개인정보 유출땐 매출 10% 과징금… 신고포상금 준다

9월 '징벌적 과징금' 시행
3년 평균 최고 매출 기준 적용
영세기업엔 시정 기회 주기로

반복적이거나 중대한 개인정보 보호법 위반 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과하는 '징벌적 과징금' 제도가 오는 9월부터 시행된다. 동시에 기업의 자발적 보호 투자에는 인센티브를 부여하고, 고위험 개인정보 처리 기관을 집중 관리하는 위험기반 감독 체계도 구축된다.

개인정보보호위원회는 12일 대통령 주재 국무회의에서 이 같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 보고했다.

최근 쿠팡·KT·듀오 등 대형 개인정보 유출 사고가 잇따른 데다, AI 기반 자동화 공격 우려까지 커지면서 기존 사후 제재 중심 대응 체계를 전면 손질하겠다는 취지다.

개인정보위는 우선 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높이는 한편, 과징금 산정 기준도 '직전 연도 매출'과 '최근 3년 평균 매출' 중 높은 금액으로 적용한다. 지금은 '3년 평균 매출액' 기준을 적용해왔다. 이행강제금과 신고포상금 제도도 도입해 집행력을 높이기로 했다.

반면 기업의 선제적 보안 투자에는 인센티브를 부여한다. 법정 기준을 상회하는 보호조치와 적극적인 보안 투자, 안전관리 체계를 갖춘 경우 과징금 감경 등을 적용해 '투자 유도형 규제'로 전환한다는 구상이다. 이와 함께 서비스 설계 단계부터 개인정보 보호를 반영하는 '프라이버시 중심 설계(PbD)'를 제도화하고, 개인정보 영향평가와 ISMS-P 인증 기준에도 이를 반영할 계획이다.

피해 구제 체계도 강화된다. 개인정보 유출 시 기업·기관의 손해배상 책임을 원칙화하고 입증 책임을 기업에 부과해 배상 실효성을 높인다. 다크패턴처럼 이용자 개인정보 수정, 동의 철회, 탈퇴를 어렵게 하는 행태도 집중 점검한다는 계획이다.

이와 함께 최근 대규모 유출 논란이 있었던 쿠팡과 KT에 대한 조사도 마무리 단계에 접어들었다.

송경희 개인정보위 위원장은 이날 서울정부청사에서 가진 브리핑에서 "쿠팡과 KT 모두 조사 완료 후 사전 통지를 진행했고 현재 사업자 의견을 검토 중"이라며 "책임에 상응하는 적절한 처분이 이뤄질 수 있도록 하겠다"고 말했다.

송 위원장은 최근 앤트로픽 '미토스' 사례 등 AI 기반 해킹 위협과 관련해서도 "앞으로 공격뿐 아니라 방어도 AI가 하는 속도로 가게 될 것"이라며 "사람 중심 관리 체계에서 AI 에이전트 기반 탐지·대응 체계로 빠르게 전환해야 한다"고 말했다. 이어 "사전 예방 체계를 제대로 구축하면 공격을 조기에 탐지하고 피해 확산을 차단할 수 있다"고 강조했다.

yjjoe@fnnews.com 조윤주 기자