법무법인 광장, 한국정보법학회와 개인정보보호 학술세미나 성료

법무법인 광장은 한국정보법학회와 함께 지난 18일 서울 중구 페럼타워 페럼홀에서 ‘개인정보 및 정보보호 거버넌스 강화: 2026년 개정 개인정보보호법의 주요 쟁점과 실무상 과제를 중심으로’를 주제로 학술세미나를 개최했다고 22일 밝혔다. 이번 세미나는 광장에서 개인정보 및 정보보호 분야를 담당하는 광장 DPC(Data Privacy & Cybersecurity) 그룹과 한국정보법학회가 공동으로 주최했다.

이번 세미나는 지난 3월10일 개정돼 오는 9월 11일 주요 규정 시행을 앞둔 개인정보보호법의 주요 제도 변화와 실무상 쟁점을 점검하고 향후 개선 방향을 모색하기 위해 마련됐다. ‘기업의 개인정보 보호 책임 및 관리체계 강화’를 핵심으로 하는 개정법 시행을 앞두고, 이날 세미나에는 학계, 법조계, 산업계, 정부 및 공공기관 관계자들 250여 명이 몰렸다.

이날 행사는 권창환 한국정보법학회 공동회장(수원지방법원 부장판사)의 개회사, 김상곤 광장 대표변호사(사법연수원 23기)의 환영사, 장석영 광장 고문(전 과학기술정보통신부 차관)의 축사로 시작됐다. 이어서 세 가지 주제발표와 종합토론이 진행됐다.

첫 번째 주제발표는 김직동 개인정보보호위원회 국장이 ‘2026년 개인정보보호법 개정 주요 내용’을 주제로 진행했다. 김 국장은 개정 배경에 관하여 2025년 대규모 개인정보 유출사고가 계속되면서, 사전 예방 중심의 개인정보 보호 책임을 강화하고, 반복적ㆍ의도적 위반행위에 대한 과징금을 대폭 상향할 필요성이 제기됐다고 밝혔다.

개정법의 주요 내용으로는 ① CEO의 최종 책임 명시 및 개인정보 보호책임자(CPO)의 독립성 강화 및 업무범위 확대 ② 개인정보 보유 규모 및 매출액을 고려한 공공ㆍ민간의 중요 개인정보처리자에 대한 ISMS-P 인증 의무화 ③ ‘유출등’의 개념 확대 및 개인정보 유출 가능성 통지 제도 도입 ④ 반복적ㆍ의도적 위반행위에 대한 과징금 신설 및 선제적 투자시 과징금 필수 감경 신설을 설명했다. 나아가 김 국장은 추가 입법 추진 사항으로, 인공지능(AI) 기술개발 특례 규정 신설, 2차 유출 대책 관련 추가 개정 추진 내용을 소개했다.

두 번째 발표를 맡은 이근우 교수(가천대학교 법과대학)는 ‘형법적 시각에서 본 개인정보보호법상 과징금’을 주제로 발표했다. 이 교수는 행정법 영역으로 분류되는 법률에 규정된 형벌이라도 죄형법정주의ㆍ고의범 처벌ㆍ책임 원칙 등 형사법 원칙이 동일하게 적용돼야 하며, 특히 과실범 영역에서는 벌의 상향이 범죄 억지력으로 그대로 이어지지는 않으므로 강한 처벌에 의존하기보다 사전 예방이 정책의 핵심이라고 강조했다.

또한 이 교수는 형법적 관점에서 순수 제재형 과징금과 형벌의 병과가 헌법상 이중처벌 금지 원칙과 충돌할 수 있는 점, 산정 기준이 불명확한 ‘종합 고려’ 방식이 법치주의의 예측 가능성을 훼손할 수 있는 점을 지적했다. 나아가 AI 시대에 절대적으로 완벽한 보안은 불가능한 만큼 성실한 보안 노력에도 사고가 발생한 경우의 면책 기준을 명확히 하고 투자 수준에 따른 감경 비율을 구체적으로 규정해야 기업의 보안 투자 유인이 발생한다고 강조하며, 예측 가능성과 비례성을 높이기 위한 보완 입법을 검토할 필요가 있다는 의견을 제시했다.

