한국 개인정보 보호법: PIPA 준수 가이드 (2026년)

한국의 개인정보 보호는 2011년 3월 29일 제정되어 개인정보보호위원회(PIPC)가 집행하는 개인정보 보호법(PIPA)의 적용을 받습니다. PIPA는 한국 내에서 개인정보를 처리하는 모든 사업자에게 적용되며, 2026년 3월 개정에 따라 중대한 위반행위에 대해서는 전체 매출액의 최대 10%에 이르는 과징금을 부과할 수 있습니다.
한국은 아시아태평양 지역에서 가장 엄격한 개인정보 보호 체계 중 하나를 구축해 왔습니다. PIPA로 불리는 개인정보 보호법은 사업자가 개인정보를 수집, 이용, 보관, 이전하는 방식을 규율합니다. 이 법은 정부기관, 민간기업, 또는 한국 이용자를 대상으로 사업을 운영하는 외국 기업인지 여부와 관계없이, 한국 내에서 개인정보를 처리하는 모든 사업자에게 적용됩니다.
이 가이드는 집행 및 제재 체계를 근본적으로 바꾼 주요 개정 내용과, 새로운 규제 강화 시대를 예고하는 역대 최대 규모의 과징금 사례를 포함하여 2026년 기준 PIPA의 현황을 다룹니다.
PIPA란 무엇이며 누구에게 적용되는가
PIPA(개인정보 보호법)는 2011년 3월 29일 제정되어 2011년 9월 30일부터 시행되었습니다. 이 법은 공공부문과 민간부문의 모든 개인정보처리자에게 적용되는 한국의 일반법적 개인정보 보호 법률입니다.
이 법은 '개인정보'를 폭넓게 정의합니다. 살아있는 개인을 직접 식별할 수 있거나 다른 정보와 결합하여 식별할 수 있는 모든 정보가 이에 포함됩니다. 성명, 주민등록번호, 영상, 생체정보, IP 주소, 위치정보가 모두 이 정의에 해당합니다.
PIPA는 다음의 경우에 적용됩니다.
- 한국 기업 및 정부기관
- 한국 내 개인의 개인정보를 처리하는 외국 기업
- 개인정보처리자를 대신하여 업무를 수행하는 수탁자
- 온라인과 오프라인 사업자 모두 (2023년 개정으로 이전까지 서로 다르게 적용되던 기준이 통일되었습니다)
2023년 개정 이후로는 온라인 서비스 제공자에게 별도로 적용되던 규제 체계가 더 이상 존재하지 않습니다. 모든 개인정보처리자는 PIPA상 동일한 규정의 적용을 받습니다.
개인정보보호위원회(PIPC)
PIPC는 한국의 독립적인 개인정보 보호 감독기구입니다. 국무총리 소속 중앙행정기관으로 설립된 PIPC는 2020년 8월 방송통신위원회와 행정안전부가 보유하던 관련 기능을 통합하면서 완전한 규제 권한을 갖춘 기관으로 격상되었습니다.

PIPC는 다음과 같은 권한을 가집니다.
- 모든 사업자의 개인정보 처리 실태에 대한 조사
- 시정명령 및 개선권고 발령
- 과징금 부과(2026년 개정에 따라 매출액의 최대 10%까지)
- 형사사건의 검찰 고발
- 처분 내용의 공표 및 위반 사업자명 공개
- 국외 이전 수단의 승인
- 외국 법제에 대한 국외 적정성 인정 부여
PIPC는 2025년 이후를 위한 6대 전략 과제로 AI 시대에 맞춘 개인정보 보호 체계 정비, 신산업 혁신을 위한 기반 마련, 글로벌 데이터 거버넌스에서의 주도권 확보, 개인정보 전송요구권(마이데이터) 시대 견인, 중앙행정기관으로서의 역할 강화, 개인정보 보호를 위한 종합적 안전망 구축을 제시했습니다.
2020년 데이터 3법 개정
현대 한국 개인정보 보호법제의 기초는 2020년 1월 국회가 데이터 관련 3개 법률의 개정안을 동시에 통과시키면서 마련되었습니다. 이는 이른바 '데이터 3법' 개정으로 불리게 되었습니다.
개정 대상이 된 3개 법률은 PIPA, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법), 신용정보의 이용 및 보호에 관한 법률(신용정보법)이었습니다. 이 개정 내용은 2020년 8월 5일부터 시행되었습니다.
