우리 회사 CPO, 이제 이사회 승인 없이 못 바꾼다? 2026년 개인정보보호법 개정 총정리

서론 — "설마 우리 회사 얘기는 아니겠지?" 인사팀 팀장이 어느 날 불쑥 말합니다. "이번에 CPO 교체해야 할 것 같아요. 빠르게 처리해주세요." 지금까지는 대표 결재 한 장으로 끝냈던 일입니다. 그런데 2026년 9월 11일 이후로는 얘기가 달라집니다. 이사회 의결을 거쳐야 하고, 개인정보보호위원회에 신고까지 마쳐야 합니다. 절차를 빠뜨리면? 과태료입니다. 이번 개정은 단순한 행정 절차 추가가 아닙니다. 개인정보보호책임자(CPO)의 독립성을 제도적으로 보장하고, 대형 개인정보처리자의 보안 수준을 법으로 끌어올리겠다는 강력한 신호입니다. 2023년 개인정보보호법 전면 개정 이후 약 3년 만에 찾아온 또 하나의 큰 파도—지금 바로 파악하지 않으면 2026년 9월이 훌쩍 지나 있을 겁니다. 이 글에서는 ① CPO 절차 강화, ② ISMS-P 의무화, ③ 유출 대응 의무 강화, ④ 제재 체계 정비, ⑤ 기업이 지금 당장 해야 할 일까지, 다섯 가지 핵심 포인트를 꼼꼼히 정리해드립니다.

 

1️⃣ CPO 지정·변경·해제, 이제 이사회가 결정한다

✅ 핵심 요약 강조: 연 매출 1,800억 원 이상 등 일정 규모 이상 기업은 2026년 9월 11일부터 CPO 변동 시 이사회 의결 + 개인정보보호위원회 신고가 법적 의무입니다.

그동안 국내 기업에서 CPO는 법무팀장이나 IT 임원이 겸직하는 경우가 많았고, 경영 판단에 따라 조용히 교체되는 일도 흔했습니다. 이번 개정은 바로 이 관행에 제동을 겁니다.

적용 대상 (다음 중 하나에 해당하면 의무 적용)

구분기준

매출 규모	연 매출액 또는 수입 1,800억 원 이상
민감정보 처리	민감정보 5만 명 이상 또는 개인정보 100만 명 이상 처리
교육기관	재학생 2만 명 이상 대학
의료기관	상급종합병원
공공부문	공공시스템 운영기관

신고 절차 핵심 포인트

1. 이사회 의결 후 1개월 이내 개인정보보호위원회에 신고
2. 불가피한 사정이 있는 경우 1개월 추가 연장 가능
3. 지정·변경·해제 모두 신고 대상 (단순 변경도 예외 없음)

이 조치의 핵심은 "경영진이 마음대로 CPO를 해임하지 못하도록" 하는 데 있습니다. CPO가 불편한 말을 해도, 불이익 없이 제 역할을 할 수 있도록 제도가 뒷받침하는 구조입니다.

---

2️⃣ ISMS-P 인증, 이제 선택이 아닌 법적 의무

✅ 핵심 요약 강조: 이동통신사·네이버·카카오 등 대규모 플랫폼은 2028년 12월 31일까지 ISMS-P 인증을 반드시 취득해야 합니다. 준비 기간은 길어 보여도, 인증 소요 기간을 감안하면 2026년 내 착수가 현실적입니다.

ISMS-P(정보보호 및 개인정보보호 관리체계 인증)는 기업의 정보보호와 개인정보보호 관리 수준을 종합 평가하는 국내 최고 권위의 인증 체계입니다. 기존에는 일정 기준 이상 기업에게 ISMS 인증이 의무였지만, 이번 개정으로 더 높은 수준의 ISMS-P 인증이 의무화됩니다.

ISMS-P 의무화 대상

구분기준

매출 규모	매출액 1조 원 이상
정보통신서비스 매출	100억 원 이상
이용자 수	최근 3개월 국내 일평균 3,000만 명 이상
특수 기관	이동통신사, 본인확인기관, 공공시스템 운영기관

ISMS vs ISMS-P 핵심 차이

항목ISMSISMS-P

범위	정보보호 관리체계	정보보호 + 개인정보보호 통합
심사 영역	관리체계, 보호대책	관리체계, 보호대책, 개인정보 처리단계별 요구사항
인증 난이도	중	높음
준비 기간	6~12개월	12~18개월

인증 취득 기한인 2028년 12월이 아직 멀어 보이지만, 컨설팅 착수 → 내부 갭 분석 → 체계 구축 → 모의심사 → 본심사 → 인증까지 평균 12~18개월이 소요됩니다. 지금 당장 로드맵을 수립하지 않으면 기한을 넘길 수 있습니다.

---

3️⃣ 개인정보 유출, "정황"만 있어도 72시간 내 통지해야

✅ 핵심 요약 강조: 2026년 9월부터는 실제 유출이 확인되지 않아도 불법 접근·불법 거래·유통 정황만으로 72시간 내 정보주체 통지 의무가 발생합니다.

