개인정보 유출 숨기면 과징금 30% 더 때린다…신고자는 포상 [개보위 업무보고]

박상준 기자 (psj96@dailian.co.kr)

입력 2026.07.16 16:23  수정 2026.07.16 16:24

중대·반복 위반 유출 업체는 9월부터 매출액 최대 10% 과징금

공익 목적 AI의 개인정보 사용 규제는 일부 완화

송경희 개인정보보호위원회 위원장이 16일 청와대 영빈관에서 업무보고를 하고 있다. ⓒ연합뉴스

정부가 개인정보 유출 사고를 고의로 숨기거나 관련 증거를 폐기한 기업에 대한 제재를 강화한다. 반면 은닉·폐기 사실을 신고해 처벌에 기여한 사람에게는 부과 과징금의 일정 비율을 포상금으로 지급한다. 사고를 신속하게 신고하고 법정 의무 이상의 보안 투자를 한 기업에도 과징금 감면 혜택을 부여한다.


개인정보보호위원회(개보위)는 16일 청와대 영빈관에서 이 같은 내용을 담은 '2026년 하반기 업무계획'을 보고했다. 개인정보 활용 규제는 공익·사회적 목적의 AI 개발에 원본 개인정보를 쓸 수 있도록 일부 완화하되, 대규모 유출과 사고 은폐에 대한 처벌은 강화하는 방향이다.

숨기면 가중·알리면 포상…유출 대응체계 개편

개보위의 이번 제재 개편안을 살펴보면, 오는 9월부터 중대하거나 반복적인 개인정보보호법 위반에는 매출액의 최대 10%까지 징벌적 과징금을 부과할 수 있다. 현행 최대 3%에서 상한을 높인 것이다.


현행 규정이 성실 신고 기업에게 불리하다는 지적 또한 받아들여 개선한다. 그간 유출 사실을 신고하지 않거나 늦게 신고한 기업에는 최대 3000만원의 과태료만 부과되는 반면, 자진 신고 후 법 위반이 확인되면 거액의 과징금을 무는 경우가 생기는 등 한계가 존재했다.


개보위는 이번 개편을 통해 장기간 신고를 미루거나 사고를 의도적으로 방치하면 과징금을 가중하고, 신속한 신고·통지와 피해 확산 방지에는 감경 요인을 적용할 계획이다.


송경희 개인정보위원장은 "개인정보 유출 사실을 은닉하거나 증거 자료를 폐기하는 행위도 일어나는 것으로 추정된다"며 "신고하지 않았다가 적발될 경우에는 과징금을 30% 이상 가중하는 방향으로 제도를 개선하고 있다"고 밝혔다.


법정 의무를 넘어선 보안 투자와 전문 개인정보보호책임자(CPO) 운영, 이상징후 조기 탐지, 백업·복구와 재발 방지 노력 등도 과징금 산정에 반영한다. 정보 보호 여력이 부족한 중소·영세기업에는 경미한 사고를 시정하는 조건으로 처분을 면제하되, 위반이 반복되면 제재하는 '처분성 경고제'를 9월 도입한다.


사고 은폐를 막기 위한 신고포상금 제도도 추진한다. 유출 사고나 권리 침해를 감추기 위해 자료를 은닉·폐기한 행위에는 별도 과징금 등 제재를 신설한다. 이를 신고한 사람에게 과징금의 일정 비율을 지급한다.


유출된 개인정보라는 사실을 알면서 구매·제공·유포한 사람은 5년 이하 징역이나 5000만원 이하 벌금에 처하도록 형벌 규정도 마련한다. 과징금 수입 등을 피해자 법률 상담과 권리구제, 중소기업의 사고 예방에 활용하는 통합기금 조성도 추진한다.


개보위는 100만건 이상이 유출된 중요 사건에는 전담 조사단을 꾸리고, 처분 기준이 확립된 소규모·반복 사건은 소위원회 집중 심의 등을 통해 신속히 처리할 방침이다.


공익 AI는 개인정보 원본 활용 특례…공공부문 시스템 점검도

개편안이 규제만 담고 있는 것은 아니다. 공익·사회적 목적의 AI 기술 개발에는 맞춤형 안전조치를 전제로 가명처리하지 않은 원본 개인정보를 활용할 수 있는 'AI 원본활용 특례'를 도입한다.


특례를 이용하려는 기업이나 기관은 신청 후 현장조사와 위험요인 평가, 전문위원회와 개인정보위의 심의·의결, 사후관리 절차를 거쳐야 한다. 관련 개인정보보호법 개정안은 지난 5월 국회 정무위원회를 통과했다. 개보위는 사전적정성 검토와 비조치 의견서 등 기존 지원 제도를 묶은 'AX 안심 지원체계'도 구축할 계획이다.


카메라와 마이크를 통해 주변 정보를 실시간 수집하는 스마트글라스와 로봇에 적용할 개인정보 처리·보호 원칙도 마련한다. 개보위는 스마트글라스 제조사들과 실무 협의를 진행하고 자체 연구반을 가동해 촬영 사실 고지, 수집 정보의 저장·전송 등 처리 기준을 검토하고 있다.


공공부문에서는 주요 개인정보 처리 시스템 387개 가운데 자체 점검이 미흡한 시스템을 합동 점검한다. 정부24와 국민신문고 등 81개 시스템에는 2027년 7월부터 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 단계적으로 의무화한다. 전문 CPO 지정·신고는 올해 9월, 연 1회 이상 취약점 점검과 모의해킹은 내년 1월부터 의무화할 예정이다.


송 위원장은 "지난해 대규모 유출 사고를 계기로 제재의 실효성을 높이는 한편 예방 중심으로 개인정보 보호체계를 전환하고 있다"며 "예방 투자와 보호 노력이 현장에 자리 잡도록 제도적 지원을 강화하겠다"고 말했다.

0

0

기사 공유

댓글 쓰기

박상준 기자 (psj96@dailian.co.kr)
기사 모아 보기 >
관련기사

댓글

0 / 150
  • 최신순
  • 찬성순
  • 반대순
0 개의 댓글 전체보기