이번 개정을 통해 크게 세 가지 변화가 이루어졌습니다. 첫째, 집행 권한이 일원화되었습니다. 그동안 규제 권한은 방송통신위원회, 행정안전부 등 여러 기관에 분산되어 있었으나, 2020년 개정으로 개인정보 보호 집행 권한이 새롭게 권한을 부여받은 PIPC로 일원화되었습니다. 둘째, 가명처리 제도가 도입되었습니다. 한국법상 처음으로 가명정보라는 법적 개념이 공식적으로 마련되어, 개인의 동의 없이도 통계 작성, 과학적 연구, 공익적 기록보존 목적으로 이를 활용할 수 있게 되었습니다. 셋째, 온라인 사업자에 대한 별도 규제 체계가 폐지되었습니다. 정보통신망법의 개인정보 관련 규정이 PIPA로 통합되면서, 온라인과 오프라인 개인정보 처리를 오랫동안 이원화해 온 규제 체계가 종료되었습니다.
2020년 개정은 한국이 국제적인 데이터 협력을 유치하고 EU 적정성 결정을 위한 기반을 마련하기 위해 개인정보 보호법제를 현대화한 조치로 널리 평가받았습니다.
2023년 PIPA 개정
국회는 2023년 2월 27일 PIPA의 전면 개정안을 통과시켰으며, 이는 2023년 9월 15일부터 시행되었습니다. 이를 보완하는 시행령은 2024년 3월 15일부터 시행되었습니다.
2023년 개정을 통해 다음과 같은 주요 변화가 있었습니다.
정보주체의 새로운 권리 신설. 이번 개정으로 개인정보 전송요구권과 완전히 자동화된 결정에 대한 거부권이 신설되었습니다. 전송요구권은 2025년 3월 13일부터, 자동화된 결정에 대한 거부권은 2024년 9월 15일부터 시행되었습니다.
유출 통지 기준 일원화. 2023년 개정 이전에는 온라인 사업자는 24시간, 오프라인 사업자는 5일이라는 서로 다른 통지 기한이 적용되었으나, 이번 개정으로 이러한 이원적 체계가 폐지되었습니다. 이제 모든 개인정보처리자는 감독기관과 정보주체 모두에게 72시간 이내에 통지해야 하는 동일한 기준을 적용받습니다.
국외 이전 체계 정비. 2023년 개정은 GDPR을 모델로 한 체계적인 적법한 이전 수단을 도입하여, 동의에 지나치게 의존하던 기존의 산발적 규정을 보다 명확한 여러 경로로 대체했습니다.
일부 위반행위에 대한 형사처벌의 과징금 전환. 종전에 형사처벌 대상이었던 일부 위반행위가 과징금 부과 대상으로 전환되어, 억지력은 유지하면서도 과도한 형사처벌의 위험을 줄였습니다.
개인정보 보호책임자(CPO) 자격요건. 2024년 3월 15일 시행된 시행령은 개인정보 보호책임자의 구체적인 자격요건을 마련하고, AI를 활용한 자동화된 결정에 관한 규정을 도입했습니다.
2026년 3월 PIPA 개정
2023년 전면 개정 이후 PIPA에 가해진 가장 중대한 변화는 2026년 2월 12일 국회를 통과하여 2026년 3월 10일 공포되었습니다. 대부분의 조항은 2026년 9월 11일부터 시행되며, ISMS-P 인증 의무화 규정은 2027년 7월 1일부터 시행됩니다.
이번 개정은 제재 강화, 대표이사 책임, 투자 유인이라는 세 가지 축을 중심으로 이루어졌습니다.
새로운 과징금 상한: 전체 매출액의 최대 10%
기존의 매출액 3% 기준 과징금은 일반적인 위반행위에 대한 기본 상한으로 유지됩니다. 2026년 개정은 여기에 매출액의 최대 10%까지 부과할 수 있는 상향된 등급을 추가했습니다. 이 상향된 상한은 다음 세 가지 경우에 적용됩니다.
- 고의 또는 중대한 과실로 위반행위를 저지르고, 3년 이내에 이를 반복한 경우
- 단일 사건에서 고의 또는 중대한 과실로 1,000만 명 이상의 정보주체에게 영향을 미친 경우
- PIPC의 정식 시정명령을 이행하지 않아 유출 사고가 발생한 경우
참고로 매출액의 10%에 해당하는 과징금은 대기업 입장에서 2026년 이전 체계보다 훨씬 큰 규모의 부담을 의미합니다. PIPC가 2025년 8월 종전 체계 하에서 SK텔레콤에 부과한 1,347억 원이라는 역대 최대 과징금은, 앞으로 더욱 커진 상한을 규제기관이 어떻게 활용할지를 시사합니다.
대표이사 및 이사회의 책임
2026년 개정은 대표이사(또는 사업주, 대표자)를 조직의 개인정보 보호 준수에 대한 최종 책임자로 규정합니다. 시행령으로 정해질 일정 규모 이상의 조직의 경우, 개인정보 보호책임자의 선임, 변경, 해임에는 이제 정식 이사회 의결이 필요하며 이를 PIPC에 직접 보고해야 합니다.
