법무법인(유) 광장(대표변호사 김상곤)은 한국정보법학회(공동회장 권창환, 최경진)와 18일 페럼타워 페럼홀(서울 중구 을지로5길 19)에서 '개인정보 및 정보보호 거버넌스 강화: 2026년 개정 개인정보보호법의 주요 쟁점과 실무상 과제를 중심으로'를 주제로 학술세미나를 성황리에 개최했다고 22일 밝혔다.
이번 세미나는 광장에서 개인정보 및 정보보호 분야를 담당하는 DPC 그룹과 한국정보법학회가 공동으로 주최했다.
세미나는 지난 3월 10일 개정되어 오는 9월 11일 주요 규정 시행을 앞둔 개인정보보호법의 주요 제도 변화와 실무상 쟁점을 점검하고 향후 개선 방향을 모색하기 위해 마련됐다.
'기업의 개인정보 보호 책임 및 관리체계 강화'를 핵심으로 하는 개정법이 곧 시행 예정인 가운데, 이날 세미나에는 학계, 법조계, 산업계, 정부 및 공공기관 관계자들 250여 명이 참석하여 높은 관심을 보였다.
행사는 권창환 한국정보법학회 공동회장(수원지방법원 부장판사)의 개회사, 광장 김상곤 대표변호사(사법연수원 23기)의 환영사, 광장 장석영 고문(前 과학기술정보통신부 차관)의 축사로 시작됐다. 이어서 세 가지 주제발표와 종합토론이 진행됐다.
첫 번째 주제발표는 김직동 개인정보보호위원회 국장이 '2026년 개인정보보호법 개정 주요 내용'을 주제로 진행했다. 김 국장은 개정 배경에 관하여 2025년 대규모 개인정보 유출사고가 계속되면서 사전 예방 중심의 개인정보 보호 책임을 강화하고 반복적·의도적 위반행위에 대한 과징금을 대폭 상향할 필요성이 제기됐다고 밝혔다.
개정법의 주요 내용으로 △CEO의 최종 책임 명시 및 개인정보 보호책임자(CPO)의 독립성 강화 및 업무범위 확대 △개인정보 보유 규모 및 매출액을 고려한 공공ㆍ민간의 중요 개인정보처리자에 대한 ISMS-P 인증 의무화, △'유출등'의 개념 확대 및 개인정보 유출 가능성 통지 제도 도입 △반복적ㆍ의도적 위반행위에 대한 과징금 신설 및 선제적 투자시 과징금 필수 감경 신설을 설명했다. 나아가 김 국장은 추가 입법 추진 사항으로 인공지능(AI) 기술개발 특례 규정 신설, 2차 유출 대책 관련 추가 개정 추진 내용을 소개했다.
두 번째 발표를 맡은 이근우 교수(가천대학교 법과대학)는 '형법적 시각에서 본 개인정보보호법상 과징금'을 주제로 발표했다. 이 교수는 행정법 영역으로 분류되는 법률에 규정된 형벌이라도 죄형법정주의·고의범 처벌·책임 원칙 등 형사법 원칙이 동일하게 적용되어야 하며, 특히 과실범 영역에서는 벌의 상향이 범죄 억지력으로 그대로 이어지지는 않으므로 강한 처벌에 의존하기보다 사전 예방이 정책의 핵심이라고 강조했다.
또한 이 교수는 형법적 관점에서 순수 제재형 과징금과 형벌의 병과가 헌법상 이중처벌 금지 원칙과 충돌할 수 있는 점, 산정 기준이 불명확한 '종합 고려' 방식이 법치주의의 예측 가능성을 훼손할 수 있는 점을 지적했다. 나아가 AI 시대에 절대적으로 완벽한 보안은 불가능한 만큼 성실한 보안 노력에도 사고가 발생한 경우의 면책 기준을 명확히 하고 투자 수준에 따른 감경 비율을 구체적으로 규정해야 기업의 보안 투자 유인이 발생한다고 강조하며, 예측 가능성과 비례성을 높이기 위한 보완 입법을 검토할 필요가 있다는 의견을 제시했다.
세 번째로는 법무법인(유) 광장 TMT/DPC 그룹장이자 개인정보팀장 고환경 변호사(사법연수원 31기)가 '개정 개인정보보호법에 따른 컴플라이언스 대응전략'을 주제로 발표했다.
