온라인 서비스를 쓰다 보면 이제 개인정보 제공 동의 화면을 너무 자주 만나서, 오히려 별생각 없이 넘기게 될 때가 많죠. 그런데 막상 유출 사고가 나면 이야기가 완전히 달라져요. 내 이름, 전화번호, 주소, 결제 정보, 로그인 기록이 어디까지 흘러갔는지 알기 어렵고, 피해를 되돌리는 것도 쉽지 않으니까요.
이번에 정부가 추진하는 개인정보보호법 시행령 개정안은 바로 이 지점을 건드립니다. 반복적이거나 중대한 개인정보 침해가 발생했을 때 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 절차를 더 구체화하겠다는 내용이에요. 숫자만 보면 기업을 세게 때리겠다는 이야기처럼 보이지만, 개발자 입장에서 보면 핵심은 “보안과 개인정보 보호를 비용이 아니라 기본 설계로 보게 만들 수 있느냐”에 가깝습니다.
무엇이 바뀌는 건가요
개인정보보호위원회는 개인정보 보호법 시행령 개정안을 입법예고했습니다. 입법예고 기간은 다음 달 13일까지이고, 개정안은 법 시행일인 9월 11일에 맞춰 시행될 수 있도록 후속 절차를 밟을 예정이라고 해요. 이번 개정안은 이미 법에 담긴 큰 방향을 실제로 집행하기 위한 세부 기준을 정리하는 성격이 큽니다.
가장 눈에 띄는 부분은 반복적이거나 중대한 개인정보 침해 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 절차를 체계화한다는 점이에요. 단순히 “큰 사고가 나면 벌금을 많이 낸다”가 아니라, 어떤 경우를 중대하게 볼지, 기준금액을 어떻게 잡을지, 가중과 감경을 어떤 순서로 적용할지 정리하는 작업입니다.
기사에 따르면 고의나 중과실이 있고, 3년 안에 위반 행위가 반복됐으며, 1천만 명 이상 대규모 피해가 발생한 경우 등을 따져 중대성을 판단한 뒤 기준금액을 산정합니다. 이후 가중·감경 절차를 거쳐 최대 10%까지 과징금을 부과할 수 있게 되는 구조죠. 개인정보 사고가 “운이 나빴다”로 끝나지 않도록, 반복성과 피해 규모를 더 무겁게 보겠다는 메시지입니다.
매출 10%라는 숫자가 갖는 압박감
전체 매출액의 10%는 웬만한 기업에게도 가볍지 않은 숫자예요. 특히 플랫폼이나 커머스처럼 이용자 데이터가 사업의 중심에 있는 회사라면 더 그렇습니다. 개인정보를 많이 모을수록 서비스 품질은 좋아질 수 있지만, 그만큼 사고가 났을 때 책임도 커질 수밖에 없죠.
저라면 이 숫자를 단순한 처벌 강화보다 경영진에게 전달되는 언어가 바뀌는 신호로 봅니다. 보안팀이나 개인정보 담당자가 “이 기능은 위험합니다”라고 말해도, 매출 일정이나 출시 속도에 밀려 뒤로 가는 경우가 많았거든요. 그런데 과징금이 전체 매출액 기준으로 커질 수 있다면, 개인정보 보호는 개발팀의 체크리스트가 아니라 이사회와 최고경영진이 직접 챙겨야 할 리스크가 됩니다.
최근 기업 서비스는 AI, 추천 알고리즘, 광고 최적화처럼 데이터를 깊게 활용하는 방향으로 가고 있어요. 그래서 AI 보안이 국가 차원의 이슈가 된 배경을 보면, 개인정보 보호도 더 이상 서버 몇 대를 안전하게 관리하는 문제에 머물지 않는다는 걸 알 수 있습니다. 데이터가 모델 학습, 자동화 의사결정, 외부 협력 시스템까지 흐르는 시대라면 책임 범위도 넓어질 수밖에 없어요.
감경 조항이 중요한 이유
이번 개정안에서 흥미로운 부분은 과징금을 올리는 기준만 있는 게 아니라, 감경 사유도 구체화한다는 점입니다. 예산, 인력, 설비, 장치 등에 투자하고 운영하는 등 대통령령으로 정하는 사유가 있으면 과징금을 감경할 수 있도록 했고, 감경 상한은 40%로 명확히 한다고 해요.
이 대목은 꽤 중요합니다. 기업이 사고 이후에만 “죄송합니다”를 반복하는 것보다, 사고 전에 얼마나 예방 투자를 했는지를 보겠다는 뜻이기 때문이에요. 보안 로그를 제대로 남겼는지, 접근 권한을 최소화했는지, 암호화와 모니터링을 했는지, 개인정보 처리 흐름을 문서화했는지 같은 것들이 실제 운영 역량으로 이어져야 합니다.
물론 감경 조항이 면죄부처럼 쓰이면 안 되겠죠. “툴 몇 개 샀으니 봐달라”가 아니라, 조직이 개인정보를 어떻게 관리했고 침해 가능성을 얼마나 줄이려 했는지가 핵심이어야 합니다. 개발 현장에서도 보안 솔루션 구매보다 더 중요한 건 권한 설계, 코드 리뷰, 배포 전 점검, 사고 대응 훈련 같은 꾸준한 루틴이거든요.