기존 법에서는 개인정보 유출이 확인된 후 통지 의무가 발생했습니다. 그런데 이번 개정은 기준을 앞당겼습니다. 불법 접근, 불법 거래·유통 정황이 인지된 시점부터 72시간 카운트다운이 시작됩니다.

통지·신고 범위 비교

구분기존개정 후

대상 사고	분실, 도난, 유출	분실, 도난, 유출 + 위조·변조·훼손 포함
통지 기준	유출 확인 후	불법 접근·거래·유통 정황 인지 후
통지 기한	72시간	72시간 (동일, 단 시작점 변경)

이 변화는 기업 내부의 모니터링·탐지 체계를 근본적으로 바꿔놓습니다. "확인하고 나서 알리면 된다"는 소극적 접근은 이제 통하지 않습니다. 이상 징후 자동 탐지 → 즉각 보고 → 72시간 내 통지의 프로세스를 지금 구축해두어야 합니다.

---

4️⃣ 제재가 달라진다 — 경고도 쌓이면 과징금, 대형 유출은 매출 10%

✅ 핵심 요약 강조: 경미한 위반은 경고로 대체할 수 있지만, 동일 위반이 반복되면 과태료가 가중됩니다. 반복·중대 유출 사고는 전체 매출액의 최대 10%까지 징벌적 과징금이 부과됩니다.

이번 개정에서 많은 기업들이 간과하는 부분이 바로 제재 체계 정비입니다. 겉으로는 "경미한 위반은 경고로 대체"라는 완화 조치처럼 보이지만, 실제로는 더 촘촘한 제재망이 만들어졌습니다.

제재 단계별 구조

1. 경고: 경미하거나 초초 위반, 과태료 대신 경고 처분 가능
2. 과태료 가중: 동일 위반 재발 시 과태료 상향 부과
3. 징벌적 과징금: 반복·중대 유출 사고 시 전체 매출액의 최대 10%

기업 규모별 징벌적 과징금 최대 추정액 (예시)

연 매출최대 과징금 (10%)

1,800억 원	180억 원
5,000억 원	500억 원
1조 원	1,000억 원
10조 원	1조 원

"우리 회사는 조심하니까 괜찮겠지"라는 생각은 위험합니다. 경고 누적 이력이 향후 행정처분 수위 결정에 영향을 미치기 때문에, 경고 단계에서부터 재발 방지 조치를 완료해두는 것이 핵심입니다.

---

5️⃣ 기업이 지금 당장 해야 할 5가지 체크리스트

✅ 핵심 요약 강조: 2026년 9월 11일 시행까지 약 3개월 남짓. 이사회 절차 정비부터 ISMS-P 착수까지, 우선순위별 행동 계획을 지금 세워야 합니다.

개인정보보호법 개정 대응 우선순위 체크리스트

우선순위과제완료 기한

★★★ 긴급	CPO 지정·변경·해제 이사회 의결 절차 정관/내규 반영	2026년 8월 말
★★★ 긴급	개인정보보호위원회 신고 담당 부서·양식 확정	2026년 8월 말
★★☆ 중요	72시간 통지 프로세스 및 이상탐지 모니터링 체계 구축	2026년 9월 전
★★☆ 중요	유출 범위 재정의(위조·변조·훼손 포함) 반영하여 내부 매뉴얼 개정	2026년 9월 전
★☆☆ 계획	ISMS-P 컨설팅 착수 및 갭 분석	2026년 연내

기업 규모·상황별 접근 전략

• 매출 1,800억 원 미만 중소기업: 당장 ISMS-P 의무 대상은 아니지만, CPO 법적 역할 강화 추세에 맞춰 내부 지정 체계를 정비해두는 것이 유리
• ISMS-P 의무 대상 대기업: 인증 컨설팅 착수 타이밍이 늦어질수록 2028년 기한을 넘길 위험 증가. 2026년 하반기 착수가 이상적
• 병원·대학 등 공공성 기관: 이사회 의결 절차가 법인·이사회 구조와 맞물리는 경우가 많으므로, 정관 검토를 법무 자문과 함께 병행 권장

---

🔚 결론 — "9월이 오기 전에, 지금 움직이세요"

이번 개인정보보호법 개정의 핵심 메시지는 하나입니다. 개인정보보호는 담당자 한 명의 일이 아니라, 이사회와 경영진이 직접 책임지는 경영 의제다. CPO의 독립성을 제도적으로 보장하고, 대규모 개인정보처리자에게 ISMS-P 인증을 의무화하며, 유출 대응 기준을 '확인 후'에서 '정황 인지 후'로 앞당긴 것—모두 같은 방향을 가리키고 있습니다.

2026년 9월 11일은 생각보다 빠르게 다가옵니다. 이사회 내규 정비, 신고 체계 마련, ISMS-P 준비 계획 수립—이 세 가지만이라도 오늘 안에 담당자에게 공유해보세요.