징벌적 과징금 제도의 신설과 개인정보 보호 인증의 의무화 : 개인정보 보호 관리체계의 전환과 과제

작성일 : 2026년 6월 17일 작성자 : in KISO저널 제63호, 법제 동향

1. 들어가며 – 2026. 3. 10.자 개인정보보호법 개정

2011. 9. 30. 개인정보보호법(이하 ‘법’)이 제정 시행된 이래 여러 차례의 법 개정이 이뤄져 왔다. 이 법은 개인정보자기결정권으로 대변되는 정보주체인 국민의 권리를 보호하는 것을 주된 목적으로 제정된 것으로, 그 이후의 개정들은 시대의 변화를 반영하기 위한 법 개정 작업이 이뤄진 것도 있고 특정한 시점에 발생한 사건에 대한 반향으로 법 개정이 이뤄진 경우도 있다.

대표적으로, 2014. 3. 24. 개정은 주민등록번호를 보관하는 개인정보처리자에게 주민등록번호를 암호화해 보관하도록 하는 의무를 규정했는데, 이는 당시 카드사 등에서 대규모 개인정보 유출 사고가 발생함으로 인해 사회문제화 되고 개인정보가 유출될 경우 무분별하게 상업적으로 활용되거나 각종 범죄에 악용되는 등 2차 피해가 발생할 수 있으므로 유출 시 피해를 최소화하기 위한 대책으로 마련됐다.

2026. 3. 10.자 법 개정 역시 개정 이유가 유사하다. 개정 이유에 의하면, 주요 통신사, 금융사, 플랫폼 사업자 등의 대규모 개인정보 유출 사고가 연이어 발생하면서 국민 피해가 지속적으로 확대되고 있는 바, 보다 강력한 과징금 제도를 마련해 현행 제재 수단의 한계를 보완하고, 일정 규모 이상의 개인정보처리자에 대한 개인정보 보호 인증을 의무화하는 등 개인정보 보호 체계를 정리하기 위한 것이라고 한다.

이 법 개정의 주요 내용은 ① 대표자의 책임 명확화, ② 개인정보 보호 인증 의무화, ③ 유출 가능성 통지제 도입 및 통지 범위 확대, ④ 반복적이거나 중대한 개인정보 침해에 대한 과징금 제도 강화 등이다. 위 4가지 쟁점 모두 실무상 매우 중요한 사항들이나, 본고에서는 과징금 제도 강화 및 개인정보 보호 인증 의무 제도에 대해 살펴보고자 한다.

2. 과징금 제도 강화 등

가. 중대 과징금 제도

현행 법 제64조의2는 일정한 법 위반 행위에 대하여 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있도록 규정하고 있다. 개정법은 이에 더해서 일정한 경우에는 전체 매출액의 10% 이내에서 과징금을 부과할 수 있도록 하여 과징금 제도를 강화했다(이하 ‘중대 과징금’). 기존의 과징금 제도에 비해 징벌적 성격이 있음을 부인할 수 없다.

1) 중대 과징금 제도의 적용 요건

중대 과징금 부과의 요건을 살펴보면 다음과 같다.

① 과징금 부과처분을 받은 날부터 3년이 경과하기 전에 (법 제64조의2 제1항) 같은 호에 해당하는 위반행위를 한 경우로서, 각각 고의 또는 중대한 과실이 있는 경우(제1호)

본 호는 1회의 법 위반으로 과징금 처분을 받고 동일한 호의 위반 행위를 한 경우에 해당한다. 2회째 법 위반으로 중대 과징금 처분을 받고 또 다시 3년 내에 동일한 호의 위반 행위가 발생한 경우에도 역시 중대 과징금 처분의 대상에 해당하게 된다.

