9월부터 '최대 10%' 징벌적 과징금 시행…3300만명 털린 쿠팡, '철퇴' 피하나(종합)

등록 2026.05.12 17:30:19

개인정보 유출 반복·중대 유출 기업에 '매출 10%' 과징금…기준도 '직전 연도 매출'

3300만 건 유출 '쿠팡' 처분 임박…KT도 사전 통지 마쳐

개보위 "법 원칙 따라 신규 법 적용 현실적으로 어렵다"…이전 기준 적용될 듯

[서울=뉴시스] 조수정 기자 = 송경희 개인정보보호위원장이 12일 오후 서울 종로구 정부서울청사에서 예방중심 개인정보 관리체계 전환계획을 발표하고 있다. 2026.05.12. chocrystal@newsis.com

[서울=뉴시스] 조수정 기자 = 송경희 개인정보보호위원장이 12일 오후 서울 종로구 정부서울청사에서 예방중심 개인정보 관리체계 전환계획을 발표하고 있다. 2026.05.12. [email protected]

[서울=뉴시스]윤정민 기자 = 오는 9월부터 개인정보를 반복해서 유출하거나 중대한 사고를 낸 기업은 최대 매출액 10%에 달하는 막대한 벌금을 물게 된다. 개정 법 시행에 앞서 일어난 쿠팡 개인정보 유출 사고에 대해서는 강화된 징벌적 과징금 규정이 적용되지 않는다. 다만 정부는 3300만명 이상 개인정보가 노출된 대규모 사고인 만큼 책임에 상응하는 처분을 내리겠다는 입장이다.

개인정보보호위원회가 12일 국무회의에 보고한 '예방 중심 개인정보 관리체계 전환 계획'에 따르면, 정부는 사후 처벌 중심이던 개인정보 보호 정책을 사전 예방 중심으로 전환하기로 했다.

주요 내용으로는 ▲반복·중대 위반 시 매출 최대 10% 과징금 ▲이행강제금·증거보전명령 도입 ▲약 1700개 고위험 시스템 직접 점검 ▲클라우드·수탁사 등 공급망 점검 확대 ▲CEO·개인정보보호책임자(CPO) 책임 강화 ▲SNS·다크웹상 개인정보 불법유통 모니터링 강화 등이 담겼다.

송경희 개인정보위 위원장은 국무회의 이후 가진 미디어 백브리핑에서 최근 듀오 처분 사례를 예방 중심 체계로 전환하는 이유 중 하나로 꼽았다. 듀오는 지난해 직원 PC 해킹으로 회원 42만7464명의 종교, 혼인경력, 직장, 학교, 신체정보 등 민감정보가 유출됐으나, 과징금은 약 12억원에 그쳤다. 최근 3년간 평균 매출액이 400억원대에 불과했고 중기업 감경 기준까지 적용된 탓이다. 누리꾼들 사이에서는 "민감정보 유출인데 제재가 약하다"는 비판이 제기됐다.

송 위원장은 "현재 체계는 매출액 기반이다 보니 국민들이 느끼는 사건 심각성에 비해 제재 강도가 작다고 느낄 수 있다"며 "실질적인 사전 예방 투자로 연결되지 않는다면 유사한 사고가 계속 일어날 개연성이 높다"고 말했다.

이어 "앞으로는 위험 기반 관리체계로 가겠다"며 "민감한 정보를 많이 관리하는 곳에는 훨씬 강화된 안전조치 기준을 적용하고 그렇지 않은 곳은 조금 더 가볍게 할 수 있도록 해서 과소 규제나 과잉 규제 부작용을 해소하겠다"고 밝혔다.

이날 국무회의에서 의결된 개인정보보호법 시행령 개정안에 따라 정부는 오는 9월부터 개인정보 보호법 위반 기업에 대해 매출액의 최대 10%까지 과징금을 부과한다. 과징금 산정 기준도 최근 3년 평균 매출액뿐 아니라 직전 연도 매출액까지 비교해 더 높은 금액을 기준으로 적용하기로 했다.