이용자 입장에서는 체감이 있을까요
당장 내일부터 앱 화면이 확 바뀌지는 않을 거예요. 하지만 장기적으로는 꽤 체감될 수 있습니다. 기업이 불필요한 개인정보를 덜 수집하려 하고, 보관 기간을 더 엄격히 관리하며, 내부 직원이나 협력사가 데이터에 접근하는 절차를 더 까다롭게 만들 가능성이 큽니다.
서비스를 쓰는 입장에서는 귀찮은 인증 절차가 늘어날 수도 있어요. 예를 들어 민감한 정보 조회 전에 추가 인증을 요구하거나, 장기간 로그인하지 않은 계정의 정보 접근을 제한하거나, 관리자 권한 사용 기록을 더 엄격히 남기는 식입니다. 사용자는 한 번 더 클릭해야 해서 번거롭지만, 사고가 났을 때 피해 범위를 줄이는 장치가 될 수 있죠.
플랫폼 기업의 책임도 더 선명해질 수 있습니다. 카카오톡처럼 일상에 깊게 들어온 서비스는 단순한 앱이 아니라 생활 인프라에 가깝잖아요. 그래서 국민 플랫폼 카카오의 파업 이슈에서도 보듯, 대형 플랫폼의 운영 안정성과 책임 문제는 이용자 생활과 바로 연결됩니다. 개인정보 보호 역시 같은 맥락이에요. 서비스가 커질수록 “우리도 피해자”라는 말만으로는 부족해집니다.
중소기업에는 부담일 수 있습니다
다만 모든 기업에 같은 잣대를 기계적으로 적용하면 부작용도 생길 수 있어요. 대기업은 전담 조직과 예산을 갖추기 쉽지만, 작은 스타트업이나 중소기업은 개인정보 담당자가 다른 업무를 겸하는 경우도 많습니다. 법을 몰라서가 아니라, 실제로 운영할 사람과 시간이 부족한 거죠.
개정안은 영세·중소기업의 경미한 위반행위 시정에 대한 과징금 면제 요건도 정비한다고 합니다. 이 부분은 균형 있게 봐야 해요. 중대한 침해나 반복 위반은 강하게 책임을 묻되, 작은 기업이 개선 의지가 있고 피해가 경미한 경우에는 빠르게 고칠 수 있도록 유도하는 방식이 필요합니다.
결국 좋은 규제는 겁만 주는 규제가 아니라, 기업이 무엇을 해야 하는지 알 수 있게 만드는 규제예요. 개인정보 처리방침을 복잡한 법률 문장으로만 두는 게 아니라, 실제 개발과 운영 과정에서 지킬 수 있는 기준으로 내려와야 합니다. 스타트업이라면 처음부터 수집 항목을 줄이고, 관리자 권한을 최소화하고, 백업 데이터까지 보관 기간을 정하는 습관을 들이는 게 현실적인 출발점입니다.
기업이 지금 점검해야 할 것들
이번 흐름을 보면 기업이 먼저 확인해야 할 건 “우리가 어떤 개인정보를 어디에 갖고 있는가”입니다. 의외로 많은 조직이 데이터베이스 본 서버는 잘 관리하면서도, 테스트 서버나 엑셀 다운로드 파일, 협력사 전달본, 오래된 백업에 남은 개인정보는 놓치기 쉽습니다. 사고는 늘 가장 약한 고리에서 터지거든요.
두 번째는 접근 권한입니다. 모든 직원이 모든 데이터를 볼 필요는 없어요. 고객센터, 개발자, 마케팅 담당자, 외부 협력사가 각각 어떤 정보에 접근해야 하는지 구분하고, 권한을 부여한 이유와 회수 시점을 기록해야 합니다. 퇴사자 계정이나 오래된 API 키가 남아 있는지도 반드시 봐야 하고요.
세 번째는 사고 대응입니다. 유출이 의심될 때 누가 판단하고, 누구에게 보고하며, 이용자에게 어떤 방식으로 알릴지 미리 정해져 있어야 합니다. 사고가 터진 뒤 회의방을 만들고 역할을 정하면 늦습니다. 개인정보 침해는 기술 문제이면서 동시에 커뮤니케이션 문제라서, 초기 대응이 신뢰를 크게 좌우해요.
관전 포인트는 실제 집행입니다
개인정보 과징금 강화는 방향만 놓고 보면 충분히 납득됩니다. 데이터가 기업 경쟁력의 핵심이 된 만큼, 보호 책임도 더 무거워지는 게 자연스럽죠. 특히 반복적이거나 중대한 침해에 강하게 대응하겠다는 원칙은 이용자 입장에서 반가운 변화입니다.
다만 진짜 관전 포인트는 실제 집행이에요. 어떤 사건을 중대 침해로 볼지, 예방 투자를 어떻게 평가할지, 감경이 투명하게 적용될지에 따라 제도의 신뢰도가 달라질 겁니다. 과징금 숫자가 크다는 이유만으로 개인정보 보호 수준이 자동으로 올라가지는 않으니까요.
저는 이번 개정안이 기업들에게 꽤 분명한 신호를 준다고 봅니다. 개인정보는 모아두면 언젠가 쓸 수 있는 자산이 아니라, 제대로 관리하지 못하면 회사 전체를 흔들 수 있는 책임입니다. 우리 같은 이용자도 서비스 가입 때 “왜 이 정보가 필요하지?”를 한 번 더 보는 습관이 필요하고요. 규제가 잘 작동한다면 앞으로의 좋은 서비스는 데이터를 많이 모으는 서비스가 아니라, 필요한 만큼만 모으고 안전하게 다루는 서비스가 될 가능성이 큽니다.