경제산업 / Economy
2025년 게시판 보기

[리스크 콕] 징벌적 과징금에 CEO 책임까지…개정 개보법, 기업들 '딜레마'

9월 11일 시행되는 개정 개인정보보호법 관련 내용을 설명하는 이미지 / 사진 제미나이로 생성
9월 11일 시행되는 개정 개인정보보호법 관련 내용을 설명하는 이미지 / 사진 제미나이로 생성
9월 11일 시행되는 개정 개인정보보호법 관련 내용을 설명하는 이미지 / 사진 제미나이로 생성 9월 11일 시행되는 개정 개인정보보호법 관련 내용을 설명하는 이미지 / 사진 제미나이로 생성

앞으로 개인정보를 대규모로 유출한 기업은 ‘기업 해체’ 수준의 타격을 입을 수 있다. 정부가 고의·중과실로 1,000만 명 이상의 정보를 유출한 기업에 대해 매출액의 10%를 과징금으로 물리는 이른바 ‘핵폭탄급’ 제재안을 10일 공포했다.

정부는 개인정보 유출 사고 예방을 위해 전체 매출액의 최대 10%까지 징벌적 과징금을 부과할 수 있는 개정 '개인정보 보호법'을 9월 11일 시행한다. 최근 연이은 대규모 개인정보 유출 사고로 사회적 우려가 커진 가운데, 기업의 개인정보 보호 책임을 강화하겠다는 취지다. 하지만 기업 현장에서는 아무리 투자해도 해킹을 완벽히 막을 수 없는데, 책임만 무거워졌다는 불만이 터져 나온다.

개인정보보호위원회가 공포한 법 개정안은 ▲징벌적 과징금 도입 ▲CEO·CPO 책임 강화 ▲유출 가능성 통지 의무화 ▲ISMS-P 인증 의무화 등을 골자로 한다. 특히 최근 3년간 고의·중과실로 위반행위를 반복하거나, 1000만명 이상 대규모 피해를 초래한 경우 전체 매출액의 10%까지 과징금을 물릴 수 있다. 기존 3% 한도에서 3배 이상 강화된 셈이다.

완벽한 보안은 없다…기업들의 고민

문제는 아무리 자본을 쏟아부어도 해킹을 완벽하게 막을 수 없다는 점이다.

한 IT 기업 보안팀장은 "랜섬웨어, 제로데이 공격 등 해킹 기법은 날로 진화하는데, 방어는 항상 한발 늦을 수밖에 없다"며 "예산을 아무리 늘려도 '절대 안전'을 보장할 수 없는 게 현실"이라고 토로했다.

개정법은 '사전 예방적 투자'를 한 경우 과징금을 필수적으로 감경해주지만, 무엇을 얼마나 투자해야 '충분한 투자'로 인정받을지 기준이 모호하다. 보안 솔루션을 도입하면 되는지, 인력을 몇 명이나 늘려야 하는지, 연간 예산을 얼마나 편성해야 하는지 구체적인 가이드라인이 없다는 것이다.

지배구조 차원의 하방 리스크도 커졌다. 일정 규모 이상 기업은 CPO를 지정·변경·해제할 때 이사회 의결을 거쳐야 하고, CPO는 전문 인력 관리와 예산 확보 업무를 의무적으로 수행해야 한다. CEO는 개인정보 처리 및 보호의 최종 책임자로서 관리·감독 의무를 지게 되어, 사고 발생 시 법적 책임의 화살이 경영진을 직접 겨냥하게 됐다.

개인정보보호위원회 회의 장면 / 사진 개인정보보호위원회

외산 기업은 어떻게? '안방 규제' 역차별 논란

또 다른 의문은 외국계 기업들에 대한 실효성 있는 규제 여부다. 개인정보보호위원회가 발간한 지침에 따르면 한국 정보주체를 대상으로 서비스를 제공하는 해외 사업자에게도 법이 적용된다. 실제 2025년 1월 개인정보위는 애플에 24억원의 과징금을 부과하기도 했다.

하지만 현실적인 집행력에는 물음표가 붙는다. 외국에 본사를 둔 기업이 한국의 시정명령을 무시하거나 과징금 납부를 거부할 경우 강제할 방법이 제한적이기 때문이다. 결국 투명하게 실적이 드러나는 국내 기업들만 강도 높은 규제의 '동네북'이 되는 것 아니냐는 역차별 논란이 제기되는 배경이다.

ISMS-P 인증, 또 하나의 부담

공공·민간 분야 주요 기업에 대해서는 ISMS-P 인증도 의무화된다. 예산 확보 기간을 고려해 2027년 7월 1일부터 시행될 예정이다. 중소기업 사이에서는 대기업도 힘든 인증 절차를 중소기업이 어떻게 감당하느냐며 반발한다. 인증 준비에만 수천만원에서 수억원이 든다는 게 업계 관계자들의 전언이다.

전문가들은 개정법 시행을 앞두고 기업들이 선제적으로 대비해야 한다고 조언한다. 우선 CEO와 이사회 차원에서 개인정보 보호를 경영 의제로 다뤄야 한다. 특히 개정법은 '유출 등의 가능성이 있음을 알게 되었을 때'에도 즉시 통지하도록 의무화했다. 사고 발생 시 은폐보다는 신속한 대응 체계를 갖추는 것이 과징금 폭탄을 피할 유일한 길이다.

사후 처벌 강화보다 중요한 것은 현장이 수긍할 수 있는 구체적인 투자 가이드라인이다. 개정 개인정보 보호법이 글로벌 빅테크에 대한 집행 실효성을 확보하지 못한 채 국내 기업만 옥죄는 '안방 규제'가 될지, 아니면 실질적인 보안 선진국으로 가는 디딤돌이 될지는 향후 시행령 마련 과정에서의 소통이 중요하다. 

0 Comments
운동화 셀프 수선 패치 10P
깔끔한 절삭력 좋은 컷팅 가정용 앞머리 미용 가위
통기성 메쉬 캡모자 URD-029
남녀공용 3단 스트랩 스포츠 샌들 1컬러
Coms 마우스 패드 바닦밀착형 검정
송풍구 대시보드 스마트폰 마그네틱 안전거치대 CS100
(더지엠)USB_미스트롯 眞(진) 양지은 72곡
(지엠엔터)USB_재즈명곡140곡
수납함 신발 정리대 투명 블랙 케이스 보관함 10개입
신개념 에어로졸 분사기 스프레이건
철제 미니 칼라 양동이 바구니
브이텍 VT-135M 우드필러 마호가니 50g
스케이터 도시락가방 토토로 메이 페이스 도시락 주머니
주방 타이머 요리타이머 타이머시계
주방용 싱크대 수전 W7744 코브라 타입
담소연 연꽃밥, 연잎밥 혼합 구성 220g x 5개

미니특공대 파이어캅 시즌6 최강경찰 변신 로봇 장난감 남아 생일 선물
칠성상회
UNP UL-4206OD 10매 전산라벨OD 카세트 테이프 용
바이플러스

맨위로↑