개인정보 유출 ‘가능성’도 72시간 내 통지…CPO·ISMS-P 의무 확대

개인정보 유출 ‘가능성’도 72시간 내 통지…CPO·ISMS-P 의무 확대

개인정보 보호 체계가 “유출이 확인된 뒤 대응”에서 “유출 가능성이 보이면 즉시 대응”으로 한 단계 더 앞당겨지는 흐름이다. 개인정보 보호법 개정에 맞춰 시행령 개정안이 입법예고되면서, 72시간 내 통지, CPO 독립성 강화, ISMS-P 인증 의무 확대가 구체적인 요건과 절차로 정리됐다.

실무 기준으로 보면
“72시간”은 사실상 시간표가 정해진 대응 훈련을 요구합니다.
탐지 → 내부 판단 → 법정 통지까지의 지연 구간이 어디인지 먼저 드러내고, 조직이 그 구간을 줄일 수 있어야 합니다.

핵심 변화 3가지

유출 ‘가능성’도 72시간 통지 CPO 이사회 의결·신고 ISMS-P 의무 대상 구체화

• 유출 가능성 단계에서도 일정 요건을 충족하면 정보주체에게 72시간 이내 통지
• 대규모 개인정보처리자는 CPO 지정·변경·해제 시 이사회 의결 및 개인정보위 신고
• 이동통신사·본인확인기관·초대형 플랫폼 등 ISMS-P 인증 의무가 더 명확해지고 범위가 확대

1) “유출 확인 전”이라도 72시간 내 통지

이번 개정 흐름의 중심은 통지 기준이 더 앞단으로 이동했다는 점이다. 단순히 분실·도난·유출이 “확인”된 경우뿐 아니라, 침해 정황이 뚜렷하거나 불법 유통 징후를 인지한 경우에는 정보주체가 선제 조치를 할 수 있도록 72시간 내 통지가 요구된다.

통지 트리거(요지)

개인정보처리시스템에 대한 불법적 접근을 알게 된 경우
개인정보가 불법적으로 거래·유통되고 있음을 알게 된 경우
(또는 유출 등 가능성을 인지한 경우로 연결되는 기준이 정비되는 흐름)

대상 범위 확장(요지)

분실·도난·유출뿐 아니라 위조·변조·훼손 같은 ‘침해 결과’도 통지·신고 판단에 포함되는 방향

현장에서 가장 어려운 지점
“가능성” 판단입니다.
알람이 떴다는 이유만으로 곧바로 통지하는 것도 리스크이고, 내부 검토가 길어져 72시간을 넘겨도 리스크입니다.
그래서 사전에 ‘가능성 판단 기준’과 ‘결정권자 라인’을 문서화하는 게 핵심입니다.

2) 대규모 개인정보처리자 CPO, 이사회 의결·신고 의무

개인정보 보호책임자(CPO)의 권한과 독립성을 강화하기 위해, 일정 규모 이상의 개인정보처리자는 CPO 지정·변경·해제를 할 때 이사회 의결을 거치고 개인정보보호위원회에 신고해야 하는 절차가 구체화된다.

대상 기준(요지)

• 연 매출액 또는 수입이 1,800억 원 이상이면서
• 민감정보·고유식별정보 5만 명 이상 처리 또는 개인정보 100만 명 이상 처리
• 그 외 일정 규모 대학(재학생 수 기준), 상급종합병원, 공공시스템운영기관 등도 대상에 포함되는 흐름

신고 절차(요지)

• CPO 지정·변경·해제 사유 발생일로부터 1개월 이내 신고
• 부득이한 사유가 있으면 1개월 범위에서 기한 연장 가능

관리자 입장에서
이사회 의결·신고는 “서류 업무”가 아니라 책임 구조를 바꾸는 장치입니다.
CPO가 단순 명목상 담당이 아니라, 실제로 리스크를 중지·조정할 권한을 갖도록 내부 규정과 위임 체계를 같이 손봐야 합니다.

