한국의 개인정보 과징금 부과 기준 – 위반 유형별 적용 방식 분석
개인정보 침해 사건이 발생했을 때, 과연 어떤 기준으로 과징금이 결정될까?
한국의 개인정보보호위원회는 법령에 따라 과징금 및 과태료를 부과하는 중앙 행정기관이며, 기업의 개인정보 처리 행태를 감시하고 법 위반 시 실질적 책임을 부과하는 핵심 기관이다. 하지만 일반인이나 기업 운영자 입장에서 ‘위반 시 얼마를 물게 되는가?’에 대한 판단 기준은 여전히 불분명하게 느껴진다. 단순 유출 사고만이 아니라, 동의 절차 미비, 보관 기간 위반, 목적 외 활용 등의 다양한 사안에 과징금이 부과될 수 있으며, 위반의 성격에 따라 액수가 수천만 원에서 수억 원 이상까지 달라진다. 본 글에서는 개인정보보호위원회의 과징금 부과 기준이 어떻게 정해지는지, 어떤 원칙과 수치 산정 구조가 적용되는지를 분석하고, 실제 사례와 함께 실무적으로 대응하기 위한 체크포인트를 정리한다.
과징금과 과태료의 차이 – ‘부과 목적’과 ‘책임 대상’이 다르다
먼저 이해해야 할 핵심은 과징금과 과태료는 다르다는 것이다. 과태료는 법 위반에 대한 행정질서 유지의 수단이며, 일반적으로 위법 행위에 대한 처벌이 아닌 ‘행정상 제재’로서 부과된다. 예를 들어, 개인정보 처리 방침 미게시, 위탁계약서 미작성, 고지 의무 누락 등은 과태료 대상이다. 보통 수십만 원에서 수천만 원 범위에서 부과된다.
반면 과징금은 경제적 이익을 얻기 위해 개인정보를 부당하게 활용하거나, 위반이 반복되거나 중대한 피해를 초래한 경우에 부과되는 금전적 제재다. 이는 단순 행정질서 유지가 아니라, 부당 이익을 환수하거나 강력한 경고를 주기 위한 조치다. 따라서 금액이 높고, 사회적 파급력도 크다. 예를 들어, 동의 없는 개인정보 수집, 민감정보 부당 활용, 대량 유출, 제삼자 제공 위반 등이 주요 과징금 대상이다.
개인정보보호법 제64조 및 시행령 제40조에 따르면, 과징금은 ① 위반행위의 내용과 기간, ② 피해 규모, ③ 고의 또는 중과실 여부, ④ 사후 조치 노력, ⑤ 위반으로 얻은 이익 규모 등을 종합적으로 고려하여 산정한다. 즉, 단순히 ‘법을 어겼다’고 해서 동일한 금액이 부과되는 것이 아니라, 구체적인 상황과 맥락에 따라 차등 적용된다.
한국의 과징금 부과의 산정 구조 – 기준율, 가중·감경 요소
개인정보보호위원회는 과징금 산정 시 내부적으로 기준율(Base Rate)을 설정하고, 이에 가중 또는 감경 요소를 적용하여 최종 금액을 산정하는 방식으로 운용한다. 기준율은 일반적으로 해당 위반행위로 인해 발생한 매출액 또는 관련 서비스의 연간 매출액을 기준으로 산정되며, 최대 매출액의 3%까지 부과할 수 있다. 예를 들어 개인정보를 광고에 무단 활용한 경우, 그 광고로 발생한 추정 이익을 기준으로 과징금이 산정된다.
여기에 가중 요소로는 ▲위반의 고의성, ▲위반 지속 기간, ▲개인정보의 민감성(예: 주민등번호, 건강정보 등), ▲피해자 수, ▲신속한 조치 미이행, ▲동일 위반의 반복 여부 등이 고려된다. 반대로 감경 요소로는 ▲자체 감사 및 사전 예방 노력, ▲위반 인지 후 신속한 자진 신고 및 조치, ▲피해자에 대한 사과 및 보상 조치, ▲외부 감사 결과 반영 등이 적용된다.
예를 들어 어떤 기업이 민감정보를 사용자의 동의 없이 수집했지만, 곧바로 이를 자체 감사로 인지하고, 즉시 수집을 중단하며 피해자들에게 안내 및 보상을 진행했다면, 감경 요인이 적용되어 과징금이 줄어들 수 있다. 하지만 동일한 기업이 같은 위반을 과거에도 저질렀거나, 피해자 규모가 수만 명 이상일 경우, 가중 요인이 적용되어 과징금이 많이 늘어날 수 있다.
즉, 과징금은 단순히 ‘사건 발생 여부’만이 아니라, 기업의 대응 태도와 시스템 구조까지 종합 평가된 결과다. 이를 고려하지 않고 형식적으로 대응하거나, 사고 은폐 또는 책임 회피에만 급급할 경우 오히려 제재가 강화된다.
실제 사례별 과징금 부과 기준 비교 분석
그렇다면 실제 사례에서는 어떤 방식으로 과징금이 부과되었을까?
