개정안이 통과됐을 때 많은 스타트업이 “우리 규모면 해당 없겠지”라고 넘어간다. 이번 개정은 그 판단이 통하지 않는 구조다. 과징금 상한이 올라갔고, 대표가 직접 책임자로 법에 박혔으며, 이미 시행된 조항이 두 개나 있다. 2026년 9월 11일까지 준비 기간은 4개월 남짓. 조항별로 적용 시점과 규모 기준을 먼저 구분해야 뭘 먼저 해야 하는지 보인다.
왜 지금 이 법을 다시 봐야 하는가: 개정 타임라인 한눈에
이번 개정안은 2026년 2월 12일 국회를 통과해 3월 10일 공포됐다. 핵심 조항의 본시행일은 2026년 9월 11일이다. 법률신문 보도 기준으로 과징금 상향, 대표이사 책임 명시, 유출 가능성 통지 의무가 이 날짜에 맞춰 발효된다.
그런데 이미 시행 중인 조항이 두 가지 있다. 2025년 10월 2일에 개인정보 전송 요구권(데이터 이동권)이 먼저 시행됐고, 2025년 10월 31일에는 안전성 확보조치 기준 개정이 발효됐다. 이 두 조항은 이미 의무 사항이다. 아직 검토를 못 했다면 지금이 늦은 시점이다.
ISMS-P 인증 의무화는 유예기간을 더 줘서 2027년 7월 1일 시행 예정이다. 의무 대상 규모는 대통령령에 위임되어 현재 확정 고시 전이다. 의무 대상에 포함될 규모라면 인증 심사 준비에 통상 1년 이상 걸리므로 지금 해당 여부를 먼저 파악해 두는 게 맞다.
조항마다 적용 시점과 대상 규모가 다르기 때문에 “전부 다 당장 해야 한다”는 오해와 “우리는 해당 없다”는 방심 모두 위험하다.
과징금 최대 10% 상향 — 3가지 가중요건 정확히 읽기
기존 개인정보보호법의 과징금 상한은 전년도 매출액의 3%였다. 이번 개정으로 최대 10%까지 올라간다. 단, 10%는 자동 적용이 아니다. 아래 세 가지 요건 중 하나에 해당할 때 가중 적용된다.
① 3년 이내 동일 위반 반복: 행정처분을 받은 사업자가 같은 유형의 위반을 3년 안에 다시 저지를 경우. 스타트업 중 과거 행정처분 이력이 있는 곳은 기존 처분 내용과 개선 조치 완료 여부를 지금 문서로 남겨둬야 한다.
② 피해자 1천만 명 이상: 규모 있는 B2C 서비스라면 현실적인 시나리오다. 회원 수가 수백만 단위에 달하는 서비스는 이 기준을 넘을 수 있다. 대규모 유출이 발생하면 기존 3%가 아닌 10% 기준으로 제재를 받는다는 뜻이다.
③ 시정명령 미이행 유출: 개인정보보호위원회로부터 시정명령을 받은 상태에서 유출이 발생하면 과징금이 가중된다. 행정 절차를 가볍게 보는 태도가 최악의 경우 페널티를 배가시키는 구조다.
매출이 없거나 초기 단계인 스타트업의 과징금 산정 방식은 시행령에 위임된 사항이라 현재 확정 수치를 제시하기 어렵다. 개인정보보호위원회 고시가 나오는 시점에 바로 확인하는 것이 현실적이다.
대표이사 책임 명시 & CPO 신고 의무: 조직 구조에 미치는 영향
이번 개정에서 실무적으로 가장 충격이 큰 조항 중 하나다. 개인정보보호법이 대표이사를 개인정보보호의 최종 책임자로 법 본문에 직접 명시했다. IAPP 보도 기준으로 이 조항은 2026년 9월부터 효력을 갖는다.
기존에는 CPO(개인정보보호책임자)에게 권한을 위임하면 대표 책임은 사실상 희석되는 구조였다. 이제는 위임 여부와 무관하게 최종 책임이 대표에게 귀속된다. 내부적으로 CPO에게 충분한 권한과 예산을 부여하고, 그 결정이 이사회 또는 경영진 수준에서 승인됐다는 기록을 남기는 것이 중요해졌다.
일정 규모 이상 사업자는 CPO를 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 한다. 구체적인 대상 규모는 시행령에서 정할 예정이다. 매출액 또는 이용자 수 기준이 나올 가능성이 높으므로, 해당 기준이 고시되는 즉시 자사 해당 여부를 확인해야 한다.
