회사 서버가 해킹당하거나 직원의 실수로 고객 명단이 외부로 새어 나갔을 때, 담당자의 머릿속을 가장 먼저 스치는 걱정은 두 가지입니다. "언제까지, 누구에게 알려야 하나"와 "과징금이 얼마나 나오나"입니다. 2023년 9월 전면 개정돼 시행 중인 개인정보보호법은 유출 통지·신고 기한을 72시간으로 못 박았고, 과징금 산정 기준을 전체 매출액으로 바꿔 부과 가능한 액수를 크게 키웠습니다. 여기에 2026년 2월 국회를 통과한 개정안은 중대한 유출에 대해 과징금 상한을 최대 10%까지 끌어올렸습니다. 이 글에서는 현행 유출 통지·신고 의무의 구체적 내용, 과징금이 어떻게 달라졌는지, 그리고 사고가 터졌을 때 시간대별로 무엇을 해야 하는지를 실무 관점에서 정리합니다.
법무법인 도모 강대현 변호사
개인정보보호법 개정 — 무엇이, 어떻게 강화됐나
지금 적용되는 개인정보보호법의 뼈대는 2023년 3월 14일 공포되어 2023년 9월 15일부터 시행된 전면 개정입니다. 2011년 법 제정과 2020년 이른바 데이터 3법 개정 이후 가장 폭넓은 손질이었는데, 개인정보 유출에 대한 기업의 대응 의무와 제재를 동시에 강화한 것이 핵심입니다. 유출 통지·신고 기한을 72시간으로 통일했고, 과징금 상한의 산정 기준을 종전의 "위반행위와 관련한 매출액"에서 "전체 매출액"으로 바꿨습니다.
여기서 멈추지 않았습니다. 2026년 2월 12일 국회 본회의를 통과한 개정안은 중대한 유출 사고에 대해 과징금 상한을 전체 매출액의 3%에서 최대 10%까지 올리고, 유출 통지 의무의 범위도 넓혔습니다. 다만 이 개정안은 공포 후 6개월이 지난 시점부터 시행될 예정이어서, 이 글을 쓰는 현재는 아직 시행 전 단계입니다. 그래서 "지금 지켜야 하는 규칙(3%·72시간)"과 "곧 적용될 규칙(10%·통지 확대)"을 나눠서 이해하는 것이 중요합니다.
현행법의 두 축은 72시간 통지·신고 의무와 전체 매출액 3% 과징금입니다. 2026년 개정으로 과징금 상한은 최대 10%까지 올라갈 예정입니다.
유출 통지·신고 의무 — 72시간 시계는 언제 시작되나 (제34조)
개인정보보호법 제34조는 개인정보가 분실·도난·유출된 사실을 알게 되면 두 갈래의 의무가 곧바로 작동하도록 설계돼 있습니다. 하나는 피해를 입은 정보주체(고객·이용자)에게 알리는 통지 의무, 다른 하나는 개인정보보호위원회 또는 전문기관인 한국인터넷진흥원(KISA)에 알리는 신고 의무입니다. 두 의무 모두 기준 시점은 "유출을 알게 된 때"이며, 여기서 72시간이라는 시계가 돌기 시작합니다.
정보주체에 대한 통지는 원칙적으로 "지체 없이" 해야 하고, 시행령은 정당한 사유가 없는 한 유출을 안 때부터 72시간 이내에 통지하도록 정하고 있습니다. 위원회·KISA에 대한 신고 역시 72시간 이내가 원칙입니다. 다만 신고는 유출 사고라고 해서 항상 하는 것이 아니라, 아래 세 가지 중 하나에 해당할 때 하도록 대상을 정해 두었습니다.
1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우 — 유출 규모가 일정 인원을 넘으면 신고 대상입니다.
민감정보 또는 고유식별정보가 유출된 경우 — 건강·사상·정치적 견해 같은 민감정보나 주민등록번호·여권번호 등 고유식별정보는 인원수와 무관하게 신고 대상입니다.
외부의 불법적인 접근(해킹 등)에 의해 유출된 경우 — 내부 실수가 아니라 외부 침입으로 새어 나갔다면 신고 대상이 됩니다.
천재지변 등 부득이한 사유로 72시간 안에 신고하기 어려웠다면, 그 사유가 해소된 뒤 지체 없이 신고할 수 있습니다. 또 유출 경로가 확인돼 개인정보를 회수·삭제하는 등으로 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고를 생략할 수 있는 예외도 있습니다. 그러나 이런 예외를 스스로 넉넉히 해석했다가 나중에 "신고 회피"로 평가되면 오히려 불리하므로, 애매하면 신고하는 쪽이 안전합니다.