2020년 네이버는 접속기록 장기 보관 및 부당 활용으로 약 6억 7,000만 원의 과징금을 받았다. 이 사건은 정보 주체의 동의 없이 광고 분석을 위한 접속 로그를 장기간 저장하고, 이를 내부 마케팅에 활용한 점이 주요 위반이었다. 개인정보보호위원회는 “법정 보관 기간 초과”와 “동의 없는 목적 외 이용”을 각각 중대한 위반으로 보고, 관련 매출에 따라 과징금 기준율을 적용했다.
2022년 카카오의 경우, 계열사 간 사용자 데이터 공유 및 동의 없는 마케팅 정보 발송으로 약 3억 5,000만 원의 과징금이 부과됐다. 이 사건에서는 ‘묶음형 동의’ 구조로 인해 사용자가 자신의 정보를 어떻게 제공하고, 어떤 서비스를 위해 활용되는지 명확히 인식하지 못한 점이 쟁점이었다. 이는 ‘구체성과 선택권 없는 동의는 무효’라는 법적 원칙에 따라 과징금이 산정되었다.
쿠팡은 수탁자(외주 고객센터) 관리 미흡으로 인해 대규모 개인정보 유출이 발생하자, 3억 원대의 과징금을 부과받았다. 이 사건은 ‘보안 위반’보다 ‘위탁 관리 책임 부재’가 핵심이었다. 개인정보보호위원회는 수탁사 교육, 접근권한 통제, 이상 행위 탐지 체계 미비 등을 이유로 과징금을 산정했고, 일부 감경은 이뤄지지 않았다. 이 사례들은 과징금 산정이 기술적 위반 아니라, 기업의 통제책임과 관리 구조 전반을 반영한다는 점을 명확히 보여준다.
개인정보 위반 과징금 대응 전략 – 기업이 준비해야 할 실무 체크리스트
기업이 과징금 부과를 피하거나 최소화하려면 단지 보안 시스템을 도입하는 것만으로는 부족하다. 실무적으로 준비해야 할 핵심 항목은 다음과 같다:
- 동의 구조 설계 재검토
- 개인정보 수집, 이용, 제공 항목을 목적별로 분리하고, 사용자가 각각 동의/비동의를 선택할 수 있는 UI를 제공해야 한다.
- 선택 동의 항목에 따른 불이익이 없어야 하며, “전체 동의” 버튼만으로 처리를 유도하면 위법 소지가 있다.
- 개인정보 영향평가 및 자가 감사 체계 구축
- 내부에서 정기적으로 개인정보 처리 프로세스를 점검하고, 위험 요소를 식별해야 한다.
- 특히 민감정보, 자동화된 판단, 국외 이전 등이 포함되는 경우, 사전 영향평가(DPIA)를 통해 리스크를 식별하고 기록하는 것이 중요하다.
- 유출 대응 매뉴얼과 책임 체계 정비
- 개인정보 유출 발생 시, 72시간 이내 신고 체계를 갖추고, 피해 규모 산정, 사용자 고지, 외부 감사를 병행할 수 있도록 내부 프로세스를 명확히 정리해야 한다.
- 기술적 보안만이 아니라, 사고 발생 이후의 조직적·관리적 대응 역량이 과징금 수준에 큰 영향을 미친다.
- 고객 대응 이력 관리 및 가시적 보상 체계 마련
- 개인정보 관련 민원이나 삭제·정정 요청이 발생했을 때, 이를 명확히 처리하고 대응 이력을 보관하는 것이 중요하다.
- 피해자가 발생했을 경우에는 사과 및 소액 보상이라도 즉시 제공하는 것이 감경 사유가 될 수 있다.
이러한 대응 전략은 단순히 ‘문제가 생겼을 때 대처하는 방법’이 아니라, 문제가 생기지 않도록 사전 예방하는 체계를 만드는 핵심 요소다.
개인정보보호위원회의 과징금은 단순히 법 위반 여부에 따라 일괄적으로 매겨지는 게 아니다. 위반의 성격, 규모, 기업의 대응 태도, 기술적·관리적 조치 수준 등을 종합적으로 고려해 정교하게 산정된다. 그 과정에서 기업이 사용자의 권리를 실질적으로 보장하려는 구조를 갖추고 있었는가, 내부적으로 문제를 인지하고 대응하려는 노력이 있었는가가 큰 변수가 된다.
결국 과징금을 줄이는 가장 현실적인 방법은, 사고를 막는 것보다도 먼저 위반 자체가 발생하지 않도록 ‘권리 중심의 서비스 설계’를 사전에 도입하는 것이다. 사용자 동의 구조, 데이터 처리 흐름, 위탁 관리, 유출 대응까지 전 과정을 점검하고, 그 결과를 문서화하고 증빙하는 체계를 갖추는 것이 중요하다. 이는 단지 제재 회피를 위한 수단이 아니라, 신뢰 기반의 서비스 운영을 위한 기업 생존 전략이기도 하다.