소규모 스타트업도 최소한 다음은 해야 한다. CPO를 내부적으로 지정하고 임명 문서를 만들어 두는 것, CPO의 역할과 보고 라인을 개인정보처리방침 또는 내부 규정에 명시하는 것. 지정 사실이 문서화되지 않으면 위반 시 “관리 체계가 없었다”는 판단의 근거가 된다.
유출 통지 의무 강화 & ISMS-P 인증 의무화 대비
2026년 9월부터는 유출이 발생한 사실뿐만 아니라 유출 가능성만으로도 정보주체에게 즉시 통지해야 한다. 서버 침해 시도가 감지됐고 개인정보 접근 흔적이 확인됐지만 실제 유출 여부가 불분명한 상황도 통지 요건이 된다.
이 조항이 까다로운 이유는 ‘가능성’의 판단 기준이다. 현장에서 인시던트가 발생했을 때 법무·보안 팀이 빠르게 판단할 수 있는 내부 기준(SOP)이 없으면, 통지를 늦게 한 것이 오히려 가중 요인이 된다. 유출 대응 절차를 미리 문서화해 두는 것 — 누가 판단하고, 어떤 기준으로 통지 여부를 결정하며, 몇 시간 안에 처리하는지 — 이게 핵심이다.
ISMS-P 인증 의무화는 2027년 7월 시행 예정이지만 유예기간이 짧다고 보면 안 된다. ISMS-P 인증 심사는 서류 준비부터 현장 심사, 보완, 인증 완료까지 통상 6개월~1년이 걸린다. 의무 대상 기준이 시행령으로 확정되면 바로 착수해야 일정을 맞출 수 있다.
의무 대상이 아닌 스타트업이 자율적으로 ISMS-P를 취득하는 경우도 있다. B2G 계약이나 대기업 벤더 등록 요건에서 인증 보유 여부가 가점이 되는 경우가 실제로 있기 때문이다. 다만 인증 유지 비용이 연간 상당하므로, 매출과 계약 구조를 보고 실익을 계산해야 한다.
안전성 확보조치 기준 개정: 망분리 의무 폐지가 주는 기회와 숙제
2025년 10월 31일 시행된 안전성 확보조치 기준 개정에서 핵심은 일평균 100만 명 이상 개인정보를 저장하는 기업에 적용되던 인터넷망 차단(망분리) 의무가 폐지됐다는 점이다. CELA 해설 기준으로 이 의무는 위험분석 기반 자율보호 체계로 전환됐다.
클라우드·SaaS 스타트업 입장에서는 반갑다. 망분리 때문에 퍼블릭 클라우드 사용에 제약이 있던 서비스들이 이제 위험분석을 통해 대안적 보호 조치를 취할 수 있다. 다만 “의무가 없어졌다”가 아니라 “의무의 형태가 바뀌었다”는 점을 정확히 이해해야 한다.
자율보호 체계로 전환됐다는 것은 위험분석 문서화와 주기적 검토 의무가 새로 생겼다는 의미다. “우리는 어떤 위험이 있고, 그 위험을 어떤 기술적 조치로 대응했는가”를 문서로 증명할 수 있어야 한다. 망분리를 안 하는 대신 아무것도 안 한 것처럼 보이면 오히려 위반으로 인정될 수 있다. 적용 대상인 일평균 100만 명 기준을 넘기 시작하는 시점을 내부적으로 모니터링해 두는 것이 맞다.
개인정보 전송 요구권(데이터 이동권): B2C 서비스라면 지금 확인
2025년 10월 2일 시행된 조항이다. 이미 의무 사항이지만 많은 스타트업이 아직 대응을 못 하고 있다. CELA 해설 기준으로 보건의료·통신·에너지 3개 분야에 우선 적용된다.
핵심 의무는 두 가지다. 이용자가 자신의 데이터를 다른 서비스로 전송해 달라고 요구할 경우 이에 응해야 하는 것, 그리고 전송 내역을 3년간 보관해야 하는 것. 로그 설계와 스토리지 비용 모두에 영향을 준다.
지금 당장 3개 분야에 해당하지 않는 서비스도 주목해야 한다. 핀테크, 이커머스, 헬스케어 인접 서비스로의 확대가 예상되고 있다. 다음 분야로 포함되면 기존 API 구조를 손봐야 할 수 있기 때문에, 지금 단계에서 데이터 이동성을 고려한 API 설계를 해 두는 게 나중에 훨씬 싸다.