또 공공기관과 대기업 등 대규모 정보를 다루는 '고위험 시스템' 1700곳은 정부가 직접 정기 점검에 나선다. CEO와 개인정보보호책임자(CPO)의 책임도 한층 무거워진다.

쿠팡·KT 유출 사고 처분 임박…신규 법 적용은 '제외'

[서울=뉴시스] 김명년 기자 = 쿠팡 전 직원이 일으킨 침해 사고로 성명, 이메일이 포함된 쿠팡 이용자 정보 3367만3817건이 유출됐다고 정부 민관합동조사단이 발표했다.

해당 직원은 전화번호, 배송지주소, 특수문자로 비식별호된 공동현관 비밀번호 등이 포함된 배송지 목록 페이지를 약 1억4800만건 조회한 것으로 드러났다.

사진은 10일 오후 서울 송파구 쿠팡 본사. 2026.02.10. [email protected]

관심을 모았던 쿠팡의 개인정보 유출 사고에 대한 처분은 이르면 다음 달 결정된다. 쿠팡은 전 직원의 부정 조회로 이용자 정보 3367만 건이 유출되는 초유의 사태를 겪었다.

다만 이번에 강화된 '매출 10% 과징금' 규정은 쿠팡에 적용되지 않는다. 법이 시행되기 전 발생한 사고이기 때문이다. 송경희 개인정보위 위원장은 "법 원칙에 따라 시행 이후 사건부터 강화된 기준을 적용한다"면서도 "징벌적 과징금과 강화된 매출 기준 모두 시행 이후 발생한 사건부터 적용된다"고 말했다.

개인정보위는 지난달 초 쿠팡에 개인정보 보호법 위반 사항과 예정 처분 내용 등이 담긴 사전통지서를 발송했으며 최근 쿠팡 측 의견서를 제출 받아 검토 중이다. 개인정보위는 빠르면 다음 달 전체회의를 통해 최종 제재 수위를 결정할 예정이다.

업계 일각에서는 정부가 한미 통상 갈등을 해소하고자 쿠팡 제재 수위를 낮추는 것 아니냐는 관측도 나온다. 송 위원장은 "잘못한 책임이 있다면 책임에 상응하는 처분을 내리도록 최선을 다하고 있다"고 말했다.

지난해 발생한 KT 개인정보 유출 사고에 대해서도 조사와 사전 통지를 마친 상태다. 개인정보위는 KT 측 의견서를 받는대로 처분 수위를 검토할 계획이다. 두 기업 모두 의견서 검토가 끝나는 대로 제재 수위가 확정될 예정이다.

'미토스 쇼크'에 커진 보안 우려…개인정보위 "AI 기반 예방 체계 중요"

최근 보안 업계의 최대 위협은 'AI 기반 해킹'이다. 앤트로픽의 최신 AI 모델 '클로드 미토스' 등이 등장하면서 해킹 속도가 비약적으로 빨라질 전망이다. AI가 보안 구멍을 스스로 찾아내고 공격까지 자동으로 수행하는 수준에 도달했다.

정부는 기존 패치·사후 대응 방식으로는 이를 막기 어렵다고 판단했다. 이제는 방어 체계도 'AI'로 전환해야 한다는 설명이다.

이와 관련, 개인정보위는 AI 기반 공격이 현실화되고 보호 환경은 빠르게 바뀌고 있지만 개인정보 보호의 본질은 변하지 않는다며 정보자산 식별, 상시 위협 탐지, 접근권한 관리 등 기본 보호체계 강화를 강조했다.

송 위원장은 이날 브리핑에서 "사전 예방 체계는 미리 개인정보 관리체계를 갖추고 거기에 맞는 여러 기술적 솔루션을 통해 점검을 강화해야 한다"며 "그래야 공격이 발생하더라도 빠르게 감지하고 차단 범위를 국한할 수 있다"고 설명했다.

이어 "앞으로는 AI가 공격뿐 아니라 방어도 담당하게 될 것"이라며 "사람 중심 관리 체계에서 AI 에이전트 기반 탐지·대응 체계로 빠르게 전환해야 한다"고 말했다.

◎공감언론 뉴시스 [email protected]