2027년 7월 ISMS-P 의무화 카운트다운, 매출 10% 과징금 시대 기업이 지금 해야 할 것
🤖 AI Summary
2026년 2월 12일 국회를 통과한 개정 개인정보보호법은 3월 10일 공포됐고, 9월 11일부터 시행됩니다. 핵심 변화 세 가지는 매출 10% 과징금, 대표이사급 CPO 개인 책임 강화, 그리고 2027년 7월 1일 ISMS-P 의무화예요. 이 글에서는 개정법 핵심 변화 6가지를 한눈에 정리하고, 우리 회사가 ISMS-P 의무 대상인지 판단하는 기준 4가지, 그리고 앞으로 14개월 동안 준비할 실무 체크리스트를 1차 출처(법률신문, 정부 보도, MBC, ZDNet) 기반으로 정리합니다.
블로그 목차
유출 사고 나면 이젠 대표이사가 직접 책임진다
이전까지 개인정보 유출 사고가 터지면 회사 보안팀 또는 CPO 선에서 수습하고 끝나는 경우가 많았죠. 그런데 앞으로는 다릅니다. 2026년 3월 10일 공포된 개정 개인정보보호법이 사업주와 대표자를 개인정보 보호의 최종 책임자로 명시했습니다. 매출 10% 과징금, CPO 지정 시 이사회 의결 의무, 유출 가능성 통지제도 같은 조항이 줄줄이 따라옵니다.
의무화도 속도를 냅니다. ISMS-P 인증을 받아야 하는 기업 대상이 확대되고, 시행일은 2027년 7월 1일입니다. 남은 시간은 약 14개월. 이 글에서는 개정법 핵심 변화 6가지를 정리하고, 우리 회사가 의무 대상에 해당하는지 판단 기준 4가지, 그리고 지금부터 준비할 체크리스트를 짚어봅니다.
2026년 한 해 동안 벌어지는 4개의 분기점
시간순으로 보면 개정법 스케줄은 이렇습니다.
9월 11일부터 먼저 과징금 상한이 기존 매출 3%에서 10%로 뛰어오릅니다(법률신문, MBC 보도 교차 확인). 여기에 CPO 지정·이사회 의결 등 책임 구조 재편을 연내 마쳐야 하고, ISMS-P 의무화는 2027년 7월 1일 시행으로 예정돼 있습니다(법률신문). 남은 시간이 넉넉해 보여도 예산 편성·인력 구성·시스템 점검까지 역산하면 빠듯한 일정이죠.
개정법이 바꾸는 핵심 6가지
법률신문이 정리한 2026-02-12 통과 개정안의 주요 내용을 기업 관점으로 6가지로 묶어봤어요.
구분 | 주요 변화 | 실무 임팩트 |
|---|---|---|
1. 과징금 | 매출의 3% → 매출의 10% | 반복·중대 위반 시 징벌적 부과 |
2. 대표자 책임 | 사업주·대표자를 개인정보 보호 최종 책임자로 명시 | 사고 시 대표이사 개인 책임 범위 확대 |
3. CPO 지정 절차 | 일정 규모 이상 기업은 이사회 의결과 개인정보보호위원회 신고 필수 | 인사·보고 체계 정비 필요 |
4. 유출 범위 확대 | 기존 분실·도난·유출 + 위조·변조·훼손 추가 | 사고 유형 인식과 신고 기준 재정립 |
5. 유출 가능성 통지제 | 유출 우려 시점부터 정보주체에 통지 의무 | 인지·통지 절차 내부 프로세스 필요 |
6. ISMS-P 의무화 | 2027년 7월 1일부터 대상 기업 인증 의무 | 예비심사·본심사 대비 준비 시작 |
이 중에서도 실무자 입장에서 가장 체감이 큰 건 과징금 상한 확대입니다. 기존 3% 과징금도 부담이라는 말이 많았는데, 이제 매출 100억 원 기업 기준 최대 10억 원까지 올라갑니다. 반복·중대 위반이라는 조건이 붙지만, 일단 발동되면 체력이 버티기 힘든 규모죠. 여기에 더해 ZDNet 보도에 따르면 ISMS-P 인증 의무 대상이 인증을 취득하지 않으면 최대 3천만원 과태료도 함께 부과됩니다.
MBC 보도에 따르면 개정법에는 한 가지 완충 장치가 있어요. 정보보호 예산과 인력에 성실히 투자한 기업은 고의나 중과실이 아닌 사고의 경우 과징금 감면 인센티브를 받을 수 있습니다. 투자 없이 당하면 매출 10%, 투자하고 당하면 감경. 이 차이가 5년 뒤 기업 가치를 가릅니다.
우리 회사가 ISMS-P 의무 대상일까
ISMS-P 의무화 대상은 법률신문과 뉴스1 보도에서 공통으로 4가지 유형으로 정리됩니다. 구체적 기준 수치는 시행령에서 확정될 예정이지만, 유형 기준으로 먼저 자가 판단할 수 있어요.
