최근 개인정보보호법 개정(3.10.)의 핵심은 개인정보 보호의 성패를 더 이상 기술적인 방어(Security)의 문제로만 보지 않고, 기업의 생존을 결정짓는 의사결정(Governance)의 문제로 격상시켰다는 데 있습니다.
1. 법 개정 배경: 2025년 보안 잔혹사와 입법적 결단
이번 법 개정의 직접적인 도화선은 2025년 상반기 발생한 KT, 롯데카드, Yes24, 쿠팡 등 주요 기업들의 연쇄적인 대규모 개인정보 유출 사고였습니다. 외부 해킹과 악성코드뿐만 아니라 내부자에 의한 유출까지 전방위적으로 확산되자, "실무자 수준의 방어로는 한계가 있다"는 사회적 합의가 형성되었습니다. 이에 따라 2026년 3월 10일 개인정보 보호법이 개정되었고, 9월 11일 본격적인 시행을 앞두고 있습니다. 이는 보안의 책임을 '현장'이 아닌 '결정권자'에게 묻겠다는 입법부의 강력한 의지입니다.
2. [최종 책임의 명문화] 대표자 처벌 리스크와 실효적 조치 의무
신설된 법 제30조의3은 대표자를 '최종 책임자'로 명시했습니다. 단순히 보안을 독려하라는 수준을 넘어, '개인정보 보호에 필요한 전문 인력과 충분한 예산의 지원 등 총괄적인 관리 조치를 실효성 있게 하여야 한다'는 구체적 의무를 부여했습니다. 이제 사고 발생 시 대표자가 "예산 범위 내에서 최선을 다했다"거나 "실무진에 일임했다"는 논리로 면책받는 것은 불가능해졌습니다. 보안 예산 삭감이나 인력 충원 거부는 곧 대표자의 '법적 의무 위반'으로 직결됩니다.
3. [지위의 독립성 보장] CPO 임면 이사회 의결과 거버넌스 수립
개정법은 개인정보 보호책임자(CPO) 임면 시 이사회 의결을 제도화했습니다. 이는 CPO에게 경영진을 견제하고 독자적인 목소리를 낼 수 있는 '정치적 체급'을 법으로 보장해 준 것입니다. 전문성과 독립성을 갖춘 CPO가 선임되었는지 이사회가 직접 검증하게 함으로써, 보안이 사업적 이익에 밀려 뒷전이 되는 고질적인 문제를 구조적으로 해결하려 하고 있습니다.
4. [입증 책임의 강화] 정기 보고를 통한 '경영진 책임 이행' 증빙
이제 기업은 연 1회 이상 개인정보 보호 현황을 이사회에 정기 보고해야 합니다. 보고 항목에는 단순한 현황뿐만 아니라 인력·예산 운영 실태, 리스크 진단 결과 및 개선 조치 등 매우 구체적인 데이터가 포함되어야 합니다. 이는 사고 발생 시 경영진이 '관리·감독 의무'를 다했음을 입증하는 유일한 방어 기제가 될 것입니다. 역설적으로, 이 보고 체계가 부실하다면 유출 사고 시 기업은 거대한 과징금과 법적 책임을 피할 길이 없습니다.
"보안 사고는 이제 기술의 한계가 아닌, 경영의 방임으로 정의됩니다"
이번 개정은 개인정보 보호가 서버실을 넘어 이사회의 회의 탁자 위로 올라왔음을 선포한 것입니다. 대표자의 책임이 법적으로 신설되고 이사회 보고가 의무화된 이상, 향후의 사고는 '기술적 운'의 문제가 아니라 '경영진의 관리 소홀'로 간주될 것입니다. 이제 기업은 투입된 예산과 전문 인력의 숫자로 자신의 진정성을 스스로 입증해야만 합니다.