유출은 더 커지고, 책임은 더 무거워진다…기업이 지금 준비해야 할 것들

안녕하세요. 디지털에이전시 이앤아이입니다.

최근 개인정보보호위원회가 쿠팡과 KT에 대한 개인정보 유출 조사를 모두 ‘마무리 단계’에서 진행 중이라고 밝혔습니다. 쿠팡은 작년 11월 신고 접수 직후 전담팀이 꾸려져 현장 상주 조사까지 이어졌고, KT도 작년 9월 악성코드 감염이 확인된 뒤 조사 범위가 확대되며 장기전이 됐습니다. 이제 곧 결과가 나온다는 얘기인데요. 이번 이슈가 더 중요한 이유는 “조사 결과” 못지않게, 앞으로 기업들이 따라야 할 개인정보 보호의 기준과 책임이 한 단계 더 올라가고 있기 때문입니다.

먼저 제재의 강도가 달라집니다. 국회는 고의·중과실로 대규모 유출이 발생한 경우 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 이른바 ‘징벌적 과징금 특례’를 도입했습니다. 기존 상한 3%는 유지되지만, 일정 요건을 충족하면 10%가 적용됩니다. 반복 위반이 있거나, 1000만 명 이상 대규모 피해를 냈거나, 시정명령을 따르지 않아 추가 피해가 난 경우가 대표적입니다. 공포 후 6개월 뒤 시행이라 이르면 9월 초 적용될 수 있어, 올해 하반기부터는 ‘유출 후 비용’이 경영 리스크로 체감될 가능성이 큽니다.

흥미로운 변화도 함께 들어왔습니다. 선제적으로 개인정보 보호에 투자한 기업은 과징금을 “필수적으로 감경”할 수 있도록 조항이 신설됐다는 점입니다. 예산과 인력, 시설·장비를 갖추고 탐지·차단 정책을 마련한 경우가 해당됩니다. 말 그대로 보안을 비용으로만 보지 말고, 평소에 체계를 갖추면 위기 때 방어막이 된다는 신호로 읽힙니다. 실무에서는 침해 탐지 체계, 접근권한 최소화, 로그 모니터링, 협력사 관리 같은 기본을 ‘문서와 증적’으로 남겨두는 일이 더 중요해지겠습니다.

책임의 무게도 달라집니다. 개정안은 CEO의 최종 책임을 더 명확히 하고, CPO(개인정보보호책임자)에게 실질 권한을 부여하는 방향으로 설계됐습니다. CPO의 지정·변경·해제에 이사회 의결을 의무화하고, 당국 신고 제도도 도입됩니다. 조직도 한 칸에 이름만 올려둔 ‘명목 CPO’로는 더 버티기 어려워진다는 뜻입니다. 개인정보를 다루는 부서와 IT 운영팀, 보안, 법무, 홍보까지 한 덩어리로 움직이는 프로세스가 필요해집니다.

통지 제도도 바뀝니다. 기존에는 ‘유출이 됐음을 알았을 때’ 통지하도록 되어 있어, 사실 확인이 길어지면 통지가 지연되는 문제가 있었습니다. 앞으로는 ‘유출 가능성’ 단계에서도 정보주체에게 알리는 제도가 도입됩니다. 이 변화는 대응 속도를 끌어올리지만, 기업 입장에선 더 빨리 더 정확히 상황을 판단해야 한다는 의미이기도 합니다. 즉, 사고 대응 매뉴얼과 대외 커뮤니케이션 기준을 미리 만들어두지 않으면 혼란이 커질 수 있습니다.

개보위는 조사와 별개로 사전 예방 점검도 확대하겠다고 밝혔습니다. 대규모·고위험 시설은 위원회가 직접 점검하고, 중규모는 소관 부처와 협력해 점검하며, 영세 소상공인에게는 컨설팅과 자원 지원을 한다는 구상입니다. 유출 환경이 급변해 2022년 500만 건 수준이던 유출 규모가 2025년 1억 건을 넘겼다는 언급도 있었죠. AI 확산으로 새로운 침해 유형이 늘어난다는 진단까지 더해지면서, 이제 개인정보 보호는 ‘사고가 나면 처리하는 일’이 아니라 ‘처음부터 서비스 설계에 포함해야 하는 일’이 되고 있습니다.

메타 설명: 개인정보보호위원회가 쿠팡·KT 개인정보 유출 조사를 마무리 단계에서 진행 중인 가운데, 징벌적 과징금(최대 매출 10%) 도입과 CEO·CPO 책임 강화, 유출 가능성 통지제 등 개정 개인정보보호법 핵심 변화를 정리하고 기업이 준비할 실무 포인트를 소개합니다.

이앤아이와 함께 더 나은 웹 환경을 만들어 나가요!

#개인정보보호 #개인정보유출 #개인정보보호위원회 #쿠팡유출 #KT악성코드 #징벌적과징금 #개인정보보호법개정 #CPO책임 #CEO책임 #유출가능성통지제 #이앤아이 #디지털에이전시 #대학교홈페이지 #병원홈페이지 #AI전문기업