개인정보 보호책임자는 전문 인력을 관리하고, 충분한 예산을 통제하며, 대표이사와 이사회에 직접 보고해야 합니다. 앞서 발생한 SK텔레콤 사건은 이 법이 겨냥하는 문제를 정확히 보여줍니다. PIPC는 SK텔레콤이 개인정보 보호책임자의 역할을 IT 서비스 부문으로만 한정하여, 통신 인프라 전체가 개인정보 보호 감독의 사각지대에 놓여 있었다는 사실을 확인했습니다.
개인정보 보호 투자에 대한 유인
2026년 개정은 개인정보 보호에 투자하는 기업을 위한 감경 제도를 마련했습니다. 위반행위가 고의나 중대한 과실로 인한 것이 아닌 경우, PIPC는 전담 예산, 전문 인력, 장비, 시스템 등 개인정보 보호를 위한 투자 실적을 입증할 수 있는 조직에 대해 과징금을 감경해야 합니다. 구체적인 감경 산식은 대통령령으로 정해질 예정입니다.
유출 통지 대상의 확대
2026년 개정은 통지 대상이 되는 사고의 범위를 확대했습니다. 종전에는 개인정보의 분실, 도난, 유출만이 통지 의무를 발생시켰습니다. 새로운 규정에서는 랜섬웨어 공격과 관련된 경우를 포함하여 개인정보의 위조, 변조, 훼손도 통지 대상에 포함됩니다. 또한 사고가 완전히 확인되기 전이라도, 사고 발생의 상당한 가능성을 인지한 경우에는 통지 의무가 발생합니다.
ISMS-P 인증 의무화
2027년 7월 1일부터, 지정된 대규모 개인정보처리자는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 취득하고 유지해야 합니다. 이는 한국인터넷진흥원(KISA)이 운영하는 정보보안과 개인정보 보호를 통합한 인증 제도입니다.
PIPA상 동의 요건
PIPA의 동의 체계는 GDPR을 비롯한 대부분의 해외 유사 법제보다 더 세분화되어 있고 요건이 까다롭습니다. 한국법은 하나의 포괄적인 동의 체크박스로 모든 개인정보 처리 행위를 아우르는 방식을 허용하지 않습니다.
동의의 유형
PIPA는 각각 별도의 동의가 필요한 여러 유형을 구분합니다.
수집 및 이용 동의. 개인정보를 최초로 수집하고 처리하기 위해 필요합니다. 개인정보처리자는 수집 목적, 수집하는 개인정보의 항목, 보유 및 이용 기간, 동의를 거부할 권리를 명시해야 합니다.
제3자 제공 동의. 개인정보를 제3자에게 제공하기 전에 별도의 동의가 필요합니다. 정보주체는 누가 개인정보를 제공받는지, 그 목적은 무엇인지, 어떤 항목이 제공되는지를 고지받아야 합니다.
민감정보 동의. 민감정보의 처리에는 명시적이고 별도인 동의가 필요합니다. 여기에는 사상, 신념, 노동조합이나 정당의 가입 및 탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력, 생체인식정보, 인종이나 민족에 관한 정보가 포함됩니다.
국외 이전 동의. 개인정보를 한국 밖으로 이전하려면 예외에 해당하지 않는 한 별도의 동의가 필요합니다. 2025년 9월 16일부터는 상호 적정성 인정에 따라 EU 회원국으로의 이전에는 이러한 동의가 더 이상 필요하지 않습니다.
마케팅 및 광고 동의. 마케팅 목적으로 개인정보를 이용하려면 그 자체로 별도의 동의가 필요합니다.
2024년 동의 강요 금지 규정
2024년 3월 15일 시행된 시행령은 그동안 규제당국이 오랫동안 기대해 온 사항을 명문화했습니다. 즉, 기업은 계약 이행을 위해 반드시 필요한 경우에만 동의 없이 개인정보를 수집할 수 있습니다. 개인정보 처리방침에 여러 동의 사항을 결합하거나 강요하는 조항은 허용되지 않습니다. 특정 정보 없이도 서비스가 제공될 수 있다면, 그 정보에 대한 동의를 서비스 이용의 조건으로 삼을 수 없습니다.
동의 외의 법적 근거
PIPA는 특정한 경우에 한해 동의 없는 제한적 처리를 허용합니다. 법령이나 조약에서 요구하는 경우, 계약 이행을 위해 필요한 경우, 생명이나 안전 보호를 위해 필요한 경우, 그리고 정당한 이익 조항에 따라 공개된 정보를 처리하는 경우입니다. PIPC가 2025년 8월 발표한 생성형 AI 가이드라인은 조직이 출처 검증, 데이터 오염 방지, 결과물 필터링 등 적절한 안전조치를 이행하는 것을 조건으로, AI 모델 학습을 위해 공개된 개인정보를 처리할 때 정당한 이익 조항을 법적 근거로 활용할 수 있음을 확인했습니다.
