, 시정조치 명령에 따르지 않아 유출이 이어진 경우 전체 매출액의 10% 범위 내에서 과징금을 부과할 수 있도록 했습니다. 기존 3% 수준에서 크게 뛴 숫자입니다.

여기서 중요한 건 ‘전체 매출액’이라는 표현입니다. 위반과 무관한 사업부의 매출까지 산정 기준에 포함될 여지가 있다 보니, 여러 사업을 겸영하는 대기업일수록 체감 부담이 커질 수 있습니다. 반대로 단일 서비스만 운영하는 스타트업이라면 매출 자체가 크지 않으니 절대 금액은 상대적으로 작을 수 있지만, 회사 존립을 위협할 수준의 타격이 될 수도 있습니다. 매출 규모와 무관하게 위반 자체의 심각성이 핵심이라는 점은 모든 기업이 동일하게 받아들여야 할 부분입니다.

과징금을 매출액 3% 수준에서 10%로 세 배 가까이 올린 배경에는 그동안의 과징금이 위반 억지력으로 충분하지 않았다는 정부 판단이 깔려 있습니다. 실제로 대형 유출 사고가 나도 과징금이 매출 대비 미미한 수준에 그쳐 ‘벌금 내고 넘어가면 그만’이라는 인식이 있었다는 지적이 꾸준히 나왔습니다.

특히 금융권에서는 이번 과징금 강화를 심각하게 받아들이는 분위기입니다. 조 단위 매출을 내는 대형 금융사 입장에서는 10% 과징금이 실제로 부과될 경우 회사 존립을 흔들 수 있는 규모이기 때문입니다. 업계 일각에서는 ‘조단위 과징금 공포’라는 표현까지 나올 정도로 긴장감이 큽니다. 시중은행 몇 곳은 이미 개인정보 처리 프로세스 전반을 재점검하는 태스크포스를 꾸렸다는 이야기도 업계에서 들려옵니다. 저는 이 대목에서 기업 규모별로 대응 전략이 갈릴 수밖에 없다고 봅니다. 대기업은 과징금 리스크를 이사회 차원의 재무 리스크로 다루기 시작할 것이고, 중소기업은 애초에 대규모 유출 자체가 나지 않도록 예방에 집중하는 편이 현실적일 겁니다. 보험업계에서도 개인정보 유출 배상책임보험 상품 문의가 늘고 있다는 이야기가 들리는데, 과징금까지 보장 범위에 포함되는지는 상품마다 다르니 가입 전 약관을 꼼꼼히 확인하실 필요가 있습니다.

유출 등 통지 범위 확대 — 위조·변조·훼손까지

통지 의무도 눈여겨봐야 합니다. 기존에는 분실·도난·유출된 경우에만 정보주체에게 알리면 됐는데, 이번 개정으로 위조·변조·훼손된 경우까지 통지 대상에 포함됐습니다. 데이터가 밖으로 빠져나가지 않고 내부에서 조작되거나 손상되기만 해도 통지 의무가 생긴다는 뜻입니다.

통지 내용에도 손해배상 청구, 법정손해배상 청구, 분쟁조정 신청 같은 정보주체의 법적 권리 행사 방법이 추가로 포함됩니다. 지금까지는 “유출이 발생했습니다”라는 사실 통지에 그쳤다면, 앞으로는 “이런 권리를 행사할 수 있습니다”까지 함께 안내해야 합니다. 기업 입장에서는 통지 문구 자체를 법무팀 검토를 거쳐 표준화해둘 필요가 커졌습니다.

위조·변조·훼손이 통지 대상에 새로 들어온 것도 실무적으로는 꽤 까다로운 변화입니다. 외부로 정보가 빠져나가지 않았더라도, 내부 데이터베이스가 오류나 공격으로 인해 훼손됐다면 그 자체로 통지 의무가 발생한다는 뜻이기 때문입니다. 그동안 유출 여부만 모니터링하던 조직이라면, 이제는 데이터 무결성 훼손 여부까지 함께 감지할 수 있는 체계를 갖춰야 합니다. 로그 무결성 검증이나 데이터베이스 변경 이력 추적 같은 기술적 조치가 뒷받침되지 않으면, 훼손 사실 자체를 인지하지 못한 채 통지 의무를 놓치는 상황이 생길 수 있습니다.

