지난 15일 국회 정무위원회 소속 이양수 의원(국민의힘)이 개인정보위원회에서 제출받은 자료에 따르면 2021∼2025년 개인정보 유출로 인한 기관 처분 건수는 총 508건이다. 연도별로 보면 2021년 60건, 2022년 83건, 2023년 139건, 2024년 110건, 2025년 115건으로 최근 3년 연속 100건을 넘겼다.
이에 개인정보위는 대규모 개인정보 침해에 대응하기 위해 과징금 상한을 매출액의 최대 10%까지 상향하는 방안을 추진 중이다. 한창민 사회민주당 의원 역시 대규모 개인정보 유출 기업에 대한 영업정지 및 임시중지명령 도입을 골자로 한 법안을 발의했다.
실제 과징금 규모도 급증했다. 지난해 과징금 총액은 1579억907만원으로, 2021년(15억2548만원) 대비 4년 만에 100배 이상 늘었다. SK텔레콤 해킹 사고에 역대 최대 수준인 약 1348억원이 부과된 영향이 컸다.
개인정보 보호법 시행령 개정의 취지는 단순히 사고 이후 책임을 묻는 데 있지 않다. 과징금 기준을 관련 매출액 3% 이내에서 전체 매출액의 최대 10%로 확대한 것도, 개인정보 보호를 기업 경영의 전제 조건으로 자리 잡게 하겠다는 목적이다.
하지만 기업 입장에서는 단 한 번의 처벌만으로도 이미지 훼손은 물론 경영 전반에 상당한 부담이 될 수밖에 없다. SK텔레콤 역시 3% 이내 과징금을 부과받았음에도 지난해 3·4분기 배당금을 지급하지 못하는 등 실질적인 타격을 입었다.
이 같은 이유로 기업들은 법적 대응에 나설 가능성이 크다. SK텔레콤은 지난 1월 개인정보위 과징금 처분에 대한 법원의 판단을 받아보겠다며 행정법원에 소송을 제기했다.
처벌 수위가 높아질수록 관련 소송은 늘어날 수밖에 없다. 개인정보위에 따르면 빅테크 관련 소송은 2022년 5건, 2023년 11건, 2024년 13건으로 꾸준히 증가하는 추세다.
중대재해처벌법 시행 초기에도 유사한 문제가 반복됐다. 안전관리 인력 부족과 예산 한계로 중소기업이 제도의 부담을 고스란히 떠안았고, 처벌 중심의 접근은 전체적인 안전관리 시스템 발전을 지연시켰다는 비판이 제기됐다. 그 결과 대형 사고는 여전히 반복되고 있다.
개인정보 보호법 개정이 같은 전철을 밟지 않으려면 방향 설정이 중요하다. 징벌적 과징금의 명확한 부과 기준을 마련하는 것은 물론, 자진 신고 기업에 대한 인센티브 등 면책 규정도 함께 설계해야 한다. 아울러 중소기업과 공공기관의 개인정보 보호 인력·예산 부족 문제를 해소할 지원책 역시 병행돼야 한다.
처벌 강화만으로는 사고를 막을 수 없다. 제도의 목적이 ‘응징’이 아닌 ‘예방’에 있다면, 그에 걸맞은 설계가 필요하다.
![코인 뺀 7년…‘빈껍데기’ 된 부산 블록체인 특구 [취재진담]](/data/kuk/image/2026/06/01/kuk20260601000473.253x158.0.jpg)
![방문간호사, 재택의료 현장의 최전방 파수꾼 [병원이 집으로]](/data/kuk/image/2026/06/03/kuk20260603000213.253x158.0.jpg)
![믿었던 스타벅스의 오판 [취재진담]](/data/kuk/image/2026/06/01/kuk20260601000451.253x158.0.png)