유형 | 해당 기준 | 우리 회사 해당 여부 |
|---|---|---|
1. 공공시스템운영기관 | 주요 공공시스템을 운영하는 기관 | 공공기관 또는 준정부기관 |
2. 이동통신사업자 | 이통사 본사 및 주요 자회사 | 기간통신사업자 등록 여부 |
3. 본인확인기관 | 본인확인기관 지정 사업자 | 본인확인 서비스 제공 여부 |
4. 대규모 개인정보처리자 | 매출액과 개인정보 처리 규모를 고려한 대규모 사업자 | 시행령 확정 대기, 매출·고객 수 기준 관찰 필요 |
위 네 가지 중 하나라도 해당한다면 의무 대상 가능성이 높고, 대규모 개인정보처리자 유형은 시행령 공포 시점에 구체 기준을 확인해야 합니다. 의무 대상이 아니더라도 매출 10% 과징금과 CPO 개인 책임은 모든 기업에 적용되니 준비 수준을 크게 낮추긴 어려워요.
14개월 동안 준비할 3단계 체크
시행일까지 여유 있어 보여도 예산 승인·인력 배치·시스템 점검을 역산하면 지금부터 움직이는 게 맞습니다. ZDNet이 전한 개편 방향(예비심사 강화, 패치·취약점 점검 기준, 사고 기업 특별점검)에 맞춰 3단계로 정리했어요.
1단계. 거버넌스 정비, 연내 완료
가장 먼저 정비할 건 책임 구조입니다. 개정법에서 사업주·대표자가 개인정보 보호의 최종 책임자로 명시됐으니, CPO 지정을 이사회 의결로 공식화하고 개인정보보호위원회에 신고까지 마쳐야 합니다. 대표이사가 정말 이 책임 구조를 인지하고 있는지 확인하는 작업도 필요하죠. 연내 완료 목표로 잡는 게 현실적입니다.
2단계. 기술·예산 투자, 2026년 하반기 집중
ZDNet이 전한 개편 방향에 따르면 예비심사 단계에서 패치 관리와 취약점 점검 기준 미달이면 본심사 자체가 중단될 수 있습니다. OS·미들웨어·ERP 패치 체계, 정기 취약점 진단, 유출 가능성 통지 프로세스를 지금부터 설계해야 2027년 심사에 통과합니다. 예산 확보는 이 단계의 선결 조건이죠. 보안 예산·인력 투자가 있으면 과징금 감경 인센티브도 받을 수 있으니 투자 유인도 충분합니다.
3단계. 인증 실전, 2027년 상반기 실행
인증 실전은 예비심사 모의 점검부터 시작합니다. 핵심 통제항목 중 미흡한 부분을 사전에 보완하고, 본심사 신청과 취득까지 6개월 이상 기간을 두고 접근해야 합니다. 2027년 7월 1일 의무화 시점 전에 취득 완료가 목표죠. 내부 인력만으로 어렵다면 스피디 MSP의 ISMS-P 대비 컨설팅을 활용해보세요.
이것만 기억하세요
2026년 3월 10일 공포된 개정 개인정보보호법은 9월 11일 매출 10% 과징금과 2027년 7월 1일 ISMS-P 의무화로 두 개의 분기점을 만듭니다. 사업주와 대표자가 개인정보 보호의 최종 책임자로 명시되면서 CPO 지정은 이사회 의결 사항이 됐고, 유출 범위도 위조·변조·훼손까지 확대됐죠. 지금부터 14개월 안에 거버넌스 정비와 기술·예산 투자, 예비심사 준비를 역산해 움직이면 과징금 감면 인센티브까지 확보할 수 있습니다.
자주 묻는 질문 (FAQ)
Q. 우리 회사가 ISMS-P 의무 대상인지 확실하지 않은데 어떻게 확인하나요?
현재 4가지 유형이 제시돼 있습니다. 주요 공공시스템운영기관, 이동통신사업자, 본인확인기관, 그리고 매출과 개인정보 처리 규모를 고려한 대규모 개인정보처리자입니다. 네 번째 유형의 구체적 기준 수치는 시행령에서 확정될 예정이니 개인정보보호위원회 고시를 계속 확인해야 합니다. 다만 의무 대상이 아니더라도 과징금과 CPO 책임 조항은 모든 기업에 적용됩니다.
Q. 과징금 매출 10%가 구체적으로 언제부터 어떻게 부과되나요?
2026년 9월 11일부터 시행됩니다. MBC 보도에 따르면 반복적이거나 중대한 개인정보 유출에 대해 매출액의 최대 10%까지 징벌적 수준으로 부과됩니다. 다만 정보보호 예산·인력에 성실히 투자한 기업이 고의나 중과실이 아닌 사고를 겪은 경우 감면 인센티브가 적용됩니다.
Q. CPO 지정에 이사회 의결까지 필요하다면 중소기업은 부담 아닌가요?
이사회 의결과 개인정보보호위원회 신고 요건은 일정 규모 이상 기업에 적용됩니다. 법률신문 보도에 따르면 구체적 규모 기준은 시행령에서 정해지며 중소기업 부담을 고려한 차등 적용이 논의되고 있습니다. 다만 대표자의 최종 책임 명시 조항은 규모와 무관하게 적용되니 대표이사 인지와 내부 보고 체계 정비는 필요합니다.
Q. 유출 가능성 통지제는 실제 유출이 확인되지 않아도 알려야 하나요?
개정법은 유출이 확인된 시점뿐 아니라 유출 가능성이 인지된 시점부터 통지 의무를 발생시킵니다. 내부 사고 탐지 시 정보주체에게 어떤 기준으로 언제 통지할지를 사전에 문서화한 프로세스가 필요합니다. 사고 후 급하게 대응하면 통지 지연 자체가 또 다른 위반이 될 수 있습니다.