세 번째로는 법무법인 광장 TMT(Technology, Media&Telecommunications)/DPC 그룹장이자 개인정보팀장인 고환경 변호사(사법연수원 31기)가 ‘개정 개인정보보호법에 따른 컴플라이언스 대응전략’을 주제로 발표했다. 고 변호사는 개인정보 보호 투자 체계화가 기업 대응의 핵심이라고 강조했다.

개정법에 따른 기업의 대응 방안으로 ① 강화된 ISMS-P 인증제도에 대비해 보호 수준을 실질적으로 제고하거나 의무 대상자가 아닌 경우 과징금 감경을 위해 인증을 자율적으로 취득하는 대응 ② PbD(Privacy by Design) 적용을 통한 개인정보 침해 가능성 예방 ③ 보안 취약점의 선제적 발굴 및 향후 취약점 신고ㆍ조치ㆍ공개 제도(CVDㆍVDP) 도입 시 참여 ④ CEOㆍCPO 중심의 실효적으로 작동하는 개인정보 보호 거버넌스 구축, ⑤ 유출ㆍ침해사고 대응 프로세스 재정비를 제시했다. 그는 또한 “성실하게 유출 신고한 기업이 제재 등 오히려 더 큰 부담을 질 수 있는 ‘신고의 역설’ 구조를 해소하기 위해, 자발적 신고시 과징금 감경이 적용되도록 할 필요가 있다”고 강조했다.

이어서 진행된 종합토론에서는 최경진 공동회장(가천대학교 교수)이 좌장을 맡았다. 토론자로는 이해원 교수(강원대학교 법학전문대학원), 차호범 부사장(SK텔레콤), 손경민 법무법인 광장 변호사(사법연수원 37기), 이진규 전무(네이버), 최지아 부장판사(대구지방법원), 황보성 본부장(한국인터넷진흥원(KISA) 개인정보본부), 백대현 과장(과학기술정보통신부 사이버침해대응과)이 참여했다. 토론자들은 개정법 및 정책 방향에 대한 의견, 개정법 시행을 대비해 특히 주의해야 할 사항, 제도개선을 위한 추가적 고려사항 등에 대해 심도 있는 토론을 이어갔다.

이해원 교수는 사전 예방 중심의 책임 강화라는 개정 방향에 공감하면서도, 많은 형사처벌 규정을 징벌적 성격의 과징금 및 손해배상 규정과 함께 유지하는 것이 정합적인지 검토가 필요하며, 과징금을 높인다면 다른 제재와의 조정이 수반돼야 한다고 말했다. 또한 업계별로 요구되는 보안 수준을 준수한 기업에 행정책임 측면에서 중과실을 쉽게 인정하는 데에는 신중한 접근이 필요하다고 말했다.

차호범 부사장은 이번 개정의 핵심이 제재 강화를 넘어 거버넌스 혁신에 있다고 보고, 반복적ㆍ중대한 침해에 대한 책임은 필요하지만, 기업이 과도한 제재를 우려해 기술 개발을 주저하면 국가 경쟁력에 바람직하지 않으므로 과징금 제도는 책임성과 혁신의 균형 속에서 운영돼야 한다고 말했다. 나아가 AI 시대에는 모델 편향ㆍ환각, 자율형 AI 에이전트의 오작동 등 새로운 위험에 대응하기 위해 개인정보 보호와 정보보호, AI 안전성을 통합된 리스크 관리 체계에서 함께 운영할 필요가 있다고 강조했다.

손경민 변호사는 법 개정이 다양한 각도에서 급속도로 이루어지면서 실무상 해석의 모호함이 커지고 있다고 말했다. 특히 명문화된 CEO의 책임을 실제로 어떻게 이행할 것인지가 해석의 문제로 남게 되고, ‘유출등’의 개념에 새로 포섭된 위조ㆍ변조ㆍ훼손을 어떻게 해석할지에 따라 후속 조치의 범위가 달라지므로 이를 구체화할 필요가 있다고 말했다.

또한 유출 가능성 판단이나 고의ㆍ중과실 해석, 투자 감경의 인정 범위 등도 향후 실무가 집적되며 정립돼야 할 부분이라고 짚었다. 나아가 개정 정보통신망법이 개인정보보호법에 따른 유출 사고에 대해서는 정보통신망법상 과징금을 부과하지 않도록 규정한 점을 언급하면서, 사고 발생 시 과도한 중복 제재가 방지될 수 있도록 입법 차원의 고민이 필요하다고 제언했다.

