개인정보보호법 시행령 개정안 총정리 (2026년 6월 입법예고)

보안 실무자가 반드시 알아야 할 핵심 변화와 대응 체크리스트

---

들어가며

2026년 3월 10일 개인정보보호법 전부개정이 공포(법률 제21445호, 2026년 9월 11일 시행)된 이후, 보호위원회가 하위 법령 정비를 위해 두 건의 시행령 개정안을 동시에 입법예고했습니다.

• 제1안 (2026. 6. 1. 입법예고): 과징금 제도 구체화
• 제2안 (2026. 6. 2. 입법예고): CPO 신고제·인증 의무·유출 가능성 통지 등 핵심 제도 도입

두 개정안 모두 의견 제출 기간은 2026년 7월 13일까지입니다.

이 포스팅에서는 각 개정안의 핵심 내용을 정리하고, 보안 실무자 입장에서 지금 당장 해야 할 업무를 체크리스트로 정리했습니다.

---

1. 개정 배경

최근 수년간 대형 개인정보 유출 사고가 연이어 발생했습니다. 이에 대응하여 국회는 2026년 2월 12일 본회의에서 개인정보보호법 개정안을 통과시켰고, 3월 10일 공포되었습니다. 핵심 방향은 세 가지입니다.

1. CPO(개인정보 보호책임자) 권한과 독립성 강화
2. 일정 규모 이상 기관의 ISMS-P 인증 의무화
3. 유출 가능성 단계에서부터 정보주체에게 통지하는 사전 통지제 도입

---

2. 제1안: 과징금 제도 구체화 (6월 1일 입법예고)

핵심 요약

기존 과징금은 위반 매출액 기준이었으나, 개정법은 반복·중대 침해 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했습니다. 시행령은 그 세부 산정 방식과 감경·면제 기준을 규정합니다.

주요 내용

가. 과징금 부과 기준 산정 방법 신설 (별표 1의5)

반복적이거나 중대한 개인정보 침해행위에 대해 전체 매출액의 최대 10% 이내에서 과징금을 부과하는 기준금액 산정 방식과 고려 사항을 구체화합니다.

나. 투자 감경 제도 신설 (제60조의2 제5항)

기업이 개인정보 보호를 위해 실질적으로 투자한 경우 과징금을 감경할 수 있습니다. 감경 시 고려 사항은 다음과 같습니다.

• 예산·인력·설비·장치 등 투자 규모 및 지속성
• 사업주·CPO의 역할, 조직 구성 등 보호 체계 운영 수준
• 안전성 확보 조치 강화를 위한 추가 노력

💡 실무 포인트: 과징금 감경을 받으려면 투자 내역 기록이 중요합니다. 단순 지출이 아니라 "지속성"과 "운영 수준"을 입증할 수 있는 문서화가 필요합니다.

다. 과징금 면제 기준 구체화 (제60조의2 제6항)

위반행위를 스스로 시정하고 보호위원회 고시 기준에 해당하는 경우 과징금이 면제될 수 있습니다. 중소기업·소상공인이 법 제34조제4항의 기술 지원을 받아 위반행위를 시정한 경우도 면제 대상에 포함됩니다.

라. 비례성 강화 (부과 과징금 결정 고려 사항 추가)

부과 과징금 결정 시 위반행위자의 부담 능력 외에 위반행위의 내용·정도, 피해 규모·영향 등을 추가로 고려하여 과중하지 않도록 합니다.

---

3. 제2안: CPO 신고제·인증 의무·유출 통지 (6월 2일 입법예고)

법률 시행일(2026.9.11.)에 맞춰 핵심 제도 세부 사항을 규정합니다. 실무에 가장 큰 영향을 미치는 개정안입니다.

---

가. 개인정보 보호책임자(CPO) 제도 전면 개편 (제32조, 제62조)

① CPO 지정·변경·해제 신고 의무화 (제32조 ③신설)

일정 규모 이상의 개인정보처리자는 CPO를 지정·변경·해제할 때마다 보호위원회에 신고해야 합니다.

구분	내용
신고 의무 대상	연 매출액(수입) 1,800억원 이상 + 5만명 이상 민감·고유식별정보 처리자, 또는 100만명 이상 개인정보 처리자
신고 기한	신고 의무 발생일부터 1개월 이내
부득이한 사유	사유 해소일부터 1개월 이내
미신고 시	과태료 부과 (별표2)

⚠️ 실무 포인트: CPO가 바뀌거나 사임하면 1개월 내에 신고해야 합니다. 인사 발령 시점에 법무·컴플라이언스 팀과 즉시 연계되는 프로세스를 만들어 두어야 합니다.

② CPO 자격 기준 강화 (제32조 ⑤항, 나목신설, ⑥신설)

• 나목 신설: 임원(상법 제408조의2 집행임원 포함)도 CPO 자격 부여
• ⑥신설: 신고 의무 대상 기관은 별표 1에서 정하는 요건을 갖춘 자를 CPO로 지정해야 함

💡 실무 포인트: 별표 1의 요건을 미리 확인하고, 현재 CPO가 요건을 충족하는지 점검해야 합니다. 요건 미달 시 시행 전까지 CPO를 교체하거나 요건 충족 교육을 이수해야 합니다.