동 호의 적용 요건과 관련해서는 입법상 내지 해석상의 의문들이 존재한다. 먼저, ‘동 호의 위반행위’가 있는 경우에 본 호가 적용되는데, 예컨대 15조 1항(수집 및 이용) 위반으로 제1호 위반의 행위를 하여 과징금 처분을 받았다면 그 후 전혀 다른 행위로 인하여 법 제17조 제1항(제3자 제공)의 위반이 발생한 경우에도 역시 제1호 위반에 해당할 수 있다. 각 행위의 행위 태양이 매우 다를 수 있고, 또한 위반의 대상이 되는 적용 법조 또한 상이한 경우에도 법 제64조의2 제1항의 각 호에서 편의 상 하나의 호로 묶어 두었다는 것만으로 이를 반복적 위반 행위라고 보아 중대 과징금이 부과되는 것은 형평의 원칙에도 부합하지 아니한다. 애초 이 부분 법 개정은 대규모 개인정보 유출 사고의 발생이 계기가 됐던 것으로, 개인정보 유출 사고의 경우에는 법 제64조의2 제1항 제9호가 적용되고, 이 제9호의 경우 하나의 행위 요건만 규정돼 있어 앞서 살펴본 바와 같은 해석상의 논란이 발생할 여지가 없다. 공정한 법 집행을 위해서는 ‘같은 호에 해당하는 위반행위’의 문구를 ‘같은 위반 행위’와 같은 행위 태양을 중심으로 동일한 행위의 반복으로 한정 해석하거나 또는 그러한 취지로 법 개정이 필요하다 할 것이다. 그래야만 법 개정의 취지인 가중 제재의 본래적 의미를 잘 담은 집행이 이뤄질 수 있을 것이다.

한편 개인정보 유출 사고의 경우, 즉 제9호가 적용되는 경우에도 논리적 의문이 존재한다. 예컨대, 개인정보 유출 사고가 발생했지만, 임직원이 고의로 개인정보를 외부에 판매한 경우와 같은 사례가 있을 수 있고, 외부 해커의 공격에 의해 개인정보가 유출된 경우가 있을 수 있는데, 각각의 경우 행위의 형태도 전혀 다르고, 각 호의 안전성 확보조치 의무 조항에 대한 위반의 내용도 전혀 상이할 수 있다. 유출 사고의 경우 사고가 발생하면 동일한 과징금 처분 규정(법 제64조의2 제1항 제9호)이 적용되게 되므로, 한 차례 사고 발생 이후 3년 이내에 다시 사고가 발생하는 경우 그 사고의 경위가 어떠하든 중대 과징금 제도가 적용되게 된다.

다음으로 기산 시점에 대해 살펴볼 필요가 있다. 중대 과징금 적용의 요건 중 ‘3년’의 기산은 과징금 부과처분일이 기준이 되고 그 날로부터 위반행위의 발생 시점이 3년 이내인 경우에 동 호가 적용된다. 추가 위반행위의 발생 시점은, 예컨대 외부 해커에 의한 개인정보 유출 사고가 발생한 경우에 3년의 기산은 이전 과징금 부과처분일로부터 외부 해커에 의한 개인정보 유출이 발생한 시점이 3년 이내인 경우로 해석하는 것이 법문에 부합한다. 그런데, 과징금 처분 고시에 따른 위반 행위의 기간을 판단함에 있어서 현재 개인정보보호위원회의 실무는 ‘유출 행위’를 기준으로 판단하는 것이 아니라 ‘법 제29조 위반 행위의 기간’을 총칭하여 기간의 장단을 판단하고 있는 것으로 보인다. 이렇게 해석하게 되면 개인정보의 유출 자체는 과징금 처분일로부터 3년이 지난 이후의 시점에 발생했다고 하더라도 관련된 안전성 확보조치 의무 위반의 내용이 유출 행위 이전부터 존재했고 그 시작 시점이 과징금 처분일로부터 3년 이내인 이상 본 호가 적용되게 되는 결과가 된다. 이러한 해석은 기존의 과징금 부과 기준인 법 제64조의2 제1항 제8호의 문언 및 과징금 부과 고시의 문언에도 맞지 않을 뿐더러, 중대 과징금 제도의 적용을 부당하게 확대하는 결과가 될 수 있다. 따라서, 고시 등을 통해 3년의 기산 시점에 대한 해석을 명확하게 하거나 또는 유출 사고의 장단기 판단에 대한 개인정보보호위원회의 기존의 실무 관행을 재고할 필요가 있다.

제1호는 객관적 요건으로서 법 제64조의 제1항 각호의 위반 행위가 3년 내에 다시 발생한 경우여야 할 뿐만 아니라 주관적 요건으로서 개인정보처리자가 고의 또는 중대한 과실이 있는 경우에 적용된다. 그런데, 고의 중과실 요건에 대해서는 기존의 민, 형사법 상 집적된 법원의 선례들이 존재함에도 불구하고, 개인정보보호위원회는 과징금 처분을 함에 있어서 고의, 중과실에 대해 기존의 법원 선례보다 매우 넓게 인정하고 있는 것처럼 보인다. 이러한 개보위 실무례 하에서는 중대 과징금 규정이 적용될 가능성이 더욱 높게 될 것이다.

