개인정보 유출 과징금...매출액 10%

 

“사후 처벌에서 사고 예방 중심으로” 개인정보 보호체계, 근본적 전환 추진

 

- 중대·반복 위반 시 매출액 최대 10% 징벌적 과징금 부과로 억지력 강화

- 기업의 자발적 보안 투자 확대를 위한 인센티브 체계 전면 개편

- 고위험 분야 정기 점검 및 국민 권리 보호 강화

 

2026. 5. 12

 

금년 하반기부터 주요 공공시스템과 대규모 개인정보를 처리하는 약 1,700개 고위험 시스템에 대해서는 정부가 직접 정기적인 점검을 실시하는 한편, 선제적인 개인정보 보호 투자를 한 기업․기관에 대해서는 합당한 인센티브가 부여된다.

 

개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 이 같은 내용을 담은 「예방 중심 개인정보 관리체계 전환 계획」을 5월 12일(화) 대통령 주재 국무회의에서 보고했다.

 

이번 계획은 AI 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용이 전 분야에서 빠르게 늘어나는 상황에서, 사회 전반의 개인정보 보호 수준을 높이고 대형화되는 유출사고에 보다 실효적으로 대응하기 위해 마련됐다.

 

 

주요 추진내용은 다음과 같다.

 

 

󰊱 중대·반복 위반 제재 강화로 억지력 제고

 

먼저, 반복적이거나 중대한 개인정보 보호법(이하 ‘보호법’) 위반행위에 대해서는 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높인다.

 

과징금 산정 기준도 현행 ‘3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘3년 평균 매출액’ 중 높은 금액을 적용한다. 또한 신속한 조사와 처분을 위해 이행강제금을 부과하는 제도를 도입한다. 증거 은닉 행위는 제재를 강화하는 한편 신고포상금 제도도 도입할 계획이다.

 

다만, 영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되, 위반이 반복될 경우에는 엄정 대응할 방침이다.

 

 

󰊲 자발적 보호투자 확대 및 위험기반 관리체계 구축

 

기업이 형식적인 보호법 준수를 넘어 실질적인 개인정보 보호 수준 향상을 위한 투자 확대와 책임경영을 강화하도록 유도한다. 앞으로는 법정 기준을 상회하는 선제적 보호조치, 적극적인 보안투자, 실효적인 안전관리체계 운영 여부를 종합적으로 평가해 과징금 감경 등 인센티브를 부여할 예정이다.

 

이와 함께 오는 9월부터 시행되는 경영진의 개인정보 보호 책임이 충실히 이행될 수 있도록, 기업의 개인정보 보호활동을 공개하도록 유도해 기업 스스로 보호 역량을 높이도록 할 계획이다.

 

한편, 개인정보위도 위험 수준에 따라 차등적으로 점검하는 위험기반 관리체계를 구축한다. 주요 공공시스템(387개)과 교육·복지 등 고위험 분야는 개인정보위가 직접 집중 관리한다.

 

또한, 기업과 산업 전반의 개인정보 보호 경쟁력을 높이기 위해 클라우드 사업자, 전문수탁사, 시스템 공급사를 포함해 공급망 전반으로 점검을 확대한다. 개인정보위는 현재 상조 회사, 고객상담센터 등을 점검하고 있으며, 조속히 마무리하여 발견된 미비점은 시정을 권고할 예정이다.

 

개인정보 처리 환경이 갈수록 복잡해짐에 따라 서비스가 출시된 이후에는 침해를 인지하거나 방지하기가 쉽지 않은 만큼, 시스템 설계 단계부터 개인정보 보호를 반영하는 개인정보 중심 설계(PbD, Privacy by Design*)의 필요성도 커지고 있다.

 

* 제품 또는 서비스의 기획·제조·파기 등 전 과정에서 개인정보 보호 요소를 충분히 고려

 

 

이에 개인정보위는 서비스 기획·설계 단계부터 PbD 원칙이 반영되도록 PbD 원칙을 제도화한다. 또한 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 보호 중심설계 원칙을 반영할 계획이다.

 

 

개인정보위는 지난 2월 현황 조사를 통해 공공부문의 개인정보 보호 인력과 예산 부족을 확인한 바 있다. 이에 관계부처와 협력하여 전담 인력과 예산을 확충하고, 민관 협력을 통해 전반적인 보호 수준을 끌어올릴 계획이다. 개인정보 보호 전담인력의 처우 개선도 함께 추진한다.

 

개인정보 보호 전문인력 양성 기반도 구축한다. 현장에서 실제 문제를 해결할 수 있는 전문인력을 양성하기 위해 대학원 과정을 권역별, 지역별로 확대해 나갈 방침이다. 정책 담당자, 개발자, 사고 대응 조직과 같이 대상별 직무를 분석해 맞춤형 실무 교육 프로그램도 새롭게 설계해 운영할 계획이다.

 

 

󰊳 신속한 피해구제와 회복 지원

 

개인정보 유출로 인한 국민 피해를 보다 실질적으로 구제하기 위해, 유출 사고 시 기업·기관의 손해배상 책임을 원칙으로 하고, 전반적인 입증 책임을 기업이 지도록 해 법정 손해배상 제도를 활성화한다.