개인정보보호법 개정 유출등 통지 범위 확대를 상징하는 알림 아이콘

ISMS-P 인증 의무화, 2027년 7월까지 남은 시간

네 가지 축 중 시행 시점이 가장 늦은 항목이 ISMS-P 인증 의무화입니다. 매출액이나 개인정보 처리 규모가 일정 기준을 넘는 개인정보처리자는 개인정보 보호 인증을 의무적으로 받아야 하는데, 이 규정은 관련 예산 확보 등에 걸리는 기간을 고려해 2027년 7월 1일부터 시행됩니다.

시행까지 1년 가까이 남았다고 느긋하게 생각하면 곤란합니다. ISMS-P 인증은 준비 기간이 짧지 않습니다. 보통 컨설팅부터 실제 인증 심사까지 6개월에서 1년 가까이 걸리는 경우가 흔합니다. 대상 기준에 해당하는지 스스로 판단이 서지 않는다면, 지금부터 컨설팅 업체 견적이라도 받아보는 편이 낫습니다. 2027년 상반기에 갑자기 신청이 몰리면 심사 일정 자체가 밀릴 가능성도 배제할 수 없습니다.

ISMS-P는 정보보호관리체계와 개인정보보호관리체계가 통합된 인증으로, 관제 체계, 접근 통제, 암호화, 물리적 보안까지 광범위한 영역을 심사받습니다. 처음 준비하는 조직이라면 인증 항목 하나하나를 문서화하는 것부터 큰 산처럼 느껴질 수 있습니다. 저는 개인적으로 인증 자체를 목표로 삼기보다, 인증 심사 항목을 우리 회사의 보안 수준을 점검하는 체크리스트로 먼저 활용해보시길 권합니다. 실제 인증 신청 전에 내부적으로 항목을 대조해보면 부족한 지점이 명확하게 드러나고, 그만큼 심사 통과 확률도 올라갑니다. 인증 준비 과정 자체가 조직 내부의 개인정보 처리 흐름을 처음으로 전사적으로 들여다보는 계기가 되는 경우도 많습니다.

AI 학습용 개인정보 활용 특례, 무엇이 달라지나

지금까지 살펴본 네 가지가 보호를 강화하는 쪽이었다면, AI 특례는 정반대 방향입니다. 5월 14일 국회 정무위원회를 통과한 이 조항은 개인정보보호위원회의 사전 심의·의결을 거친 경우 기존에 적법하게 수집한 개인정보를 AI 기술 개발 목적으로 활용할 수 있도록 허용합니다. 심지어 익명·가명 처리만으로는 AI 모델 개발이 어려운 경우, 원본 개인정보 활용까지 열어두고 있습니다.

다만 요건이 만만치 않습니다. 첫째 익명 또는 가명 처리만으로는 AI 기술 개발이 곤란해야 하고, 둘째 개인정보 안전처리 및 보호조치를 사전에 마련해야 하며, 셋째 공익 또는 사회적 이익 증진 목적이면서 정보주체나 제3자의 권리를 부당하게 침해할 우려가 현저히 낮아야 합니다. 세 조건 중 하나라도 미달이면 원본 정보 활용은 불가능합니다.

국회 논의 과정에서도 우려의 목소리가 만만치 않았습니다. 한 야당 의원은 “AI 학습이 끝나면 사후에 거둬들이기 어렵다”며 사후 모니터링과 피해 구제 체계의 필요성을 강조했고, 또 다른 의원은 AI 산업 발전과 국민 기본권 보호가 함께 가야 한다고 지적했습니다. 개인정보보호위원회의 사전 심의가 형식적으로 운영되면 이 특례가 사실상 무제한 정보 활용의 우회로가 될 수 있다는 비판도 함께 나옵니다. 저는 이 조항이야말로 시행령과 개보위 심의 기준이 실제로 어떻게 짜이는지 계속 지켜봐야 하는 영역이라고 봅니다.

개인정보보호위원회 위원장도 이 지점을 의식한 듯 “개인정보 보호와 AI 혁신을 함께 달성할 수 있도록 최선을 다하겠다”는 원론적인 입장을 밝힌 바 있습니다. 다만 원론적인 다짐과 실제 심의 실무는 다른 문제입니다. 심의 신청이 몰릴 경우 개보위 인력만으로 건별 심사를 꼼꼼히 해낼 수 있을지, 심의 결과를 어느 수준까지 공개할지 같은 실무적 디테일이 아직 베일에 싸여 있습니다. AI 서비스를 개발하는 입장에서는 이 특례를 활용하고 싶어도, 구체적인 심의 신청 절차와 소요 기간이 나오기 전까지는 사업 일정에 반영하기 어려운 상황입니다.