② 고의 또는 중대한 과실로 각호 어느 하나의 위반행위를 하고 정보주체의 피해 규모가 1천만명 이상인 경우(제2호)

본 호는 제1호와 달리 선행의 과징금 처분이 없는 경우에도 적용이 가능하다. 정보주체의 피해 규모는 예컨대, 동의 없이 수집한 경우에는 그와 같은 방법으로 수집한 정보의 정보주체의 수, 외부 해커에 의해 개인정보가 유출된 경우에는 유출된 개인정보의 정보주체의 수를 기준으로 적용 여부를 판단하게 될 것이다. 이 때 정보주체는 대한민국인 또는 국내 거주 외국인과 같이 한국 법의 적용을 받는 주체로 한정돼야 할 것이다. 고의 또는 중대한 과실의 적용 범위가 기존 판결례에 따라 한정돼야 한다는 점은 제1호의 경우와 같다.

③ 시정조치 명령에 따르지 아니하여 개인정보처리자가 법 제64조의2 제1항 제9호의 위반행위(유출 사고의 발생 및 안전성 확보조치 의무 위반)를 한 경우

본 호는 유출사고가 재발한 경우를 전제로 한 것으로 이해된다. 그런데, 개인정보보호위원회의 시정조치 명령은 예컨대, ‘개인정보보호 강화 및 유출사고 재발 방지를 위해, 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위한 안전조치를 강화할 것’,1 ‘개인정보 처리 현황을 면밀히 파악하여 이동통신망 내 개인정보처리시스템에 대한 불법적인 접근 가능 경로 및 취약점 등 침해사고 위험 요소를 사전에 분석·차단하는 등 안전조치를 강화할 것’2 과 같이 매우 포괄적으로 내려지고 있어서, 실제로 시정조치 명령을 따라 안전조치 의무가 모두 이행됐는지 여부를 사후적으로도 판단하기가 어렵다. 이러한 사정을 고려하면 ‘시정조치 명령을 따르지 아니’한 경우는 실제로 시정조치에 따른 안전조치 강화 등의 대책이 전혀 마련되지 않은 경우와 같은 경우에 해당하는 것으로 보아야 한다. 나아가, ‘시정조치 명령에 따르지 아니하여’ 위반행위를 한 경우에 본 호가 적용되는 것이므로 명령 미이행과 위반행위 사이에 인과관계가 인정돼야 하고, 따라서 시정명령 조치의 내용과 위반행위에서 문제된 안전성 확보조치 의무 대상이 동일한 경우에만 본 호가 적용돼야 할 것이다.

본 호는 고의 또는 중대한 과실의 주관적 요건을 요하지 아니한다. 따라서 위반행위가 경미한 과실로 인한 경우에도 적용된다.

나. 과징금 감면

개인정보 보호위원회는 개인정보 보호를 위하여 예산, 인력, 설비, 장치 등을 투자하고 운영하는 등 일정한 사유가 있는 경우에는 과징금을 감경한다(개정법 제64조의2 제6항). 일정한 사유에 해당하는 경우에는 보호위원회가 의무적으로 감경하도록 한 조항이다. 2026. 6. 1.자로 입법예고된 시행령 개정안에 의하면, 일정한 사유는 ‘1. 개인정보 보호를 위하여 투입된 예산, 인력, 설비, 장치 등의 투자 규모 및 지속성. 2. 사업주 또는 대표자, 개인정보 보호책임자의 역할, 조직 및 인력 구성 등 개인정보 보호 체계 운영 내용 및 수준. 3. 개인정보 안전성 확보조치 강화를 위한 추가 노력’이 인정되는 경우에는 의무 감경에 해당하게 된다. 다만, 시행령 개정안은 의무 감경을 위해 고려돼야 하는 요소를 확인할 수 있으나 나아가 각 호의 요건을 어느 정도 갖춰야 의무 감경 요건을 충족하는지를 파악하기에는 매우 어려움이 있다. 추가적인 하위 입법을 통해 구체화될 필요가 있을 것이다.