③ CPO 이사회 보고 의무 (제32조 ②항 재정비)

신고 의무 대상 기관은 CPO 지정·변경·해제 전에 이사회 의결을 거쳐야 합니다. 이사회 의결 없이 CPO를 변경하면 과태료 대상입니다.

---

나. 개인정보 보호 인증(ISMS-P) 의무화 (제34조의9 신설)

의무 대상 기관

다음 중 하나에 해당하는 개인정보처리자는 ISMS-P 인증을 의무적으로 취득해야 합니다.

1. 공공시스템운영기관 중 보호위원회가 고시하는 자
2. 이동통신서비스 제공자 (전파법 제10조에 따라 주파수를 할당받은 자)
3. 본인확인기관 (정보통신망법 제23조의3)
4. 다음을 모두 충족하는 자 (단, 전자금융거래법상 금융회사 제외):
   • 전년도 매출액 1조원 이상 + 정보통신서비스 부문 전년도 매출액 100억원 이상
   • 직전 3개월 간 개인정보가 저장·관리되는 국내 정보주체 수 일일평균 3,000만명 이상

인증 미취득 시

과태료 부과 + 인증 내용을 거짓으로 표시·홍보한 경우 별도 과태료

⚠️ 실무 포인트: 단, 인증 의무 규정의 시행일은 2027년 7월 1일입니다(법률 부칙). 시간은 있지만 ISMS-P 인증 심사에 통상 6~12개월이 소요된다는 점을 감안하면, 2026년 하반기에 바로 준비를 시작해야 합니다.

---

다. 개인정보 유출 통지·신고 제도 전면 정비 (제39조의2 신설 등)

① 유출 가능성 사전 통지 제도 신설 (제39조의2)

기존에는 유출이 확인된 경우에만 통지 의무가 있었습니다. 개정 후에는 유출 가능성이 의심되는 단계에서도 72시간 이내 통지 의무가 생깁니다.

통지 의무 발생 상황:

상황	통지 기산점
개인정보처리시스템 또는 취급자 기기에 대한 불법 접근을 알게 된 경우로서, 유출 가능성이 높은 객관적 정황이 있으나 정보주체 특정이 곤란한 경우	불법 접근을 알게 된 때
처리 중인 개인정보가 불법 거래·유통되고 있음이 객관적으로 확인된 경우	불법 거래·유통 사실을 알게 된 때

통지 내용 (제39조의2 ③항):

• 유출 가능성이 있는 개인정보의 항목
• 유출 가능성이 있는 시점과 경위
• 법 제34조 제1항 제3~5호 사항
• 유출 여부가 확정될 경우 추가 통지를 하겠다는 사실

사후 통지 의무 (제39조의2 ④항):
유출 가능성 통지 이후 유출 여부를 확인하게 된 경우:

• 유출이 확인된 경우: 법 제34조제1항에 따른 정식 통지
• 유출이 아닌 것으로 확인된 경우: 유출되지 않았다는 사실을 포함하는 정정 통지

⚠️ 실무 포인트: 이제 단순히 "유출인지 확인 중"이라는 이유로 통지를 미룰 수 없습니다. 사고 인지 72시간 내 1차 통지 → 조사 완료 후 2차 통지 2단계 대응 프로세스가 필수입니다.

② 위조·변조·훼손도 통지 대상 포함 (제30조의2, 제39조)

기존 통지 의무 대상은 개인정보의 분실·도난·유출이었으나, 개정 후에는 위조·변조·훼손까지 포함됩니다("유출등"의 개념 확대).

💡 실무 포인트: 랜섬웨어로 데이터가 암호화(훼손)된 경우, 악의적 내부자가 데이터를 조작(변조)한 경우도 통지·신고 의무가 발생합니다. 인시던트 분류 기준을 업데이트해야 합니다.

③ 통지 항목에 계정 보호조치 추가 (제39조 ④신설)

법 제34조제1항제7호에 따라, 유출 통지 시 비밀번호 변경 방법 등 계정 보호조치를 안내해야 합니다.

---

라. 과태료 부과기준 정비 (제63조 별표2)

• 시정조치·경고도 위반 횟수에 포함: 과태료 없이 경고로 끝난 경우에도 재발 시 가중 과태료가 부과됩니다.
• 법제처 「과태료 금액 지침」에 따른 개별 기준 정비

---

마. 위탁 업무 범위 확대 (제62조)

한국인터넷진흥원(KISA) 등 전문기관에 위탁할 수 있는 업무에 다음이 추가됩니다.

• 9호 신설: 개인정보 보호책임자 지정·변경·해제 신고 접수 및 처리
• 16호 신설: 사전 실태점검 관련 자료제출 요구 및 접수

---

바. 보호위원회 자료제출 요구 범위 구체화 (제13조)

보호위원회는 개인정보처리자에게 다음 자료의 제출 및 의견 진술을 요구할 수 있습니다.