고 변호사는 개인정보 보호 투자 체계화가 기업 대응의 핵심이라고 강조하며, 개정법에 따른 기업의 대응 방안으로 △강화된 ISMS-P 인증제도에 대비하여 보호 수준을 실질적으로 제고하거나 의무 대상자가 아닌 경우 과징금 감경을 위해 인증을 자율적으로 취득하는 대응 △PbD(Privacy by Design) 적용을 통한 개인정보 침해 가능성 예방 △보안 취약점의 선제적 발굴 및 향후 취약점 신고ㆍ조치ㆍ공개 제도(CVDㆍVDP) 도입 시 참여 △CEOㆍCPO 중심의 실효적으로 작동하는 개인정보 보호 거버넌스 구축, ⑤ 유출ㆍ침해사고 대응 프로세스 재정비를 제시했다.
이어서 진행된 종합토론에서는 최경진 공동회장(가천대학교 교수)이 좌장을 맡았다. 토론자로는 이해원 교수(강원대학교 법학전문대학원), 차호범 부사장(SKT), 법무법인(유) 광장 손경민 변호사(사법연수원 37기), 이진규 전무(네이버), 최지아 부장판사(대구지방법원), 황보성 본부장(한국인터넷진흥원(KISA) 개인정보본부), 백대현 과장(과학기술정보통신부 사이버침해대응과)이 참여했다. 토론자들은 개정법 및 정책 방향에 대한 의견, 개정법 시행을 대비하여 특히 주의해야 할 사항, 제도 개선을 위한 추가적 고려사항 등에 대해 심도 있는 토론을 이어갔다.
이해원 교수는 사전 예방 중심의 책임 강화라는 개정 방향에 공감하면서도, 많은 형사처벌 규정을 징벌적 성격의 과징금 및 손해배상 규정과 함께 유지하는 것이 정합적인지 검토가 필요하며, 과징금을 높인다면 다른 제재와의 조정이 수반돼야 한다고 말했다. 또한 업계별로 요구되는 보안 수준을 준수한 기업에 행정책임 측면에서 중과실을 쉽게 인정하는 데에는 신중한 접근이 필요하다고 말했다.
차호범 부사장은 이번 개정의 핵심이 제재 강화를 넘어 거버넌스 혁신에 있다고 보고, 반복적ㆍ중대한 침해에 대한 책임은 필요하지만, 기업이 과도한 제재를 우려해 기술 개발을 주저하면 국가 경쟁력에 바람직하지 않으므로 과징금 제도는 책임성과 혁신의 균형 속에서 운영돼야 한다고 말했다. 나아가 AI 시대에는 모델 편향ㆍ환각, 자율형 AI 에이전트의 오작동 등 새로운 위험에 대응하기 위해 개인정보 보호와 정보보호, AI 안전성을 통합된 리스크 관리 체계에서 함께 운영할 필요가 있다고 강조했다.
손경민 변호사는 법 개정이 다양한 각도에서 급속도로 이루어지면서 실무상 해석의 모호함이 커지고 있다고 말했다. 특히 명문화된 CEO의 책임을 실제로 어떻게 이행할 것인지가 해석의 문제로 남게 되고, '유출 등'의 개념에 새로 포섭된 위조ㆍ변조ㆍ훼손을 어떻게 해석할지에 따라 후속 조치의 범위가 달라지므로 이를 구체화할 필요가 있다고 말했다. 또한 유출 가능성 판단이나 고의ㆍ중과실 해석, 투자 감경의 인정 범위 등도 향후 실무가 집적되며 정립돼야 할 부분이라고 짚었다. 나아가 개정 정보통신망법이 개인정보보호법에 따른 유출 사고에 대해서는 정보통신망법상 과징금을 부과하지 않도록 규정한 점을 언급하면서, 사고 발생 시 과도한 중복 제재가 방지될 수 있도록 입법 차원의 고민이 필요하다고 제언했다.
이진규 전무는 징벌적 제재 강화로 업무 우선순위가 외형적 컴플라이언스 준수에 집중되고, 안전성 확보조치 미준수가 곧바로 중과실 판단으로 이어질 경우 대부분의 유출사고가 징벌적 과징금 대상이 될 수 있다는 우려가 현장에서 제기됐다고 말했다. 또한 '유출 등'에 위조ㆍ변조ㆍ훼손이 포함되면서 개인정보보호위원회와 과학기술정보통신부를 동시에 대응해야 하는 부담이 발생한다고 지적하며, 현장에서 유출 가능성 통지 요건과 관련해 혼란이 없도록 보다 명확한 규정이 필요하다는 의견을 제시했다.