개인정보처리자의 고의 또는 중대한 과실로 위반행위를 한 경우에 본 조의 감경 조항은 적용되지 아니한다(개정법 제64조의2 제6항 단서). 본 항은 의무 감경 조항이므로 고의 또는 중과실이 있는 경우에는 의무 감경을 하지 않는다고 규정한 것이어서 본 항의 적용범위를 제한한 것으로 볼 수 있다. 앞서 언급한 바와 같이 ‘고의 또는 중대한 과실’은 기존의 법 체계에서 많은 사례를 통해 그 범위가 축적돼 왔는데, 보호위원회의 실무는 고의 또는 중대한 과실을 범위를 매우 넓게 인정하고 있는 것으로 보인다. 이 경우 본 항의 개정에도 불구하고 실제로 개인정보처리자가 실시한 예방적 노력에 비해 의무 감경이 적용될 여지가 줄어들게 될 가능성이 있는 바 이러한 점은 향후 실무적으로 개선돼야 할 부분일 것이다.

다. 중대 과징금 제도 도입에 대한 평가

중대 과징금 제도는 정보주체의 개인정보를 관리하는 개인정보처리자가 그 수집, 이용에 대한 책임을 더 중하게 가지도록 하고, 더 중한 책임을 물어야 할 필요가 있는 경우에 그에 상응하는 책임을 지우기 위한 취지로 도입된 제도이다.

다만, 기존의 매출액 기반의 과징금 제도(정보주체의 수는 과징금 가감의 고려사항은 되지만 기본적으로 기준 과징금의 수액은 관련 매출액을 기반으로 산정되므로, 매출액이 높다면 문제된 개인정보의 수가 적더라도 거액의 과징금이 처분될 수밖에 없다)에서도 하나의 위반행위에 대하여 매출액의 3%까지의 과징금을 부과할 수 있었고, 그 과징금의 수액 또한 개인정보처리자의 입장에서는 과중하다고 느낄 법한 수치였다. 본 법 개정을 통해 매출액의 10%까지 과징금을 부과할 수 있게 됐고, 그 액수는 다른 법령들의 과징금 제도에 비춰 보아도 매우 높은 비율이라고 할 수 있다. 따라서, 법 제도의 운영에 있어서도 비례의 원칙과 자기 책임의 원칙에 부합하는 과징금 처분 실무가 운영돼야 할 필요가 있다.

3. 개인정보 보호 인증 의무화

가. 개인정보 보호 인증(ISMS-P) 의무화

정보통신망법 제47조는 정보보호 관리체계(ISMS)의 인증에 관하여 규정하고, 동조 제2항은 일정한 경우(기간통신사업자, 집적정보통신시설 사업자, 전년도 매출액이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 일일평균 이용자수 100만명 이상으로서, 일정한 기준에 해당하는 자)에 ISMS 인증을 의무화하고 있다. 한편, 개인정보보호법 제32조의2는 개인정보 보호에 대한 인증 제도(ISMS-P)를 별도로 두고 있는데, 개정 법은 매출액, 개인정보의 처리 규모를 고려해 일정한 기준에 해당하는 개인정보처리자에 대하여는 인증 의무를 규정했다. 기존에는 ISMS-P 인증은 의무가 아니었으나 일정한 기준에 해당하는 개인정보처리자에 대하여는 의무적으로 ISMS-P 인증을 받아야 하게 됐다. 인증 관련 조항은 개정 법의 다른 조항과는 달리 2027. 7. 1 시행 예정이다. 그에 따라 인증 대상자의 인증 획득 완료 시점은 2028년 이후로 예상되고 있다.

ISMS-P 인증 의무의 대상에 대하여는 2026. 6. 2.자로 입법 예고된 시행령 개정안을 통해 확인할 수 있다. 그에 따르면 1. 공공시스템 운영기관 중 보호위원회가 지정하여 고시하는 자, 2. 이동통신사업자, 3. 정보통신망법에 따른 본인확인기관, 4. 전년도 매출액이 1조원 이상이고, 정보통신서비스 부문 전년도 매출액이 100억원 이상이며, 전년도 직전 3개월간 저장, 관리되는 개인정보가 일평균 3,000만명 이상인 자(임직원 제외)로서 금융회사가 아닌 자가 그 대상이 된다.

나. 인증 제도 운영 강화

최근 대규모 개인정보 유출 사고가 발생한 기업들이 ISMS 인증 내지 ISMS-P 인증을 이미 보유하고 있음에도 사고가 발생한 점에 대해 인증 제도 무용론이 제기되기도 하였다. 그에 따라 정부는 여러 차례의 대책 회의를 통해, 사후 심사를 통한 인증 취소 제도를 실효적으로 운영하기로 했다.3 인증을 받았다고 해서 해킹 사고를 100% 막을 수 없다는 점을 고려할 때 인증 취소의 범위가 과도하게 확대될 경우 사고가 발생하면 곧바로 인증 취소의 위험이 현실화될 수 있다는 점에서 구체적인 집행 범위에 대하여 숙고할 필요가 있으며, 과도한 인증 취소는 그 자체로 인증 제도의 무용론을 강화하는 근거가 될 수 있다는 점도 그 운영 시에 유의할 필요가 있다.

