개인정보위, 유출사고 예방체계 강화…공공시스템 387개 집중관리
예방점검·안전한 데이터 활용·국민 권익·조사 제재 등 4대 과제 추진
이상훈 기자
newssanjae12@naver.com | 2026-07-16 15:59:57
[매일안전신문=이상훈 기자]
개인정보보호위원회가 오는 9월부터 개인정보를 중대하거나 반복적으로 침해한 사업자에게 전체 매출액의 최대 10%까지 과징금을 부과하고 100만건 이상 대규모 유출사고에 대해서는 전담조사단을 구성해 조사한다.
개인정보위는 16일 청와대 영빈관에서 이 같은 내용을 담은 ‘2026년 하반기 업무계획’을 보고했다. 하반기에는 예방체계 확산과 AX 혁신을 위한 안전한 개인정보 활용, 국민 권익 증진, 조사·제재 실효성 강화 등 4대 역점과제를 추진한다.
이번 계획은 개인정보 유출사고 발생 이후 조사와 처분에 집중하던 기존 대응방식을 사전·상시 점검 중심으로 전환하고 AI 확산에 따른 개인정보 활용 수요와 침해 위험에 대응하기 위해 마련됐다.
개인정보위는 지난 3월 개인정보 보호법 개정을 통해 중대·반복 위반 사업자에 대한 과징금 상한을 기존 매출액의 3%에서 10%로 높였다. 지난 5월에는 민간 고위험 분야와 공공부문의 개인정보 관리 상태를 사전에 점검하는 예방중심 개인정보 관리체계 전환 계획을 발표했다.
가명정보 활용 절차도 정비했다. 개인정보위는 가명처리에 걸리는 기간을 기존 126일에서 30일 이내로 줄이고 전문기관이 가명처리 전반을 지원하는 원스톱 체계를 도입했다. 신기술과 신서비스 개발 과정에서 개인정보 규제 적용 여부를 사전에 확인하는 사전적정성 검토와 비조치의견서 제도도 운영하고 있다.
하반기에는 개인정보 유출 파급효과가 큰 국민생활 밀접 분야를 대상으로 정기·수시 실태점검을 실시한다. 중앙부처는 본부뿐 아니라 개인정보 처리시스템을 운영하는 소속·산하기관의 보호 실태까지 점검해야 한다.
공공부문은 개인정보위 공공실태점검단이 점검 과정을 관리한다. 집중관리 대상으로 지정된 공공 개인정보 처리시스템 387개 가운데 자체점검 결과가 미흡한 시스템과 주민등록번호를 5000만건 이상 보유한 대민시스템은 별도로 관리한다.
보안시스템 구축과 전문 개인정보보호책임자 지정 등 법정 의무를 넘어선 예방투자에 대해서는 과징금 감경이 적용된다. 사고 발생 이후 이상징후를 신속히 탐지·신고했는지와 피해 확산 방지, 시스템 복구, 재발 방지대책 수립 여부도 과징금 산정에 반영한다.
개인정보 보호에 투자할 여력이 부족한 중소·영세사업자에 대해서는 처분보다 개선 지원에 중점을 둔다. 경미한 위반사건은 사업자가 시정하는 것을 조건으로 처분을 면제하는 ‘처분성 경고제’를 도입하고 사고 발생 시 기술지원을 제공한다.
개인정보 보호체계 자가점검 도구도 중소·영세사업자에게 우선 배포한다. 개인정보위가 사업장을 직접 방문해 안전조치 수준을 진단하고 개선방안을 제시하는 현장 컨설팅도 추진한다.
공공기관의 개인정보 보호 의무는 단계적으로 확대한다. 집중관리시스템은 전문성을 갖춘 개인정보보호책임자 지정·신고가 오는 9월부터 의무화된다. 취약점 점검과 모의해킹은 2027년 1월부터 연 1회 이상 실시해야 한다.
