개인정보 보호책임자(CPO)의 위상이 이사회 의결 사항으로 격상되며, 네이버와 카카오 등 대형 플랫폼과 통신사는 2028년까지 정보보호 관리체계 인증을 마쳐야 한다. 개인정보보호위원회는 2일 이 같은 내용을 담은 개인정보 보호법 시행령 개정안을 입법예고하고, 불법 접근 인지 시 72시간 내 통지를 의무화하는 등 기업의 책임성을 대폭 강화하였다. 연 매출 1,800억 원 이상 대형 사업자와 상급종합병원 등이 주요 규제 대상에 포함된다.

기업의 개인정보 보호 체계가 최고 의사결정 기구인 이사회의 직접적인 통제와 감시 하에 놓이게 된다. 개인정보보호위원회는 개인정보 보호책임자(CPO)의 지정과 변경, 해임 절차를 이사회 의결 사항으로 명문화하고 대규모 사업자의 보안 인증을 의무화하는 내용을 담은 개인정보 보호법 시행령 개정안을 마련하였다. 이는 단순한 행정 절차의 변화를 넘어 개인정보 보호를 기업 경영의 핵심 리스크이자 사회적 책임으로 관리하겠다는 정부의 강력한 의지를 반영한 결과로 풀이된다.

개인정보 보호책임자 인사에 대한 이사회 의결 의무는 특정 규모 이상의 사업자와 공공기관에 일괄적으로 적용될 예정이다. 구체적인 대상은 연 매출액 또는 수입이 1,800억 원 이상이면서 5만 명 이상의 민감정보나 고유 식별정보를 처리하는 사업자, 혹은 100만 명 이상의 일반 개인정보를 처리하는 기업이다. 재학생 수가 2만 명을 넘는 대규모 대학과 상급종합병원, 그리고 주요 공공 시스템 운영기관 역시 이 규제의 영향권에 포함되어 인사 결정 후 1개월 이내에 당국에 신고해야 한다.

대형 IT 플랫폼과 이동통신사의 보안 인증 의무도 구체화되어 시장의 불확실성을 해소하고 보안 수준의 상향 평준화를 도모한다. 전년도 매출액이 1조 원 이상이면서 정보통신서비스 부문 매출이 100억 원을 넘고, 직전 3개월간 개인정보가 저장 및 관리되는 국내 정보주체 수가 일일 평균 3,000만 명 이상인 사업자는 반드시 인증을 획득해야 한다. 네이버와 카카오 같은 대규모 플랫폼 사업자는 물론 이동통신사와 본인확인기관 등은 2028년 12월 31일까지 ISMS-P 인증을 완료하여 보안 체계의 객관적 무결성을 증명해야 한다.

개인정보 유출에 대한 사후 대응 체계는 시간 단위의 정밀한 규제로 재편되어 정보주체의 권리 보호를 강화한다. 개인정보처리자가 개인정보처리시스템에 대한 불법적인 접근 사실을 인지하거나, 해당 정보가 암시장에서 거래 또는 유통되고 있음을 알게 된 경우에는 인지 시점으로부터 72시간 이내에 정보주체에게 사실을 알려야 한다. 기존의 단순 분실이나 도난 사례를 넘어 개인정보의 위조, 변조, 훼손이 발생한 경우에도 신고와 통지 의무가 동일하게 부과되어 기업의 방어적 책임을 대폭 확대하였다.

위반 행위에 대한 제재 수위는 반복성과 상습성에 무게를 두어 법적 실효성과 억제력을 동시에 확보하였다. 과거에 경미한 위반으로 경고 처분을 받았더라도 동일한 위반 행위가 다시 적발되면 과거의 경고 이력을 과태료 가중 산정의 근거로 활용한다. 이는 한 번의 경고를 1회 위반으로 간주하여 재차 적발될 경우 2회차 기준의 과태료를 즉각 적용하는 방식으로, 기업들이 일시적인 조치가 아닌 상시적인 준법 시스템을 가동하도록 유도하는 장치다.

업계 전문가들은 이번 시행령 개정안이 기업의 보안 투자를 단순한 소모성 비용이 아닌 필수적인 경영 자산으로 인식하게 만드는 전환점이 될 것으로 내다보고 있다. 정보보호 분야의 한 전문가는 "보호책임자의 거취가 이사회 결정에 달렸다는 점은 개인정보 보호 이슈가 경영진의 핵심 성과 지표와 직결되었음을 의미한다"고 설명하였다. 법제처의 지침에 따라 위반 횟수별 과태료 부과 금액을 체계적으로 정비한 점도 법적 예측 가능성을 높여 불필요한 행정 혼란을 줄일 것으로 기대된다.

시장 효율성과 규제 준수 비용 측면에서 중견 기업과 의료 기관의 행정적 부담이 급격히 가중될 수 있다는 우려의 목소리도 적지 않다. 강화된 신고 의무와 엄격한 인증 절차를 준수하기 위해 투입되어야 하는 전문 인력의 인건비와 시스템 구축 비용이 기업의 본질적인 경쟁력을 저해할 수 있다는 지적이다. 특히 지방의 중소 대학이나 병원의 경우 보안 전문 인력을 확보하는 데 한계가 뚜렷하여 규제 이행을 위한 현실적인 지원책이나 유예 기간의 탄력적 운영이 필요하다는 주장이 제기된다.

정부는 오는 7월 13일까지 이어지는 입법예고 기간 동안 국민참여입법센터와 전자우편 등을 통해 각계각층의 의견을 광범위하게 수렴할 방침이다. 수렴된 의견을 바탕으로 개정안의 세부 사항을 조율한 뒤 법제처 심사와 국무회의 의결을 거쳐 본격적인 시행 단계에 진입할 예정이다. 기업과 기관들은 향후 한 달여의 기간 동안 자사가 보유한 개인정보의 규모와 처리 시스템의 현황을 정밀하게 재점검하여 변화하는 법적 환경에 선제적으로 대응해야 할 것으로 보인다.