정보주체의 권리
PIPA는 개인에게 자신의 개인정보에 대한 포괄적인 권리를 부여합니다.
열람요구권. 정보주체는 자신에 관한 개인정보의 열람을 요구할 수 있습니다. 개인정보처리자는 10일 이내에 응답해야 합니다.
정정요구권. 개인은 부정확한 개인정보의 정정을 요구할 수 있습니다. 개인정보처리자는 정정이 완료될 때까지 다툼이 있는 정보를 이용해서는 안 됩니다.
삭제요구권. 수집 목적이 달성되었거나 동의가 철회된 경우, 정보주체는 삭제를 요구할 수 있습니다. 법령상 보관 의무가 있는 경우가 아니라면 개인정보처리자는 지체 없이 이를 이행해야 합니다.
처리정지요구권. 정보주체는 개인정보처리자에게 자신의 개인정보 처리를 중단할 것을 요구할 수 있습니다. 개인정보처리자가 처리를 계속할 정당한 사유가 있는 경우에는 그 사유를 정보주체에게 알려야 합니다.
개인정보 전송요구권. 2025년 3월 13일부터 시행된 이 권리에 따라, 개인은 자신의 개인정보를 다른 서비스 제공자에게 이전하도록 요구하거나, 안전하고 기계 판독이 가능한 형식으로 직접 받을 수 있습니다. 이는 GDPR의 데이터 이동권과 유사합니다.
자동화된 결정에 대한 거부권. 2023년 개정으로 AI에 의한 결정을 포함하여 오로지 자동화된 처리만으로 이루어지는 중요한 결정에서 배제될 권리가 신설되었습니다. 2024년 3월 15일 시행된 시행령은 요청이 있을 경우 사람에 의한 재검토를 제공해야 할 의무를 포함하여, 기업이 이 권리를 어떻게 이행해야 하는지에 관한 세부 규정을 마련했습니다.
법정손해배상. 한국 법원은 PIPA 위반에 대한 법정손해배상을 받으려면 손해가 입증되어야 한다는 점을 명확히 했습니다. 2025년의 한 판결은 유출 사고가 발생했다는 사실만으로 피해자에게 자동으로 배상청구권이 인정된다는 주장을 배척하면서, 정신적 손해는 증거로 입증되어야 한다고 판시했습니다.
가명처리 제도
PIPA는 개인정보 보호와 데이터 활용 사이의 균형을 도모하는 체계적인 가명처리 제도를 두고 있습니다. 가명정보란 기술적, 관리적 안전조치를 갖추어 별도로 보관되는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 개인정보를 말합니다.
이 제도 하에서는 다음과 같은 규정이 적용됩니다.
- 가명정보는 정보주체의 동의 없이도 통계 작성, 과학적 연구, 공익적 기록보존 목적으로 이용할 수 있습니다
- 조직은 가명처리된 데이터셋과 재식별에 필요한 키 정보를 엄격히 분리하여 관리해야 합니다
- 내부 심의위원회가 가명처리 절차를 평가하고 승인해야 합니다
- 재식별은 금지되며 형사처벌 대상이 됩니다
- 가명정보가 의도치 않게 재식별된 경우, 개인정보처리자는 즉시 처리를 중단하고 PIPC에 통지해야 합니다
2025년의 한 법원 판결은 정보주체가 PIPA 제28조의2에 따른 가명처리를 정지하도록 요구할 수 없다는 점을 확인했습니다. 처리정지요구권은 적법한 가명처리 행위에까지 미치지 않습니다.
이 제도를 통해 한국의 기업과 연구기관은 개별 이용 건마다 동의를 받을 필요 없이 가명처리된 데이터셋을 활용하여 데이터 분석과 AI 개발을 수행할 수 있습니다. 이는 데이터 경제 측면에서 상당한 실무적 이점입니다.
국외 이전

개인정보를 한국 밖으로 이전하는 행위는 PIPA상 엄격한 규정의 적용을 받습니다. 2023년 개정은 GDPR의 이전 체계를 부분적으로 모델로 한, 보다 체계적인 규정을 도입했습니다.
적법한 이전 수단
개인정보는 다음 중 하나의 요건을 충족할 때 국외로 이전할 수 있습니다.
- 별도 동의: 정보주체가 이전받는 자, 이전받는 국가, 이전 목적, 이전되는 개인정보 항목을 고지받고 동의한 경우
- 법령이나 조약상 근거가 있는 경우
- PIPC 인증: 이전받는 자의 개인정보 보호조치에 대해 PIPC의 인증을 받은 경우 (구속력 있는 기업 규칙과 유사)
- 적정성 인정: PIPC가 이전받는 국가의 개인정보 보호 수준이 충분하다고 인정한 경우
국내대리인 지정 의무
2025년 10월 2일부터, 한국 내 개인의 개인정보를 처리하는 외국 사업자는 국내대리인을 지정해야 합니다. 이 국내대리인은 해당 외국 사업자를 대신하여 개인정보 관련 문의 및 감독기관과의 소통을 담당합니다.