8. 일본 APPI 개정과 비교해보면

한국만의 이야기는 아닙니다. 일본은 2025년 AI 추진법을 제정한 데 이어 2026년 4월 개인정보보호법인 APPI 개정안을 국회 본회의에서 통과시키며 AI 데이터 활용 규제를 유연하게 재편했습니다. 병력이나 범죄 이력처럼 민감한 정보까지 동의 없이 AI 학습에 활용할 수 있는 길을 열어준다는 보도가 나오면서 현지에서도 논쟁이 뜨거웠던 것으로 전해집니다.

한국의 이번 개정안은 방향성 면에서 일본과 비슷하지만, 개인정보보호위원회의 사전 심의라는 관문을 하나 더 두었다는 점이 차이입니다. 이 사전 심의가 실효성 있게 작동한다면 한국의 보호 수준이 상대적으로 더 엄격하게 유지될 여지가 있습니다. 다만 심의 기준이 투명하게 공개되지 않으면 기업 입장에서는 예측 가능성이 떨어져 오히려 법적 불확실성이 커질 수 있다는 지적도 있습니다. 국내 AI 기업들이 해외 경쟁사 대비 데이터 규제로 불이익을 받지 않도록 하겠다는 정책적 판단이 이번 개정의 배경에 깔려 있는 것으로 보입니다.

정부가 함께 발표한 제3차 개인정보 보호 기본계획도 같은 맥락에서 읽힙니다. AI 학습에 불가피한 경우 안전조치를 전제로 원본 데이터 활용을 허용하되, 보호 체계는 전면적으로 손질하겠다는 게 정부 입장입니다. 결국 이번 개정 전체를 관통하는 키워드는 ‘조건부 완화’라고 저는 봅니다. 무조건 막지도, 무조건 풀어주지도 않고, 안전조치와 사전 심의라는 문턱을 통과한 경우에만 활용을 허용하는 방식입니다. 이 방식이 실제로 잘 작동할지는 개보위가 심의 기준을 얼마나 구체적이고 예측 가능하게 공개하느냐에 달려 있습니다.

개인정보보호법 개정과 일본 APPI를 비교하는 한일 지도 이미지

9. 우리 회사가 지금 해야 할 준비, 3가지

시간이 많지 않으니 우선순위를 좁혀보겠습니다. 저는 아래 세 가지를 가장 먼저 점검하시길 권합니다.

첫째, CPO 지정 현황과 보고 체계를 다시 그려보세요. CPO가 명목상으로만 존재하고 실제로는 개발팀장이 겸직하고 있다면, 이사회 보고 체계부터 새로 만들어야 합니다. 대표자가 개인정보 관련 사항을 정기적으로 보고받는 회의체가 없다면 하나 만드는 것부터 시작하시길 권합니다.

둘째, 유출 통지 프로세스와 문구를 미리 표준화해두세요. 위조·변조·훼손까지 통지 대상이 넓어진 만큼, 사고가 실제로 터진 뒤에 급하게 문구를 만들면 법적 권리 안내 항목을 빠뜨리기 쉽습니다. 법무팀과 함께 표준 템플릿을 미리 만들어두면 실제 상황에서 대응 속도가 크게 달라집니다. 통지 트리거가 될 이상 징후를 자동으로 감지하는 모니터링 체계도 함께 점검해보시길 권합니다. 사람이 매번 로그를 뒤져서 판단하는 구조라면 통지 시점 자체가 늦어질 수밖에 없습니다.

셋째, 매출 규모와 개인정보 처리량을 기준으로 ISMS-P 대상 여부를 미리 진단해보세요. 대상이라면 지금부터 컨설팅 일정을 잡아야 2027년 7월 전에 여유 있게 인증을 받을 수 있습니다. 대상이 아니더라도 자발적으로 인증을 준비해두면 향후 기준이 확대될 때 유리한 출발선에 설 수 있습니다.

