개인정보 유출 과징금, 이제는 매출의 10%까지 부과된다

개인정보 유출 사고가 다시 도마에 올랐다. 이번엔 정부가 직접 '판을 바꾸겠다'고 나섰다. 기존의 솜방망이 제재로는 더는 통제 불가능하다는 현실 인식에서다. 대통령이 직접 “회사 하나 망할 수도 있다”는 발언을 던졌고, 개인정보보호위원회는 과징금 제도의 전면 개편을 예고했다.

핵심은 간단하다. 매출의 3%였던 과징금 상한을 최대 10%까지 올리는 것, 그리고 반복 유출 기업에 대해 징벌적 부과 기준을 도입하는 것이다. 여기에 단체소송 요건 완화, 손해배상 청구 허용까지 병행된다. 기업에게는 단순한 규제 강화가 아니라, 실질적인 재무 리스크로 작용할 수 있는 변화다.

개인정보보호위원회가 과징금 제도 강화를 위한 전체회의를 진행하고 있다. 송경희 위원장이 회의를 주재하고 있다. 출처: 동아일보

개인정보 유출, 왜 다시 정책 아젠다로 떠올랐나

개인정보 유출은 이제 사고가 아니라 구조적 문제로 다뤄지고 있다.

2024년 기준, 개인정보 유출 사고는 연 500건 이상 발생했다. 문제는 대부분의 기업이 이 사고를 위험 요소로 인식하지 않는다는 점이다. 실질 과징금이 낮고, 처벌보다 수습 중심의 구조가 유지됐기 때문이다.

특히 쿠팡, 카카오, SKT 등 대형 플랫폼조차 반복적으로 유출 사고를 내면서, 정부는 더 이상 '개선 권고' 수준의 대응으로는 해결이 어렵다고 판단했다.

과징금, 이제 ‘평균 매출 3%’가 아닌 ‘최고 매출 10%’ 기준

기존 과징금 제도는 직전 3개년 평균 매출의 3% 이내였다.

그러나 개정안에서는 다음 두 가지 변화가 핵심이다:

• 산정 기준을 평균 → 최고 매출 연도 기준으로 전환
• 반복 위반 시, 최대 매출의 10%까지 징벌적 과징금 부과 가능

예를 들어, 쿠팡처럼 연 매출 40조 원인 기업은 최대 4조 원까지 과징금이 부과될 수 있다.

물론 이는 반복적·고의적 위반이 입증되어야 가능한 특례 조항이지만, 이제는 ‘기업 생존’이 과징금 이슈와 연결되는 시대로 전환되고 있다.

단체소송과 손해배상: 소비자 구제도 현실화된다

과징금 강화와 함께 단체소송 요건도 개정될 예정이다. 기존에는 소비자 단체만 소송을 제기할 수 있었고, 피해 입증도 매우 어려웠다. 그러나 개정 방향은 다음과 같다:

• ‘손해배상 청구권’을 단체소송에 포함
• 소비자 피해자 다수가 참여하는 형태의 소송 구조 허용
• 단체소송 승소 시, 피해자 직접 보상 구조 마련

이는 단순히 행정 제재를 넘어서, 실제 소비자 구제가 가능해진다는 점에서 법 구조 자체가 달라지는 흐름이다.

기업의 대응 전략: 리스크 인식부터 조직 구조까지

새로운 과징금 구조는 단순히 법 위반에 대한 처벌만을 의미하지 않는다. 기업의 내부 정보보호 체계, 리스크 대응 조직, 인증 체계 전반에 영향을 준다.

달라지는 기업 책임 범위

• CEO 최종 책임 명시 (고의성 판단 시 형사책임 가능)
• 개인정보보호책임자(CPO) 신고제 확대
• ISMS-P 등 인증 취소 가능성 증가

기업은 이제 법률 위반이 아닌 관리 체계 미흡 자체로도 리스크에 노출될 수 있다.

대응 포인트 정리

• 내부 개인정보 흐름 실태 점검
• 고위험 처리 영역에 대한 별도 관리
• 임직원 대상 보안 교육 강화
• 외주·제휴 등 3자 처리에 대한 통제 프로세스 확보
• 위기 발생 시 신속한 자진신고 및 복구 시스템 마련

징벌적 과징금, 제도적 효과와 한계는?

이 제도가 실효성이 있으려면, 과징금 부과 기준이 명확하고, 감경·가중 요건이 합리적이어야 한다. 현재 제안된 기준에 따르면:

• 감경 요건: 자진 신고, 적극적 복구 조치, 피해자 통지
• 가중 요건: 고의·중과실, 반복 유출, 피해 규모 대형

하지만 전문가들은 법 적용의 예측 가능성이 낮을 경우, 기업이 대응 전략을 세우기 어려울 수 있다고 지적한다.

또한, 고의성 판단 기준이 모호하면, 지나치게 과도한 과징금 부과가 오히려 위축 효과를 가져올 수 있다는 지적도 있다.

관련 Nysight

• 전재수 장관 사의 표명, 통일교 금품 의혹과 정치적 파장 정리
• 통일교 해산 가능할까? 일본 사례와 이재명 대통령 발언이 던진 쟁점
• '대장동 항소 포기'에 반발한 검사장들, 왜 좌천됐나
• 광주대표도서관 공사장 붕괴, 1명 사망•3명 매몰... 공사 중단이 만든 안전 공백
• 박대준 쿠팡 대표 전격 사임... 3370만 개인정보 유출, 그 뒤에 남은 것들

결론: 규제 강화 그 이상, 데이터 시대의 리셋

이번 정책 변화는 단순한 규제 강화가 아니다.

정부는 개인정보 유출에 대해 “경고”가 아닌 “실질적 제재”를 통해 기업의 구조적 변화를 유도하고 있다.

이는 AI, 플랫폼, 데이터 산업 전반의 생태계를 재편하려는 전략의 일부로도 읽힌다.

기업 입장에서는 지금이 리스크 체계를 재설계할 수 있는 마지막 시점일 수 있다.

소비자 입장에서는 실질적 보호 강화가 현실이 되는지 지속적으로 점검할 필요가 있다.

📌 참고자료

• 동아일보 - 정부-국회, 개인정보 유출 기업, 매출 3~10% ‘징벌적 과징금’ 추진
• 뉴시스 - 개인정보 유출 사고 최대 매출 10% 과징금 부과·집단 손배 청구(종합)
• 미디어오늘 - 李대통령 “개인정보 유출 과징금 약해...회사 망한다 생각 들게 해야”
• 인더스트리뉴스 - 중대 개인정보 유출에 ‘매출 10%’ 과징금... 개인정보위, 제재·예방체계 전면 강화
• 조선비즈 - 개인정보 유출 시 최대 매출 10% 징벌적과징금 물린다

면책 문구:

이 글은 사회 현상과 제도 변화를 해설하기 위한 일반 정보 제공 목적이며, 특정 기업이나 정책에 대한 가치 판단을 포함하지 않습니다.