정보주체 통지도, 위원회·KISA 신고도 원칙은 유출을 안 때부터 72시간 이내입니다. 다만 신고는 1천 명 이상·민감/고유식별정보·외부 불법접근 중 하나에 해당할 때 합니다.
통지문에 반드시 담아야 하는 5가지 (제34조 각 호)
통지는 형식만 갖춰 "죄송합니다"로 끝나서는 안 됩니다. 법은 정보주체가 스스로 피해를 막고 대응할 수 있도록 통지문에 담을 항목을 구체적으로 정해 두었습니다. 아래 다섯 가지는 빠짐없이 알려야 하는 법정 통지 사항입니다.
유출된 개인정보의 항목 — 이름·연락처·주민번호·카드번호 등 무엇이 새어 나갔는지 특정합니다.
유출된 시점과 경위 — 언제, 어떤 경로로 유출됐는지 확인된 범위에서 알립니다.
피해를 최소화하기 위해 정보주체가 할 수 있는 방법 — 비밀번호 변경, 카드 재발급, 명의도용 차단 서비스 등 실질적 자구책 안내입니다.
개인정보처리자의 대응조치 및 피해 구제절차 — 회사가 어떤 조치를 했고 어떻게 구제받을 수 있는지 설명합니다.
신고 등을 접수할 수 있는 담당부서와 연락처 — 정보주체가 문의·신고할 창구를 명시합니다.
2026년 통과된 개정안은 여기에 더해 손해배상 청구 방법 등 정보주체가 실제로 권리를 행사하는 데 필요한 정보까지 통지 항목에 포함하도록 넓혔습니다. 즉 앞으로의 통지문은 "무슨 일이 있었다"를 넘어 "당신이 무엇을 청구할 수 있다"까지 안내하는 방향으로 강화됩니다.
과징금 — '전체 매출액의 3%'가 된다는 의미 (제64조의2)
과징금 규정을 이해할 때 핵심은 "무엇에 3%를 곱하느냐"입니다. 종전에는 일반 개인정보처리자의 과징금 상한이 5억 원(정액)이었고, 정보통신서비스 제공자에 대해서만 "위반행위와 관련한 매출액의 3%"를 기준으로 삼았습니다. 전면 개정은 이 기준을 전체 매출액의 3%로 바꿨습니다. 곱해지는 밑변이 "관련 매출"에서 "전체 매출"로 넓어졌으니, 같은 3%라도 부과 가능한 절대 액수는 비교할 수 없이 커진 셈입니다.
예를 들어 전체 매출액이 1조 원인 기업이라면 이론상 과징금 상한이 300억 원에 이릅니다. 종전 5억 원 상한과 비교하면 제재의 무게가 근본적으로 달라진 것입니다. 다만 무한정 넓어지는 것을 막기 위해, 산정 기준이 되는 매출액에서 "위반행위와 관련이 없는 매출액"은 제외하도록 해 과징금이 책임의 범위를 벗어나 과도하게 산정되지 않도록 하는 장치도 함께 두었습니다.
여기서 오해하기 쉬운 지점이 있습니다. 전체 매출액의 3%는 어디까지나 상한이지, 사고만 나면 자동으로 부과되는 금액이 아닙니다. 실제 과징금은 위반의 내용과 정도, 기간과 횟수, 취득한 이익의 규모, 안전조치 이행 여부, 피해 확산을 막기 위한 노력 등을 종합해 산정·조정됩니다. 그래서 같은 유출이라도 사후 대응을 어떻게 했느냐에 따라 결과가 크게 갈립니다.
과징금 밑변이 "위반 관련 매출"에서 "전체 매출"로 바뀌었습니다. 3%는 상한일 뿐, 실제 액수는 위반 정도·안전조치 이행·피해 최소화 노력으로 조정됩니다.
2026년 개정 — 과징금 최대 10%와 통지 의무 확대
2026년 2월 12일 국회를 통과한 개정안은 제재의 상한을 한 단계 더 끌어올렸습니다. 일정한 중대 사유가 있는 경우 과징금 상한을 전체 매출액의 10%까지 부과할 수 있도록 했습니다. 앞의 예시로 돌아가면, 전체 매출 1조 원 기업의 상한이 300억 원에서 1,000억 원으로 뛸 수 있다는 뜻입니다. 다만 이 10% 상향은 모든 유출에 적용되는 것이 아니라, 아래와 같은 가중 사유가 있을 때 적용됩니다.