분야별 데이터 현지화 규정
PIPA 자체는 전면적인 데이터 현지화를 의무화하지 않지만, 여러 분야별 법률은 이를 요구합니다.
금융 데이터. 전자금융거래법은 클라우드 컴퓨팅을 통해 처리되는 개인신용정보와 고유식별정보가 한국 내에 위치한 서버에 보관되어야 한다고 규정합니다. 금융위원회는 이 요건을 엄격히 집행합니다.
의료 데이터. 의료법은 전자의무기록을 한국 밖에 보관하는 것을 금지합니다.
공공부문 클라우드. 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률은 정부기관에 제공되는 클라우드 서비스에 대해 물리적 망분리를 요구하며, 데이터는 국내에 보관되어야 합니다.
이러한 분야별 규정들은 한국에서 사업을 운영하는 금융기관, 의료기관, 정부 계약업체에 대해 사실상의 데이터 현지화 체계를 형성합니다.
EU-한국 상호 적정성 인정 체계
EU와 한국 간의 개인정보 이전 관계는 완전한 양방향 구조를 갖추게 되었으며, 이는 전 세계 적정성 인정 체계 중에서도 이례적인 사례입니다.
유입: EU의 한국에 대한 적정성 결정 (2021년 12월)
2021년 12월 17일, 유럽연합 집행위원회는 한국이 적정한 수준의 개인정보 보호를 제공한다고 인정하는 적정성 결정을 채택했습니다. 이에 따라 표준계약조항과 같은 추가적인 이전 안전조치 없이도 EU 및 유럽경제지역(EEA)에서 한국으로 개인정보가 자유롭게 이전될 수 있게 되었습니다.
이 적정성 결정은 상업적 이전과 규제 목적의 이전을 모두 포함하지만, 금융위원회의 감독을 받는 기관으로의 개인신용정보 이전, 종교단체로의 이전, 정당으로의 이전은 제외됩니다.
이 적정성 인정 체계의 일환으로, 한국은 이전된 정보에 대한 정부기관의 접근에 관한 보호조치와, 위법한 정부 요청이 있을 경우 EEA 정보주체를 위한 구속력 있는 구제수단을 포함하여 EU 정보주체를 위한 강화된 안전장치를 마련하기로 합의했습니다.
유출: 한국의 EU 적정성 인정 (2025년 9월)
2025년 9월 16일, PIPC는 EU의 개인정보 보호 법제를 PIPA와 동등한 수준으로 공식 인정함으로써 상호 조치를 완료했습니다. 이 공동 발표는 마이클 맥그래스 유럽연합 집행위원과 고학수 PIPC 위원장의 명의로 발표되었습니다.
이에 따라 실무적으로 한국의 개인정보처리자는 이제 27개 EU 회원국 및 3개 EEA 국가로 개인정보를 이전할 때, PIPA상 국외 이전에 요구되는 별도 동의 없이 이전할 수 있습니다. 다만 이 인정 범위에서 주민등록번호와 개인신용정보는 제외됩니다.
이 상호 적정성 인정 체계는 2028년 12월 15일 만료되기 전에 재검토를 거치게 됩니다.
이로써 EU-한국 간 경로는 양방향으로 규제상 인정이 이루어지는, 세계에서 가장 마찰이 적은 국외 이전 경로 중 하나가 되었습니다.
유출 통지 규정
2023년 PIPA 개정은 온라인 사업자 24시간, 오프라인 처리자 5일이라는 종전의 서로 다른 기한을 대체하여, 모든 개인정보처리자에 대해 72시간이라는 통일된 유출 통지 기한을 마련했습니다.
현재 요건
개인정보처리자는 유출 사고를 인지한 경우 다음을 이행해야 합니다.
-
영향을 받은 정보주체에게 72시간 이내에 통지합니다. 통지에는 사고 경위, 영향을 받은 개인정보의 항목, 개인정보처리자의 대응 조치, 이용 가능한 구제수단이 포함되어야 합니다.
-
유출 사고가 1,000명 이상의 정보주체의 개인정보와 관련되거나, 민감정보 또는 고유식별정보와 관련되거나, 외부의 부정한 접근에 의한 것인 경우 72시간 이내에 PIPC에 신고합니다.
2026년 3월 개정에 따른 확대
2026년 3월 개정은 통지 의무를 발생시키는 사유의 범위를 확대했습니다. 이제 개인정보의 위조, 변조, 훼손도 분실, 도난, 유출과 동일한 통지 의무를 발생시킵니다. 또한 조직은 사고 발생 여부가 완전히 확인되기 전이라도, 상당한 발생 가능성을 인지한 시점에 통지해야 합니다.