세 가지 모두 당장 완결할 필요는 없습니다. 다만 9월 11일까지 최소한 “우리 회사는 어느 지점에 서 있는지”는 파악해두시길 권합니다.

여기에 넷째 항목을 하나 더 보태자면, 협력사와 위탁업체 계약서를 다시 살펴보시길 권합니다. 개인정보 처리를 외부에 위탁하고 있다면, 이번 개정으로 강화된 통지 의무와 과징금 리스크가 위탁사의 과실로 발생했을 때 원청 기업이 어디까지 책임지는지가 계약서에 명확히 규정돼 있는지 확인해야 합니다. 위탁 계약이 예전 양식 그대로라면, 이번 기회에 법무팀과 함께 개정 조항을 반영해 갱신하시길 권합니다.

10. 개인정보보호법 개정 이후 앞으로 예상되는 변화

이번 개인정보보호법 개정을 지켜보면서 저는 개인정보 보호가 이제 컴플라이언스 부서만의 과제가 아니라 경영 의제로 완전히 올라섰다는 느낌을 받았습니다. 대표자 책임 명문화, 이사회 보고 의무, 매출액 연동 과징금이라는 조합은 다른 나라 입법례에서도 점점 표준이 되고 있는 흐름입니다. 유럽의 GDPR이 매출액 연동 과징금을 도입했을 때도 처음에는 과도하다는 반발이 있었지만, 결국 기업들의 개인정보 관리 수준을 한 단계 끌어올리는 계기가 됐다는 평가가 많습니다.

동시에 AI 특례처럼 활용의 문을 넓히는 조항도 함께 움직이고 있다는 점은, 규제가 무조건 강화되는 방향으로만 가지는 않는다는 걸 보여줍니다. 보호와 활용이라는 두 축이 한 법 안에서 계속 줄다리기를 할 것이고, 그 결과는 시행령과 개보위 심의 기준이 구체화되는 과정에서 드러날 겁니다. 저는 8월 20일 시행령 시행 시점과 9월 11일 본법 시행 시점, 두 날짜를 캘린더에 표시해두고 개인정보보호법 개정 후속 가이드라인이 그 사이에 어떻게 나오는지 계속 추적해볼 생각입니다.

또 하나 지켜볼 지점은 이번 개정이 다른 법률과 어떻게 맞물려 돌아가느냐입니다. 정보통신망법과 전기통신사업법도 비슷한 시기에 침해사고 대응과 이용자 보호 의무를 강화하는 방향으로 함께 손질되고 있습니다. 세 법이 거의 동시에 개정되면서 규제 체계가 한층 촘촘해지는 셈인데, 기업 입장에서는 각 법의 통지 의무와 보고 절차가 서로 겹치거나 충돌하는 부분은 없는지 함께 검토할 필요가 있습니다. 개인정보보호법만 따로 떼어서 대응하다가 다른 법의 요건을 놓치는 경우가 실무에서는 의외로 자주 발생합니다.

마무리하며

이번 개인정보보호법 개정은 CPO와 법무팀만의 일이 아니라 대표자 책임까지 명문화된 만큼, 경영진이 직접 챙겨야 할 사안이 됐습니다. 오늘 소개해드린 세 가지 준비사항, CPO 보고체계 점검·유출 통지 프로세스 표준화·ISMS-P 대상 여부 진단만이라도 이번 달 안에 시작해보시길 권합니다. 개인정보보호법 개정 시행일이 다가올수록 준비된 조직과 그렇지 않은 조직의 격차는 뚜렷해질 것입니다.

다섯 갈래 개정 중 어느 하나만 챙겨서는 충분하지 않다는 게 이번 글을 쓰면서 제가 가장 강하게 느낀 지점입니다. 대표자 책임, 과징금, 통지 범위, ISMS-P, AI 특례가 서로 맞물려 있는 만큼, 담당 부서를 하나로 특정하기보다 경영진과 실무진이 함께 테이블에 앉아 우선순위를 정하는 과정이 필요해 보입니다.

혹시 여러분 회사는 CPO를 별도로 두고 계신가요, 아니면 겸직 체계인가요? 이번 개정을 계기로 어떤 준비를 시작하셨는지 댓글로 공유해주시면 다음 글의 방향을 잡는 데 큰 참고가 될 것 같습니다.

함께보면 좋은 글

댓글 남기기