속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

개인정보 과징금 상한 10%로 상향, 공공기관 ISMS-P 의무화 추진 | 2026 개보위 업무계획

개인정보보호위원회가 개인정보 침해 과징금 상한을 매출액 3%에서 10%로 대폭 상향하고, 정부24 등 주요 공공시스템 81개에 ISMS-P 인증을 단계적으로 의무화하는 방안을 발표했다.

백남정 기자
입력 2026년 7월 16일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/a4d306

핵심 요약

- 개인정보 침해 과징금 상한이 매출액 3%에서 10%로 대폭 상향, 징수액은 피해구제에 활용 - 정부24, 국민신문고 등 주요 공공시스템 81개에 ISMS-P 인증 단계적 의무화 - 2026년 하반기 업무계획으로 개인정보보호 관리체계 강화 본격화

주요 내용

개인정보보호위원회는 2026년 7월 16일 청와대 영빈관에서 개최된 2026년 하반기 업무계획 보고에서 개인정보 보호 법제 및 인증체계의 대대적인 개편 방안을 발표했다. 가장 주목할 만한 변화는 개인정보 침해에 대한 과징금 상한을 기존 매출액의 3%에서 10%로 상향 조정하는 것으로, 이는 EU GDPR의 제재 수준에 근접한 강력한 제재 체계를 의미한다.

특히 이번 발표에서 주목할 점은 징수된 과징금의 활용 방향이다. 개보위는 과징금을 단순한 제재가 아닌 실질적인 국민 피해구제 재원으로 활용할 계획을 밝혔다. 이는 개인정보 침해로 인한 피해자들에게 직접적인 보상과 지원이 가능해지는 구조적 전환을 의미한다.

공공부문의 개인정보 보호 관리체계도 대폭 강화된다. 정부24, 국민신문고를 포함한 주요 공공시스템 81개에 대해 ISMS-P 인증을 단계적으로 의무화할 예정이다. 이는 그동안 민간 중심으로 진행되던 ISMS-P 인증이 공공영역으로 본격 확대되는 전환점이 될 전망이다.

현재 ISMS-P 인증은 정보통신서비스 제공자 중 일정 규모 이상의 사업자에게 의무화되어 있으나, 공공기관은 자율 취득 대상이었다. 이번 조치로 국민 개인정보를 대량으로 처리하는 핵심 공공시스템들이 체계적인 보호관리 체계를 갖추게 될 것으로 기대된다.

전문가 시각

30회에 걸친 ISMS-P 심사 경험을 바탕으로 볼 때, 이번 과징금 상한 상향은 단순한 제재 강화를 넘어 조직의 개인정보보호 거버넌스 전반에 대한 패러다임 전환을 요구하고 있다. 특히 매출액 10% 수준의 과징금은 경영진의 의사결정 단계에서 개인정보보호를 핵심 경영리스크로 인식하게 만드는 강력한 동인이 될 것이다. 기업들은 사후 대응이 아닌 사전 예방 중심의 개인정보 보호체계 구축에 투자를 대폭 확대해야 하는 상황에 직면했다.

공공기관의 ISMS-P 의무화는 실무적으로 상당한 준비가 필요한 과제다. 공공기관들은 민간과 달리 복잡한 조직 구조, 다수 외주업체 관리, 레거시 시스템 등의 특수성이 있어 인증 준비에 최소 12개월 이상의 기간이 소요될 것으로 예상된다. 특히 개인정보 영향평가(PIA), 개인정보 처리방침 정비, 제3자 제공 및 위탁 관리 체계 등 ISMS-P 인증기준 80개 항목 전반에 대한 체계적인 Gap 분석과 개선이 선행되어야 한다.

ISMS-P 심사원 체크포인트

1. 2.9.1 개인정보 보호조직 (개인정보보호법 제31조 개인정보 보호책임자) 과징금 수준이 매출액 10%까지 상향됨에 따라, 개인정보 보호책임자(CPO)의 역할과 권한이 실질적으로 보장되고 있는지가 핵심 심사 포인트가 된다. 특히 ① CPO가 이사회 또는 경영진에 직접 보고하는 체계, ② 개인정보보호 예산 및 인력의 적정성, ③ CPO의 독립성과 전문성 확보 여부를 중점 검토해야 한다. 공공기관의 경우 개인정보보호 전담조직 구성과 전문인력 배치 현황이 의무인증 준비의 선결 과제가 될 것이다.

2. 3.1.1 개인정보 수집 시 동의 (개인정보보호법 제15조, 제22조) 과징금 부과의 주요 사유가 되는 불법 수집 및 동의 미이행 사항에 대한 심사가 더욱 강화될 전망이다. 심사 시 ① 개인정보 수집·이용 동의서의 적법성(법 제15조 제2항 각 호), ② 민감정보 처리 시 별도 동의 획득 여부(법 제23조), ③ 선택적 동의와 필수적 동의의 명확한 구분, ④ 동의 철회 메커니즘의 실효성을 집중 점검한다. 특히 공공기관은 법령상 처리 근거가 있어도 투명성 확보 차원에서 고지 절차가 적절한지 확인해야 한다.

3. 3.3.4 개인정보 파기 (개인정보보호법 제21조) 개인정보 장기 보유로 인한 유출 리스크는 과징금 산정 시 가중 요소가 된다. ① 개인정보 보유기간 명시 및 준수 여부, ② 파기 절차의 문서화 및 이행 증적, ③ 파기 방법의 적정성(복원 불가능한 방법), ④ 위탁업체의 개인정보 파기 관리·감독을 세밀히 점검해야 한다. 공공시스템의 경우 「공공기록물 관리에 관한 법률」과의 상충 문제를 어떻게 해결했는지도 심사 대상이 된다.

CPPG·ISMS-P 연계 포인트

과징금 부과 기준 및 산정 체계 개인정보보호법 제34조의2(과징금의 부과)에 따른 과징금 산정은 ① 위반행위의 내용 및 정도, ② 위반행위의 기간 및 횟수, ③ 위반행위로 인하여 취득한 이익의 규모를 고려한다. 이번 상한 상향(매출액 10%)은 「정보통신망법」상 과징금(매출액 3%) 및 GDPR(매출액 4% 또는 2천만유로 중 큰 금액)과의 정합성을 고려한 조치다. CPPG/ISMS-P 시험에서는 과징금 부과 요건, 산정 기준, 매출액 산정 방법 등이 출제될 수 있다.

공공기관의 ISMS-P 인증 의무화 법적 근거 「정보통신망법」 제47조 및 「개인정보보호법」 제32조의2는 대통령령으로 정하는 정보통신서비스 제공자등에게 ISMS-P 인증을 의무화하고 있다. 공공기관 의무화는 시행령 개정을 통해 진행될 것으로 예상되며, ① 「공공기관의 운영에 관한 법률」상 공공기관 범위, ② 인증 대상 시스템의 선정 기준(이용자 수, 개인정보 규모), ③ 단계적 시행 일정이 핵심이다. 인증심사원은 공공기관 특수성을 반영한 심사 기법(레거시 시스템, 다수 외주업체 등)을 숙지해야 한다.

#ISMS-P#개인정보보호위원회#과징금#공공기관인증#개인정보보호법
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사