SK텔레콤 사건은 통지 의무 위반이 초래하는 대가를 잘 보여줍니다. PIPC는 이 통신사가 72시간 이내에 유출 사실을 신고하지 않은 점을 별도의 위반행위로 지적하며, 이 통지 위반 하나만으로도 960만 원의 과태료를 별도로 부과했습니다.
AI 거버넌스
한국은 개인정보 보호와 인공지능이 교차하는 지점에 대응하는 데 있어 가장 적극적인 국가 중 하나입니다.
AI 기본법
한국은 2025년 1월 21일 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(AI 기본법)을 제정했습니다. 2026년 1월 시행된 이 법은 위험 등급에 따른 AI 규제 체계를 마련합니다. 의료, 에너지, 공공서비스 등 핵심 분야의 고영향 AI 시스템에는 특정 의무가 부과됩니다. 일부 생성형 AI 서비스에는 의무적인 표시 요건이 적용됩니다. AI 시스템이 개인정보 처리와 교차하는 영역에서는 PIPC가 집행을 조율합니다.
PIPC의 생성형 AI 가이드라인
2025년 8월 6일, PIPC는 생성형 AI 개발 및 활용을 위한 개인정보 처리 가이드라인을 발표했습니다. 이 가이드라인은 기업이 어떤 법적 근거로 AI 모델 학습을 위해 개인정보를 처리할 수 있는지라는 핵심적인 준수 쟁점을 다룹니다.
이 가이드라인은 정당한 이익 조항인 PIPA 제15조 제1항 제6호가 AI 학습을 위해 공개된 정보를 처리하는 법적 근거가 될 수 있음을 확인했습니다. 이러한 해석에 따르면 학습 데이터셋에 포함된 공개정보의 정보주체 각각으로부터 개별 동의를 받을 필요는 없습니다. 다만 여기에는 조건이 따릅니다. 조직은 데이터 출처를 검증하고, 데이터 오염을 방지하며, 결과물 필터를 적용하고, 정당한 이익 평가에 관한 문서를 보관해야 합니다.
PIPC는 또한 자동화된 결정에 대한 거부권이 개인에게 중대한 영향을 미치는 AI 기반 결정에도 적용되며, 조직은 사람에 의한 재검토를 요청하는 정보주체에게 자동화된 처리 과정을 설명해야 한다는 점도 확인했습니다.
제재와 집행
PIPA의 제재 체계는 연이은 개정을 거치며 크게 강화되었으며, 2026년 3월 개정에서 정점에 이르렀습니다.
과징금 체계
현행 체계(2026년 9월 11일 이후)는 두 개의 등급으로 구성됩니다.
- 일반 위반행위. 위반행위 관련 매출액의 최대 3%에 해당하는 과징금
- 중대 위반행위. 고의 또는 중대한 과실로 3년 이내에 위반행위를 반복하거나, 그러한 조건 하에서 1,000만 명 이상에게 영향을 미치거나, PIPC의 시정명령을 이행하지 않아 유출이 발생한 경우 전체 매출액의 최대 10%에 해당하는 과징금
개인정보 보호를 위한 적격 투자를 입증하는 조직에는 과징금 감경이 적용될 수 있습니다.
형사처벌
PIPA는 과징금과 함께 형사처벌 규정도 유지하고 있습니다.
- 동의 없이 개인정보를 제3자에게 제공하는 행위를 포함한 10개 유형의 위반행위에 대해 5년 이하의 징역 또는 5천만 원 이하의 벌금
- 가명정보의 무단 재식별을 포함한 3개 유형의 위반행위에 대해 3년 이하의 징역 또는 3천만 원 이하의 벌금
- 그 외 5개 유형의 위반행위에 대해 2년 이하의 징역 또는 2천만 원 이하의 벌금
PIPC의 집행 사례
PIPC는 국내외 기업을 막론하고 상당한 규모의 제재를 부과하려는 일관된 의지를 보여 왔습니다. 특히 2022년 이후 집행이 뚜렷하게 강화되었습니다.
구글. PIPC는 행태정보 수집에 대한 적절한 동의를 받지 않고 개인정보 처리방침의 투명성이 부족했다는 이유로 구글에 692억 원(약 5,000만 달러)의 과징금을 부과했습니다.
메타 (2022년). PIPC는 타깃 광고에 이용된 무단 행태정보 수집을 이유로 308억 원(약 2,200만 달러)의 과징금을 부과했습니다.
골프존 (2024년 5월). PIPC는 221만 명의 이용자에게 영향을 미친 유출 사고에 대해 75억 원의 과징금을 부과했습니다. 당시 기준으로 국내 기업에 부과된 역대 최대 금액이었습니다.