이진규 전무는 징벌적 제재 강화로 업무 우선순위가 외형적 컴플라이언스 준수에 집중되고, 안전성 확보조치 미준수가 곧바로 중과실 판단으로 이어질 경우 대부분의 유출사고가 징벌적 과징금 대상이 될 수 있다는 우려가 현장에서 제기됐다고 말했다. 또한 ‘유출등’에 위조ㆍ변조ㆍ훼손이 포함되면서 개인정보보호위원회와 과학기술정보통신부를 동시에 대응해야 하는 부담이 발생한다고 지적하며, 현장에서 유출 가능성 통지 요건과 관련해 혼란이 없도록 보다 명확한 규정이 필요하다는 의견을 제시했다.

최지아 부장판사는 개정법이 사업주ㆍ대표자에게 최종 책임이 있음을 명시했으나 행정형법상 처벌 대상인 ‘사업주’가 개인정보보호법 본래의 수범자인 ‘개인정보처리자’와 어떻게 구별되는지 분명하지 않고, 해당 규정을 수탁자에게 준용한 것이 위탁자에게 최종 책임이 남는 현행 체계와 어떻게 조화를 이룰 것인지에 대해서도 검토가 필요하다고 말했다. 나아가 분명해 보이는 ‘개인정보처리자’ 개념도 실제 사안에서는 하급심과 대법원, 보호위원회의 판단이 엇갈리는 경우가 적지 않으며, 최근에 대법원 2024도14998 판결에서 제시한 기준 중 의무와 책임 귀속 주체를 든 점은 개정법의 방향과 일치하나 동시에 여전히 해석상 어려움이 있다고 짚었다.

한편 황보성 본부장은 유출사고를 예방하는 핵심은 사업자의 인력ㆍ예산 투자이므로, 정부가 투자에 따른 과징금 감경을 유연하게 해석ㆍ적용해 나가는 것이 중요하다고 말했다. 또한 유출사고는 백신 미설치나 취약한 패스워드 등 기본적인 보안조치가 이행되지 않은 데서 발생하는 경우가 많으므로, 우선 기본 준수 여부를 진단하고, 이를 기반으로 고도의 보안 체계를 구축해야 한다고 강조했다.

백대현 과장은 개정 정보통신망법의 주요 내용으로 CISO 권한 강화와 정보보호위원회 설치 의무화 등 거버넌스 강화, 강화 인증군 신설 등 ISMS 인증 실효성 강화, 반복적 침해사고에 대한 매출액 최대 3% 과징금 신설을 소개했다. 또한 화이트 해커가 취약점을 발견ㆍ신고하면 기업이 이를 패치하고 공개하는 취약점 신고ㆍ조치ㆍ공개 제도(CVDㆍVDP)를 올해 시범사업으로 진행 중이며 내년부터 본격적인 제도화를 추진할 예정이라고 밝혔다.

이번 행사를 공동주최한 한국정보법학회 최경진 공동회장은 “이번 행사는 한국정보법학회가 새로 시작하는 특별세미나 시리즈의 첫번째 기획 세미나”라며 “개정법 시행에 따라 기업과 기관이 직면하게 될 실무적 과제와 향후 제도 개선 방향을 함께 논의하고, 특히 학계의 연구 성과와 산업계·법조계의 현장 경험이 만나 현실적이고 균형 잡힌 해법을 모색한 뜻깊은 자리”라고 밝혔다.

권창환 공동회장은 “이번 세미나는 개정 개인정보보호법의 주요 규정들이 학계뿐만 아니라 실제 현장에서 어떻게 해석되고 적용될 것인지를 법조 실무의 시각에서 선제적으로 짚어낸 자리”라며 “강화된 규제가 현장에서 합리적이고 실효성 있게 구현되도록 예측 가능성과 비례성을 갖춘 집행 기준을 모색하는 의미 있는 출발점이 될 것이라 기대한다”고 밝혔다.

이 기사가 마음에 들었다면, 좋아요를 눌러주세요.