전송 요구권 API를 설계할 때는 이용자가 요청한 데이터 범위, 요청 시각, 전송 대상 서비스, 전송 완료 여부를 로그로 남기는 구조가 필요하다. 이게 없으면 3년 보관 의무를 이행했다고 볼 수 없다.
규모별 즉시 조치 체크리스트: 2026년 9월 전에 마무리할 것
아래 항목은 법 조항이 아닌 실무 관점에서 우선순위를 정렬한 것이다. 법령 해석과 조치 범위의 확정은 개인정보보호위원회 가이드라인 또는 전문 법률가를 통해 확인하는 것을 권고한다.
전 규모 공통 — 2026년 9월 전 필수
- 개인정보처리방침 개정 (대표이사 최종 책임자 명시, 전송 요구권 항목 추가)
- CPO 내부 지정 문서화 (지정 일자, 역할 범위, 보고 라인 명시)
- 유출 대응 SOP 작성 (판단 기준, 통지 시간선, 담당자 지정)
- 기존 행정처분 이력 확인 및 개선 조치 완료 여부 기록
성장기 서비스 (MAU 10만 이상 또는 민감정보 처리)
- CPO 신고 의무 해당 여부 조기 확인 (시행령 고시 후 즉시)
- ISMS-P 의무 대상 해당 여부 파악 및 준비 착수 시점 결정
- 위험분석 문서 초안 작성 (안전성 확보조치 자율보호 체계 대응)
보건의료·통신·에너지 분야 서비스
- 데이터 이동권 API 명세 작성 및 구현 완료 확인
- 전송 요청 로그 설계 검토 (요청자·범위·대상·완료 여부·타임스탬프)
- 전송 내역 3년 보관 스토리지 구조 확인
재위반 리스크 점검 (처분 이력 있는 경우)
- 과거 행정처분 내용과 재발 방지 조치 대조
- 동일 유형 위반 재발 시 10% 과징금 적용 가능성 법률 검토
9월까지 모든 항목을 한 번에 다 갖출 수는 없다. 그래도 공통 항목 4개는 규모를 가리지 않고 지금 착수하는 게 맞다. 유출 대응 SOP가 없는 상태에서 인시던트가 발생하면 과징금 외에 이미지 리스크까지 겹친다.
자주 묻는 질문
Q. 매출이 없는 초기 스타트업도 과징금 대상이 되나요?
과징금은 원칙적으로 전년도 매출액을 기준으로 산정한다. 매출이 없거나 극히 적은 경우의 산정 방식은 시행령에 위임된 사항이라 현재 확정 수치를 제시하기 어렵다. 다만 과징금 규모가 낮거나 없더라도 시정명령, 과태료, 행정처분 이력은 별도로 부과될 수 있다. 과징금 규모와 무관하게 유출 대응 체계는 갖춰야 한다.
Q. 데이터 이동권은 3개 분야가 아니면 완전히 무관한가요?
현재는 보건의료·통신·에너지 분야에만 의무가 적용된다. 그러나 확대 분야는 개인정보보호위원회의 추가 고시로 결정된다. 핀테크, 이커머스, 교육 분야 등이 다음 대상으로 거론되는 만큼, 지금 단계에서 API 설계에 데이터 이동성을 고려해 두면 의무가 생겼을 때 재설계 비용을 크게 줄일 수 있다.
Q. CPO가 없어도 대표가 직접 CPO 역할을 겸임할 수 있나요?
소규모 사업자의 경우 대표 또는 임원이 CPO를 겸임하는 것은 법적으로 허용된다. 다만 CPO 지정 사실을 개인정보처리방침에 명시하고, 내부적으로 지정 문서를 남겨야 한다. 일정 규모 이상 사업자는 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 하므로, 시행령 기준이 나오는 즉시 해당 여부를 확인하는 것이 우선이다.
Q. ISMS-P 미인증 상태에서 유출이 발생하면 추가 제재를 받나요?
ISMS-P 인증 의무화는 2027년 7월 시행 예정이므로, 그 전까지는 의무 대상이라도 미인증 자체로 제재받지 않는다. 다만 의무 시행 후 인증을 취득하지 않은 상태에서 위반이 발생하면 과징금 산정에서 불리하게 작용할 수 있다. 의무 대상 여부는 시행령 확정 후 즉시 확인하는 것이 맞다.