고의 또는 중대한 과실로 3년 이내에 같은 위반행위를 반복한 경우
고의 또는 중대한 과실로 인한 유출로 피해 규모가 1천만 명 이상에 이른 경우
시정조치 명령을 따르지 않아 유출 등이 발생한 경우
매출액이 없거나 산정이 곤란한 경우에는 50억 원을 넘지 않는 범위에서 과징금을 부과하도록 했습니다. 반대로 개인정보 보호를 위한 예산·인력·설비 등에 투자하고 이를 성실히 운영한 사정이 있으면, 고의나 중대한 과실이 아닌 한 과징금을 필요적으로 감경하도록 한 완화 장치도 함께 담겼습니다. 통지 의무도 넓어져, 유출이 확정되지 않아도 유출 가능성이 있으면 알리도록 하고 손해배상 청구 방법까지 통지하도록 했습니다.
이 개정안은 공포 후 6개월이 지난 시점부터 시행될 예정이고, 개인정보 보호 인증 의무화 등 일부 조항은 2027년 7월 1일부터 시행됩니다. 아직 시행 전이라도, 기업 입장에서는 "지금 사고가 나면 3%, 시행 후 사고가 나면 최대 10%"라는 두 기준을 모두 염두에 두고 사전 대비 체계를 점검해 두는 것이 안전합니다.
사고가 터졌을 때 — 72시간 대응 순서
유출이 의심되는 순간부터 72시간은 생각보다 짧습니다. 통지문과 신고서에는 유출 항목·시점·경위·대응조치가 들어가야 하는데, 이 사실관계를 확정하는 데만도 시간이 걸리기 때문입니다. 아래 순서를 미리 매뉴얼로 정해 두면 실제 상황에서 시간을 벌 수 있습니다.
인지·초동 차단 — 유출을 인지하면 즉시 접근 차단·계정 잠금·로그 확보로 확산을 멈추고, "안 때"를 기록으로 남깁니다(72시간 기산점).
내부 보고·증거 보전 — 개인정보 보호책임자에게 보고하고, 서버 로그·접속 기록 등 원인 규명과 소명에 필요한 증거를 보전합니다.
범위·항목 특정 — 유출된 항목과 대상 인원, 민감·고유식별정보 포함 여부를 파악해 신고 대상에 해당하는지 판단합니다.
통지·신고 실행 — 72시간 안에 정보주체에게 법정 5개 항목을 통지하고, 대상이면 위원회 또는 KISA에 신고합니다.
재발방지·사후관리 — 원인을 제거하고 안전조치를 보강하며, 대응 경위를 문서로 남겨 과징금 산정 시 유리한 자료로 활용합니다.
특히 초동 단계에서 "안 시점"을 애매하게 두면 72시간 기산점을 두고 다툼이 생길 수 있습니다. 반대로 신속·성실하게 통지·신고하고 피해 최소화 노력을 문서로 남기면, 이후 과징금 산정에서 유리한 사정으로 참작될 여지가 큽니다.
과징금 감경·방어 — 어디를 다투나
과징금이 부과되거나 예고됐다고 해서 상한액이 그대로 확정되는 것은 아닙니다. 실무에서 다툴 수 있는 지점은 크게 세 갈래입니다. 첫째, 산정 기준이 되는 매출의 범위입니다. 전체 매출액을 기준으로 하되 "위반행위와 관련 없는 매출액"은 제외하도록 돼 있으므로, 문제 된 개인정보 처리와 무관한 사업 부문의 매출까지 밑변에 포함됐다면 이를 덜어내도록 다툴 수 있습니다.
둘째, 안전조치 의무의 이행 여부입니다. 접근통제·암호화·접속기록 보관 등 법령이 요구하는 안전조치를 갖추고 있었고 유출이 불가항력적 침입에 가깝다면, 위반의 정도가 가볍다고 평가받을 수 있습니다. 반대로 기본적인 안전조치조차 없었다면 고의·중과실로 평가돼 오히려 가중될 위험이 있습니다. 셋째, 사후 대응과 감경 사유입니다. 신속한 통지·신고, 피해 확산 차단, 정보주체 구제 노력, 그리고 개인정보 보호를 위한 예산·인력 투자 같은 사정은 감경 요소로 작용합니다.
결국 과징금 방어의 승패는 사고 이후의 기록이 좌우합니다. "무엇을 언제 알았고, 어떤 조치를 했으며, 평소 어떤 안전조치를 갖추고 있었는지"를 시간 순서로 입증할 수 있어야 합니다. 조사 통보를 받은 뒤에 급히 자료를 짜맞추려 하면 오히려 신뢰를 잃기 쉬우므로, 초기 단계부터 대응 경위를 체계적으로 정리해 두는 것이 핵심입니다.
과징금은 관련 없는 매출 제외·안전조치 이행 소명·신속한 사후 대응이라는 세 축에서 다툴 수 있습니다. 승패는 사고 이후 남긴 기록이 좌우합니다.