3) ISMS-P 의무 대상 구체화와 인증 기한

사회적 파급력이 큰 개인정보처리자에 대해 ISMS-P 인증 의무가 확대되는 방향도 명확해졌다. 특히 통신·본인확인·초대형 플랫폼처럼 다수 이용자 정보를 상시 처리하는 영역이 포함되면서, “대규모 처리 = 인증 의무”라는 시그널이 강화되는 분위기다.

구분	의무 대상(요지)
공공	공공시스템운영기관 중 개인정보위가 고시하는 기관 등
통신·본인확인	이동통신사업자, 본인확인기관 등
민간(초대형 플랫폼 등)	전년도 매출액 1조 원 이상 + 정보통신서비스 부문 전년도 매출액 100억 원 이상 전년도 말 기준 직전 3개월 동안 개인정보가 저장·관리되는 국내 정보주체 수 일일 평균 3,000만 명 이상
인증 기한	해당 대상은 2028년 12월 31일까지 ISMS-P 인증을 받아야 하는 흐름

실무 포인트
ISMS-P는 단순 체크리스트가 아니라 “운영 증빙”이 핵심입니다.
정책·절차가 존재하는지보다, 실제로 접근통제·로그·위험평가·개선활동이 반복되고 있는지를 보여줘야 합니다.

과태료 기준 정비: 경고도 ‘이력’이 된다

과태료 부과 기준도 정비되는 흐름이다. 경미한 위반으로 과태료를 면제하고 경고 처분을 했더라도, 이후 동일 위반이 재발하면 해당 경고가 위반 이력으로 산정되어 다음 단계 기준으로 과태료가 부과될 수 있다.

조직이 지금 점검할 체크리스트

시행 전까지 기업과 기관이 준비해야 할 항목은 크게 “72시간 타임라인”과 “책임 구조”로 나뉜다. 아래는 현장에서 바로 적용하기 쉬운 점검 항목이다.

72시간 내 통지 프로세스

침해 정황 인지 시각을 기준으로 타임라인 시작(누가, 어떤 이벤트를 ‘인지’로 볼지 정의)
법정 통지 템플릿·채널(문자/이메일/앱 공지 등) 사전 준비
야간/주말 대응 체계(대체 결재 라인, 비상 연락망) 확보

가능성 판단 기준

불법 접근 징후(계정 탈취, 비정상 인증, 권한 상승, 대량 조회/반출) 기준화
불법 유통 모니터링(다크웹·텔레그램·마켓) 탐지 후 ‘사실 확인’ 절차 단축
“통지한다/보류한다” 결정권자와 근거 기록(사후 감사 대비)

CPO 독립성·이사회 의결 대응

CPO 직무범위·중지권·보고 라인 명문화
지정/변경/해제 시 이사회 안건 템플릿과 일정 확보
신고 기한(1개월) 내 제출을 위한 HR·법무·보안 협업 루틴 마련

ISMS-P 준비

범위(시스템/조직/서비스) 확정과 자산 목록 정리
접근통제·로그·취약점 관리·사고대응·개인정보 영향평가 등 운영 증빙 축적
인증 일정 역산(심사 대응, 개선 조치, 재심사 가능성 포함)

실제 사용 시
사고는 “기술적 탐지”보다 “조직의 의사결정 지연”에서 72시간을 잃는 경우가 많습니다.
그래서 통지 요건과 판단 기준을 기술 문서가 아니라, 결재 라인과 함께 운영 문서로 고정하는 게 효과적입니다.

정리

이번 시행령 개정 흐름은 개인정보 보호를 “사후 보고”가 아니라 “사전 예방·조기 통지”로 옮겨놓는다. 유출 가능성 단계의 72시간 통지, CPO 이사회 의결·신고로 대표되는 책임 구조 강화, 그리고 ISMS-P 의무 대상 확대는 서로 연결된 변화다. 결국 조직이 해야 할 일은 단순히 문서를 늘리는 것이 아니라, 침해 정황을 빠르게 판단하고 즉시 안내할 수 있는 ‘운영 속도’를 갖추는 것이다.