중국계 이커머스 플랫폼 (2024년 7월). 국외 이전에 대한 동의를 받지 않고 판매자 계약에 개인정보 보호 조항을 포함하지 않은 데 대해 20억 원의 과징금이 부과되었습니다.
메타 (2024년 11월). PIPC는 메타가 이용자의 플랫폼 내 활동을 근거로 종교적 신념과 정치적 견해를 추론하여 광고 주제 엔진에 활용하면서도 민감정보 처리에 필요한 별도의 명시적 동의를 받지 않은 사실을 확인하고 216억 원의 과징금을 부과했습니다.
카카오페이와 애플 (2025년 1월). PIPC는 카카오페이가 약 4,000만 명의 이용자 정보를 알리페이에 제공했고, 알리페이가 이를 이용해 적절한 고지나 동의 없이 애플페이용 신용평가 알고리즘을 구축한 사실을 확인하여, 카카오페이에 59억 원, 애플 디스트리뷰션 인터내셔널 리미티드에 24억 원의 과징금을 부과했습니다. PIPC는 알리페이에 이전받은 정보와 이를 이용해 구축한 AI 알고리즘을 모두 삭제하도록 명령했습니다.
딥시크 (2025년). 2025년 2월, PIPC 조사관이 바이트댄스 서버로의 무단 API 호출을 적발하자 딥시크는 한국 앱스토어에서 자발적으로 서비스를 중단했습니다. 2025년 4월, PIPC는 딥시크에 위법한 국외 이전 중단, 기존에 이전된 정보의 삭제, 한국어 개인정보 처리방침 게시, 후속 준수 감사 이행을 명하는 시정명령을 내렸습니다.
루이비통, 디올, 티파니 (2025년). PIPC는 LVMH 산하 3개 명품 브랜드의 한국 법인에 총 약 360억 원(2,500만 달러)의 과징금을 부과했습니다. 이 사고들은 해커가 취약한 SaaS 접근통제를 악용하여 550만 명이 넘는 고객의 정보를 노출시킨 사건이었습니다. 루이비통은 악성코드 감염으로 360만 명의 고객 정보가 노출되어 약 227억 원의 과징금을, 크리스챤 디올은 피싱 공격으로 195만 건의 정보가 노출되어 약 130억 원의 과징금을, 티파니는 보이스피싱 공격으로 4,600건의 정보가 노출되어 약 25억 원의 과징금을 부과받았습니다.
SK텔레콤 (2025년 8월). PIPC는 해킹 사고로 약 2,320만 명의 이동통신 가입자의 유심(SIM) 인증키가 노출된 SK텔레콤에 1,347억 원(약 9,700만 달러)의 과징금을 부과했습니다. 조사 결과, SK텔레콤은 외부 접근을 제한하지 않은 채 인터넷망, 관리망, 내부망을 연결했고, 2,610만 건의 유심 인증키를 암호화하지 않았으며, 침입탐지 로그를 방치했고, 이용 가능한 보안 패치를 적용하지 않았으며, 개인정보 보호책임자의 역할을 IT 서비스 부문으로 한정하여 통신 인프라를 개인정보 보호 감독의 사각지대에 두었던 것으로 드러났습니다. 이는 한국에서 개인정보 유출 사고에 부과된 역대 최대 규모의 금전적 제재입니다. SK텔레콤은 이 과징금 처분에 불복하여 서울행정법원에 소를 제기했습니다.
PIPA와 GDPR의 주요 차이점
PIPA와 GDPR은 구조적으로 유사한 측면이 있지만, 다음과 같은 몇 가지 중요한 차이점이 있습니다.
| 구분 | PIPA (한국) | GDPR (EU) |
|---|---|---|
| 동의의 세분화 정도 | 처리 목적별로 각각 별도의 동의 필요 | 보다 폭넓은 정당한 이익 근거 허용 |
| 민감정보의 범위 | 사상, 정당 가입 여부, 노동조합 가입 여부 포함 | 인종, 민족, 생체, 건강 정보 중심 |
| 마케팅 동의 | 항상 별도의 옵트인 동의 필요 | 일부의 경우 기존 고객에 대한 소프트 옵트인 허용 |
| 최대 과징금 (2026년) | 전체 매출액의 최대 10% | 전 세계 연간 매출액의 최대 4% 또는 2천만 유로 중 큰 금액 |
| 형사처벌 | 있음, 최대 5년 이하의 징역 | 일반적으로 없음 (회원국에 위임) |
| 유출 통지 | PIPC에 72시간 이내 | 감독기관에 72시간 이내 |
| 개인정보 이동권 | 2025년 3월 시행 | 2018년 5월부터 시행 |
| 가명처리 | 명시적인 법적 제도 존재 | 언급은 되어 있으나 별도로 법제화되지 않음 |
| 국내(역내)대리인 | 외국 처리자에 대해 요구 (2025년 10월) | 비EU 컨트롤러/처리자에 대해 요구 |
가장 중요한 실무적 차이는 동의 요건입니다. PIPA가 처리 유형별로 각각 별도의 명시적 동의를 요구한다는 것은, GDPR이 대부분의 일반적인 상업적 처리 행위에 대해 허용하는 폭넓은 정당한 이익 근거에 기업이 의존할 수 없다는 것을 의미합니다.