자주 묻는 질문
Q. 유출을 안 지 며칠 지났는데 아직 신고를 못 했습니다. 늦어도 괜찮을까요?
A. 원칙은 유출을 안 때부터 72시간 이내 통지·신고입니다. 천재지변 등 부득이한 사유가 있었다면 그 사유가 해소된 뒤 지체 없이 하면 되지만, 단순히 "정리가 안 됐다"는 이유는 정당한 사유로 인정되기 어렵습니다. 이미 기한을 넘겼더라도 지금이라도 즉시 통지·신고하고 지연 경위를 소명하는 편이, 방치하는 것보다 훨씬 유리합니다.
Q. 유출된 사람이 몇 명뿐이어도 신고해야 하나요?
A. 신고 대상은 1천 명 이상 유출, 민감정보·고유식별정보 유출, 외부 불법접근 유출 중 하나에 해당할 때입니다. 따라서 소수 인원이 유출됐고 그 내용이 민감·고유식별정보가 아니며 외부 해킹이 아니라면 위원회·KISA 신고 대상은 아닐 수 있습니다. 다만 신고 대상이 아니어도 정보주체에 대한 통지 의무는 인원수와 무관하게 남는다는 점을 유의해야 합니다.
Q. 과징금과 과태료는 어떻게 다른가요?
A. 과징금은 위반으로 얻은 부당한 이익을 환수하고 제재하는 성격의 금전 부담으로, 전체 매출액을 기준으로 큰 금액이 될 수 있습니다. 반면 과태료는 통지·신고 의무 위반처럼 개별 의무 불이행에 부과되는 행정질서벌로 상대적으로 정형화된 금액입니다. 하나의 유출 사고에서 과징금과 과태료가 함께 문제될 수 있다는 점을 염두에 두어야 합니다.
Q. 실제로 유출됐는지 확실하지 않은데도 알려야 하나요?
A. 현행법은 유출이 확인된 경우의 통지·신고를 규정합니다. 다만 2026년 통과된 개정안은 유출이 확정되지 않아도 유출 가능성이 있으면 통지하도록 의무를 넓혔습니다. 따라서 앞으로는 "확실하지 않다"는 이유로 통지를 미루기 어려워지므로, 가능성 단계에서부터 통지 여부를 신중히 검토하는 편이 안전합니다.
Q. 전체 매출액의 3%면 무조건 그 금액이 부과되나요?
A. 아닙니다. 3%(개정 시행 후 중대 사유는 10%)는 상한일 뿐입니다. 실제 과징금은 위반의 정도·기간·횟수, 취득 이익, 안전조치 이행 여부, 피해 최소화 노력 등을 종합해 정해지고, 관련 없는 매출은 산정에서 제외됩니다. 그래서 같은 사고라도 사후 대응과 소명에 따라 액수가 크게 달라집니다.
Q. 통지·신고를 하지 않으면 어떤 불이익이 있나요?
A. 통지·신고 의무 위반 자체가 제재 대상이 되고, 은폐·축소로 평가되면 과징금 산정에서 가중 요소로 작용할 수 있습니다. 반대로 신속·성실하게 통지·신고하고 피해를 줄이려 노력한 사정은 감경 요소가 됩니다. 즉 통지·신고를 회피하는 것은 단기적으로도 위험하고 장기적으로도 손해입니다.
맺음말
정리하면, 현행 개인정보보호법의 핵심은 유출을 안 때부터 72시간 이내 통지·신고와 전체 매출액 3% 과징금입니다. 2026년 2월 통과된 개정안은 중대한 유출에 대해 과징금 상한을 최대 10%까지 올리고 통지 의무를 유출 가능성 단계까지 넓혔으며, 공포 후 6개월이 지나면 시행됩니다. 지금 사고가 나면 3% 기준이, 시행 이후에는 10% 기준이 적용될 수 있으니 두 기준을 모두 염두에 둔 사전 점검이 필요합니다.
개인정보 유출은 발생 사실보다 그 이후의 72시간을 어떻게 쓰느냐가 결과를 좌우합니다. 통지 대상과 신고 대상을 판단하고, 통지문에 법정 항목을 빠짐없이 담고, 대응 경위를 기록으로 남기는 일은 짧은 시간 안에 정확히 처리해야 하는 만큼 초기 판단에서 실수가 나오기 쉽습니다.
회사 차원의 개인정보 유출 사고나 개인정보보호위원회의 조사·과징금 통보에 직면했다면, 초기 단계에서 통지·신고 여부와 과징금 방어 전략을 함께 설계하는 것이 중요합니다. 수원·경기남부 지역에서 기업 자문과 형사·행정 대응을 함께 경험한 변호사의 조력을 받아 대응 방향을 점검해 보시길 권합니다.
조력이 필요하시면 010-3432-1451 강대현 변호사에게 연락주십시오. 신속히 도와드리겠습니다.
의뢰인을 위한 최선의 전략을 끊임없이 고민합니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.