최지아 부장판사는 개정법이 사업주ㆍ대표자에게 최종 책임이 있음을 명시했으나 행정형법상 처벌 대상인 '사업주'가 개인정보보호법 본래의 수범자인 '개인정보처리자'와 어떻게 구별되는지 분명하지 않고, 해당 규정을 수탁자에게 준용한 것이 위탁자에게 최종 책임이 남는 현행 체계와 어떻게 조화를 이룰 것인지에 대해서도 검토가 필요하다고 말했다. 나아가 분명해 보이는 '개인정보처리자' 개념도 실제 사안에서는 하급심과 대법원, 보호위원회의 판단이 엇갈리는 경우가 적지 않으며, 최근에 대법원 2024도14,998 판결에서 제시한 기준 중 의무와 책임 귀속 주체를 든 점은 개정법의 방향과 일치하나 동시에 여전히 해석상 어려움이 있다고 짚었다.
한편 황보성 본부장은 유출사고를 예방하는 핵심은 사업자의 인력ㆍ예산 투자이므로, 정부가 투자에 따른 과징금 감경을 유연하게 해석ㆍ적용해 나가는 것이 중요하다고 말했다. 또한 유출사고는 백신 미설치나 취약한 패스워드 등 기본적인 보안조치가 이행되지 않은 데서 발생하는 경우가 많으므로, 우선 기본 준수 여부를 진단하고, 이를 기반으로 고도의 보안 체계를 구축해야 한다고 강조했다.
백대현 과장은 개정 정보통신망법의 주요 내용으로 CISO 권한 강화와 정보보호위원회 설치 의무화 등 거버넌스 강화, 강화 인증군 신설 등 ISMS 인증 실효성 강화, 반복적 침해사고에 대한 매출액 최대 3% 과징금 신설을 소개했다. 또한 화이트 해커가 취약점을 발견ㆍ신고하면 기업이 이를 패치하고 공개하는 취약점 신고ㆍ조치ㆍ공개 제도(CVDㆍVDP)를 올해 시범사업으로 진행 중이며 내년부터 본격적인 제도화를 추진할 예정이라고 밝혔다.
이번 행사를 공동주최한 최경진 공동회장은 "이번 행사는 한국정보법학회가 새로 시작하는 특별세미나 시리즈의 첫번째 기획 세미나"라면서, "개정법 시행에 따라 기업과 기관이 직면하게 될 실무적 과제와 향후 제도 개선 방향을 함께 논의하고, 특히 학계의 연구 성과와 산업계·법조계의 현장 경험이 만나 현실적이고 균형 잡힌 해법을 모색한 뜻깊은 자리"였다고 밝혔다.
또한 권 공동회장은 "이번 세미나는 개정 개인정보보호법의 주요 규정들이 학계뿐만 아니라 실제 현장에서 어떻게 해석되고 적용될 것인지를 법조 실무의 시각에서 선제적으로 짚어낸 자리"였다며, "강화된 규제가 현장에서 합리적이고 실효성 있게 구현되도록 예측 가능성과 비례성을 갖춘 집행 기준을 모색하는 의미 있는 출발점이 될 것이라 기대한다"고 밝혔다.
한편 고 변호사는 "중요한 시기에 학계, 법조계, 업계, 정부의 입장과 제도개선 방향에 대해 깊이 있는 논의가 이루어졌다"라고 말했다. 나아가 개정법의 개선 방향과 관련하여 "ISMS-P 인증 의무 취득시 과징금 감경 사유 적용을 배제하기보다는 감경 비율을 낮추는 방식으로 조정하고, CVDㆍVDP 제도의 법제화 시점을 앞당겨 이를 과징금 감경 사유로 반영하고, 또한 중과실 사유를 구체적으로 열거하는 방식의 입법적 보완을 고려할 수 있다"면서 "성실하게 유출 신고한 기업이 제재 등 오히려 더 큰 부담을 질 수 있는 '신고의 역설' 구조를 해소하기 위해, 자발적 신고시 과징금 감경이 적용되도록 할 필요가 있다"고 강조했다.
광장 DPC 그룹에는 개인정보 전문 변호사, 규제기관 출신 및 보안 기술 전문가 등 50여 명의 전문가들이 포진해 있으며, 대규모 개인정보 유출사고 대응 업무를 포함하여 규제기관 조사 및 제재 대응, 행정소송 및 민사소송, 컴플라이언스 프로젝트 등 개인정보 관련 제반 자문을 수행하고 있다.
작년에는 해킹대응팀을 출범해 업계 최고 수준의 전문인력들이 보유한 풍부한 침해사고 대응 업무 수행 경험을 보다 집중적으로 활용하는 한편, 최근에는 글로벌 사이버보안 기업 팔로알토 네트웍스(Palo Alto Networks)와 MOU를 체결하여 IT/보안 전문 파트너들과의 협업을 강화했다. 이를 통해 개인정보 및 정보보호와 관련하여 고객 회사의 산업 분야, 사고 유형, 조사 기관 등에 최적화된 원스톱 자문 서비스를 제공하고 있다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