 

또한 다크패턴처럼 이용자를 속이거나 오인하게 만들어 개인정보 수정, 동의 철회, 탈퇴를 어렵게 하는 행태를 집중 점검하고, 개인정보 침해신고센터도 전문상담과 컨설팅, 피해조치 지원 등 기능을 강화한다.

 

민감정보 유출 시에는 SNS 등에서의 불법 유통 여부를 모니터링하여 탐지·삭제하고, 수사기관과 협력해 개인정보 불법 유포자와 이용자를 끝까지 추적·처벌하는 등 엄정 대응할 방침이다.

 

개인정보위 송경희 위원장은 “모든 사고가 그렇듯이, 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다.”라며, “개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축하여 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다.”라고 밝혔다.

 

1

중대·반복 위반 제재 강화로 억지력 제고

 

□ (징벌적 과징금) 중대·반복 사고 시 매출액의 최대 10%까지(기존 3%) 과징금을 부과, 투자소홀로 축소한 비용을 대폭 상회하는 경제벌 확립

 

 

< 징벌적 과징금 부과기준(안) >

▸(법정요건) △고의·중과실로 △3년 내 반복 사건, △1천만명 규모 이상의 피해 발생 ▸(판단기준) 재발 경위, 고의성 및 의도성, 국민적 피해 규모 및 2차 피해 등 중점 고려

 

※ 영세·소상공인의 경미한 위반은 개선·지원에 중점. 단, 반복 위반시 엄정 제재

 

 

□ (조사 강제력 강화) 이행점검 강화, 미이행·비협조 시 이행강제금 도입

 

•【이행점검 효과(‘25.下~’26)】 SKT·건강보험공단 등 92개 기업·기관 시정명령으로 207개 항목 개선 → 안전조치 강화, 내부체계 정비, 수탁자 관리·감독 강화, 주민번호 수집 제한 등

 

 

2

자발적 보호투자 확대 및 위험기반 관리체계 구축

□ (예방투자 유도) △법정기준을 상회하는 선제적 안전조치, △보호 책임경영 등 자발적 예방 보호활동을 촉진하는 인센티브 체계 마련

 

구 분	주요 고려사항 예시
• 동종업계 대비 우수한 보안투자	(참고)IT대비 보호투자 비중: 금융(9.6%), 정보통신(6%)
• 실효적 개인정보 안전관리체계 구축·운영	전담 조직·인력, 영향평가 등 상시위험관리, 신속복구역량
• 법정 기준을 상회하는 추가적 보호조치	암호화, 추가인증, 취약점 신고·공개제도(CVD·VDP) 등

 

□ (위험 비례 예방점검·관리) 사각지대 없는 개인정보 보호 안전망 구축

 

○ (실태점검) 100만명 이상 개인정보 처리 공공기관·기업(약 17백개), 클라우드·시스템 공급사 등 고위험 분야는 정기·수시 점검 등 집중 관리

 

- 상조회사, 고객상담센터, 결혼정보업체, 초·중·고 에듀테크도 추가 점검(‘26~)

 

•【사례(‘25.下)】 ①슈퍼앱(5개) : 정보 이전·공유시 접근권한 관리 강화, 동의·탈퇴 절차, 내부통제 정비 ②클라우드(3개사): 클라우드 이용기업에게 안전조치 추가설정, 보안솔루션 별도 구독 등 안내조치

※ 보유규모, 유출시 파급도가 적은 일반 분야는 소관부처 중심 점검체계 확립

 

○ (제도 정비) 개인정보 보호 중심 설계(PbD) 원칙이 구현되도록 개선

□ (역량 확충·민관 협력) 공공부문 개인정보 보호 전담인력과 재원 확보를 지원하는 한편, 사고 시 징계 등 책임 강화 및 전담인력 처우개선 추진

 

•【공공부문 인력·예산 점검결과(‘26.2.)】 개인정보보호 전담인력은 중앙 1.1명, 기초지방정부 0.3명 수준

○ CEO의 최종 책임을 법에 명시하고 CPO(개인정보보호책임자)의 전문성을 강화*하는 한편, CPO 협의회 협업으로 위협 조기경보 연락체계 운영(’26~)

* 100만명 이상 처리+매출액 1.8천억원 이상 시 일정 자격·경력을 보유한 CPO 지정 의무화(약 700개)

 

※ 민간부문 분야별·권역별 전문인력(석·박사), 직무기반 교육 등 현장실무형 인재 양성 추진

 

 

3

신속한 피해구제와 회복 지원

□ (피해구제) 유출 시 기업·기관의 책임을 원칙으로 하고, 전반적 입증책임을 기업·기관이 지도록 하여 법정 손해배상(최대 300만원) 활성화(법안 발의, ‘26.2)

 

□ (국민권리 강화) 다크패턴* 점검·개선, 침해신고센터** 기능 강화 등

 

* 이용자를 속이거나 오해하게 만들어 개인정보 수정·동의·철회를 어렵게 함

 

** 기존법 안내 상담 → 개선전문적 법률상담, 피해회복 조력 등 종합지원체계 단계적 구축(‘26~)

 

□ (불법유통 엄벌) SNS·다크웹상 개인정보 불법유통 모니터링 강화, 불법 개인정보 유포·이용자는 추적·엄벌(법안 발의, ’26.2.)