• 의무 대상 여부 확인을 위한 매출액, 개인정보 보유 규모 등
• 개인정보 보호 정책 추진, 성과평가 등에 필요한 사항

---

4. 시행 일정 정리

일정	내용
2026. 3. 10.	개인정보보호법 개정법률 공포 (법률 제21445호)
2026. 6. 1.~7. 13.	시행령 제1안(과징금) 입법예고
2026. 6. 2.~7. 13.	시행령 제2안(CPO·인증·유출통지) 입법예고
2026. 9. 11.	개정법률 및 시행령 대부분 시행
2027. 7. 1.	ISMS-P 인증 의무화 규정 시행

---

5. 보안 실무자 대응 체크리스트

📋 즉시 확인 (지금 당장)

• 우리 기관이 CPO 신고 의무 대상인지 확인 (연 매출 1,800억원 이상 + 100만명 이상 or 5만명 이상 민감정보)
• 우리 기관이 ISMS-P 인증 의무 대상인지 확인 (공공시스템기관, 이통사, 본인확인기관, 매출 1조원+3,000만명)
• 현재 CPO가 별표 1 자격 요건을 충족하는지 점검
• 개인정보 보호 관련 투자 내역 및 지출 기록 현황 파악

📋 2026년 9월 시행 전까지

• CPO 신고 프로세스 수립: 인사 발령 시 1개월 내 자동 신고 절차 마련
• 이사회 의결 프로세스 구축: CPO 변경 전 이사회 안건 상정 절차 신설
• 인시던트 대응 SOP 개정: 유출 가능성 72시간 내 1차 통지 → 2차 통지 2단계 체계
• 유출 범위 재정의: 위조·변조·훼손 상황도 통지·신고 대상으로 분류 기준 업데이트
• 통지 템플릿 업데이트: 계정 보호조치(비밀번호 변경 방법 등) 문구 추가
• 과징금 감경 자료 준비: 개인정보 보호 투자 내역(예산, 인력, 교육, 솔루션) 체계적 기록
• 경고·시정조치 이력 관리: 과태료 없이 종결된 사건도 공식 이력으로 관리

📋 2027년 7월 이전까지 (ISMS-P 인증 의무 대상 기관)

• ISMS-P 인증 현황 파악 (기취득 여부, 유효기간)
• 인증 심사 일정 계획 수립 (심사 준비 최소 6~12개월 소요)
• 인증 범위(scope) 검토 및 GAP 분석 실시
• 내부 심사팀 구성 또는 외부 컨설팅 계약

---

6. 실무자가 특히 주목해야 할 포인트

🔴 가장 큰 변화: "유출 가능성"만으로 통지 의무 발생

기존 개인정보보호법은 유출이 "확인된" 이후 통지 의무가 시작되었습니다. 이번 개정으로 불법 접근 인지 또는 불법 거래 확인 시점부터 72시간이 카운트됩니다. 보안 관제(SOC)에서 이상 징후를 탐지한 순간부터 시계가 돌아간다고 봐야 합니다.

GDPR의 72시간 통지 의무와 유사한 방식으로 국내에도 사전 통지 의무가 생기는 것입니다.

🔴 과징금 최대 매출액의 10%

기존 과징금 상한은 위반 관련 매출액의 3%였습니다. 개정 후 반복·중대 침해 시 전체 매출액의 최대 10%가 부과될 수 있습니다. 단, 투자 감경 제도가 신설되었으므로 사전 투자 기록이 실제 과징금 규모를 줄이는 데 핵심입니다.

🔴 경고도 "전과"가 된다

과거에는 과태료 없이 경고로 사건이 종결되면 "깨끗한" 기록이 남았습니다. 이제는 경고·시정조치도 위반 횟수에 포함되어 재발 시 가중 과태료 대상이 됩니다. 사소해 보이는 지적도 반드시 조치하고 기록해야 합니다.

---

마치며

이번 개정은 단순한 조문 정비가 아닙니다. CPO의 이사회 보고, 신고 의무, ISMS-P 의무 인증, 유출 가능성 통지 등 실질적인 거버넌스 체계 구축을 법으로 강제하는 것입니다.

9월 시행까지 약 3개월밖에 남지 않았습니다. 지금 바로 내부 현황을 점검하고 대응 계획을 수립하시기 바랍니다.

---

본 포스팅은 2026년 6월 입법예고된 개인정보보호법 시행령 개정안을 기반으로 작성되었습니다. 최종 확정된 내용은 관보 공포 후 국가법령정보센터에서 확인하시기 바랍니다.

---

참고 자료

• 법제처 입법예고 (lawSeq=83132): 시행령 제1안 (과징금)
• 개인정보보호위원회 보도자료: 시행령 제2안 (CPO·인증·유출통지)
• 개인정보보호법 (법률 제21445호, 2026.3.10. 공포)
• 국가법령정보센터: https://www.law.go.kr