정보보호 및 개인정보보호 관리체계 인증인 ISMS-P는 정부24와 국민신문고 등 주요 공공시스템 81개부터 2027년 7월 이후 단계적으로 의무화한다. 관련 업무를 담당하는 기관별 개인정보 보호 인력과 예산도 확충할 계획이다.
AI 개발을 위한 개인정보 활용제도도 개편한다. 개인정보위는 공익적·사회적 목적의 AI 기술을 개발할 때 맞춤형 안전조치를 전제로 원본 개인정보 활용을 허용하는 ‘AI 원본활용 특례’ 도입을 추진한다.
에이전틱 AI와 공공 AX 등 분야별 안내서를 발간하고 사전적정성 검토와 비조치의견서, 법령해석, 규제샌드박스를 통합한 ‘AX 안심 지원체계’도 구축한다. 사업자가 개인정보 활용 과정에서 적용 가능한 지원제도를 사안별로 안내받도록 한다는 방침이다.
국외로 이전되는 개인정보의 보호수단도 확대한다. 개인정보위가 마련한 표준계약서와 승인을 받은 기업 내부 개인정보 보호규정을 활용해 국외이전이 가능하도록 제도를 정비하고 데이터 교류 수요가 있는 아시아·태평양 지역 국가와 협력을 추진한다.
개인정보 유출 피해자의 권리구제 제도도 손질한다. 유출사고가 발생한 경우 기업의 손해배상 책임원칙을 명시하고 기업이 유출 책임과 관련된 사실을 입증하도록 법정 손해배상제도를 강화할 계획이다.
과징금 수입 등을 개인정보 유출 피해 회복과 권리구제에 사용할 수 있도록 통합기금도 마련한다. 상담과 신고, 피해구제, 회원 탈퇴지원, 개인정보 탐지·삭제 서비스를 한 곳에서 제공하는 AI 기반 개인정보 침해 종합지원 서비스 구축도 추진한다.
조사체계는 유출 규모와 사건의 중요도에 따라 구분한다. 100만건 이상 개인정보가 유출된 중요 사건은 전담조사단이 집중 조사하고 소규모 사건은 별도의 신속 처리절차를 적용한다.
개인정보 유출 신고는 2024년 307건에서 2025년 447건으로 늘었다. 올해 상반기에는 432건이 신고돼 지난해 연간 신고 건수에 근접했다.
중대·반복 위반에 대한 최대 10% 과징금 제도 시행에 맞춰 시행령과 관련 고시도 정비한다. 조사 비협조 행위에는 이행강제금을 부과하고 증거보전명령과 긴급 보호조치 명령을 도입하는 등 조사 권한도 강화한다.
랜섬웨어 등 기술적 침해사고에 대응하기 위해 개인정보위 디지털 포렌식센터의 증거 수집·분석 기능을 고도화하고 올해 안에 기술분석센터를 구축할 계획이다.
개인정보 유출 사실을 성실하게 신고하고 조기에 대응한 사업자에는 과징금 산정 과정에서 인센티브를 부여한다. 반면 사고를 의도적으로 방치하거나 증거를 은닉·폐기하는 행위에 대해서는 제재를 신설한다.
유출된 개인정보라는 사실을 알면서도 다크웹 등에 유통하는 행위를 금지하고 이를 위반하면 5년 이하의 징역 또는 5000만원 이하의 벌금에 처하는 방안도 추진한다. 불법 유통정보의 수집과 탐지, 삭제·차단을 위한 법적 근거도 마련할 방침이다.
송경희 개인정보보호위원장은 "대규모 유출사고를 계기로 제재의 실효성을 높이는 동시에 개인정보 보호체계를 예방 중심으로 전환하고 있다며 하반기에는 예방투자 지원과 안전한 데이터 활용을 함께 추진하겠다"고 밝혔다.
[ⓒ 매일안전신문. 무단전재-재배포 금지]