다. ISMS-P 인증 의무 제도에 대한 평가

ISMS 인증 제도가 정보보안에 초점을 맞춘 반면, ISMS-P는 여기에 더해 개인정보 보호의 관점에서 보호 체계의 구축 및 운영에 대해 점검하고 인증하는 제도이다. 따라서, 개인정보의 보호 관점에서는 ISMS 인증보다 ISMS-P 인증 제도가 보호 체계의 구현을 점검하는 데 있어 더 효과적인 제도인 것도 사실이다.

이에 ISMS-P 인증 제도가 의무화됨으로 인해 기존에 정보보호 관리체계를 구축하고 있던 기업들은 좀 더 면밀한 점검 체계를 도입해야 할 필요성이 제고됐다고 할 수 있다.

4. 나가며 – 예방 중심 개인정보 보호 체계의 강화

개인정보보호위원회는 2026년의 업무계획의 주요 방향성으로 예방 중심의 개인정보 보호 체계를 구축하는 것을 목표로 한다고 밝힌 바 있다. 대표적인 것이 2026. 5. 22.에 공개한 ‘예방 중심 개인정보 관리 체계전환 계획’이다. 이는 개인정보처리자들이 사전에 개인정보 보호를 위한 대비를 하고 자발적으로 보안, 보호 투자를 확대하도록 유도하고 이를 위한 인센티브 정책을 실시하겠다는 것으로 볼 수 있다. 예방 중심 및 자율적인 보호 체계 구축을 위한 지원이 반드시 제재 수준의 완화를 의미하는 것은 아니지만, 적어도 충실한 예방 체계를 갖추도록 노력하였을 경우에 그에 대한 불의의 사고가 발생한 경우 상응하는 고려가 있어야 함을 의미한다. 개정 법에서 중대 과징금 제도를 신설하고, 나아가 ISMS-P 인증 제도를 의무화하고 그 운영 점검을 강화하며 필요한 경우 인증 취소도 고려하겠다는 방향성 역시 충실한 예방체계 구축을 위한 가이드로 보아야 할 것이다.

  1. 개인정보보호위원회 제2026-007-052호 심의·의결 [본문으로]
  2. 개인정보보호위원회 제2025-018-243호 심의·의결 [본문으로]

  3. 파이낸셜 뉴스, 대규모 개인정보 유출 때 ISMS-P 인증 취소한다, 2025. 12. 29.자.

    https://v.daum.net/v/20251229145405847

    [본문으로]

태그 : , , , ,
저자 : 강태욱

법무법인(유) 태평양 변호사, 법학박사

관련있는 글
「가상자산 이용자 보호 등에 관한 법률」의 주요 내용과 관련 쟁점 「가상자산 이용자 보호 등에 관한 법률」의 주요 내용과 관련 쟁점
‘약학정보원 사건’ 무죄 판결의 함의 ‘약학정보원 사건’ 무죄 판결의 함의
「통신비밀보호법」의 통신감청규정의 문제점과 개선방향 「통신비밀보호법」의 통신감청규정의 문제점과 개선방향
유럽연합 개정 제조물책임지침의 주요 내용과 시사점 유럽연합 개정 제조물책임지침의 주요 내용과 시사점
빅데이터 활용을 위한 일본 개인정보보호법의 개정논의와 자율규제 빅데이터 활용을 위한 일본 개인정보보호법의 개정논의와 자율규제
인터넷 명예훼손정보에 대한 피해자의 심의신청 관련 정보통신 심의규정의 개정 논의와 쟁점 인터넷 명예훼손정보에 대한 피해자의 심의신청 관련 정보통신 심의규정의 개정 논의와 쟁점
콘텐츠 관련 분쟁에 있어서 ADR의 발전 콘텐츠 관련 분쟁에 있어서 ADR의 발전
AI에게 묻고, 포털에서 확인하다 : 질문형 AI 시대의 정보 탐색 변화 AI에게 묻고, 포털에서 확인하다 : 질문형 AI 시대의 정보 탐색 변화