조직을 위한 준수 점검 목록
한국에서 개인정보를 처리하는 조직은 다음 사항을 점검해야 합니다.
- 개인정보 처리방침. 모든 처리 목적, 개인정보 항목, 보유기간, 제3자 제공 현황을 명시한 명확한 한국어 개인정보 처리방침을 게시합니다.
- 동의 체계. 수집, 제3자 제공, 민감정보, 국외 이전, 마케팅에 대해 각각 별도의 동의 절차를 마련합니다.
- 개인정보 보호책임자. 2024년 시행령의 자격요건을 충족하는 적격한 개인정보 보호책임자를 선임합니다. 2026년 개정에 따라 해당 조직은 개인정보 보호책임자의 선임에 이사회 승인을 받아야 하며, 변경사항을 PIPC에 보고해야 합니다.
- 유출사고 대응계획. PIPC와 영향을 받은 개인 모두에게 72시간 이내에 통지하는 절차를 마련합니다. 2026년 규정에 따라 이 계획을 랜섬웨어, 위조, 변조, 잠재적 사고까지 포괄하도록 확대합니다.
- 국외 이전 안전조치. 해외로 개인정보를 이전하는 경우 적법한 이전 수단을 갖추어야 합니다. 2025년 9월 상호 적정성 인정 체계에 따라 EU 회원국으로의 이전은 동의가 필요하지 않습니다.
- 국내대리인. 외국 기업은 한국 내 국내대리인을 지정해야 합니다 (2025년 10월 2일부터 의무화).
- 가명처리 통제. 연구나 통계 목적으로 가명정보를 이용하는 경우, 분리 보관 통제장치와 내부 심의위원회를 마련합니다.
- 자동화된 결정 관련 고지. 중요한 결정에 AI나 자동화된 프로파일링을 이용하는 경우, 거부 절차와 사람에 의한 재검토 절차를 마련합니다.
- 보유 및 삭제. 지정된 보유기간이 만료되면 개인정보를 삭제하는 자동화된 절차를 마련합니다.
- 보안조치. 처리하는 개인정보의 규모와 민감도에 비례하는 접근통제, 암호화, 모니터링 체계를 구축합니다. SK텔레콤에 대한 역대 최대 과징금 사례는 암호화되지 않은 인증키, 방치된 침입탐지 로그와 같은 기본적인 실패가 얼마나 큰 책임으로 이어질 수 있는지를 보여줍니다.
- ISMS-P 인증. 대규모 개인정보처리자는 2027년 7월 1일 의무화 시한에 앞서 인증 절차를 시작해야 합니다.
- 개인정보 보호 투자 기록. 2026년 개정에 따라 적격한 개인정보 보호 투자 내역을 문서화할 수 있는 조직은 고의가 아닌 위반행위에 대한 과징금을 감경받을 수 있습니다. 지금부터 관련 기록을 축적해 두어야 합니다.
Frequently Asked Questions
PIPA는 한국에 본사를 두지 않은 외국 기업에도 적용됩니까?
그렇습니다. PIPA는 기업의 본사가 어디에 있는지와 관계없이, 한국에 소재한 개인의 개인정보를 처리하는 모든 사업자에게 적용됩니다. 외국 기업은 2025년 10월 2일까지 개인정보 관련 업무와 감독기관과의 소통을 담당할 국내대리인을 한국 내에 지정해야 합니다. PIPC는 PIPA 위반을 이유로 미국 기업과 중국 기업 모두에 과징금을 부과한 바 있습니다.
2026년 3월 개정 이후 PIPA상 최대 과징금은 얼마입니까?
2026년 3월 개정(2026년 9월 11일 시행)은 중대 위반행위에 대해 기업 전체 매출액의 최대 10%에 이르는 과징금을 부과할 수 있도록 규정합니다. 이는 기업이 고의 또는 중대한 과실로 3년 이내에 위반행위를 반복하거나, 그러한 조건 하에서 1,000만 명 이상에게 영향을 미치거나, PIPC의 시정명령을 이행하지 않아 유출이 발생한 경우에 적용됩니다. 일반적인 위반행위에는 여전히 관련 매출액의 최대 3%에 해당하는 과징금이 부과될 수 있습니다. 가장 중대한 위반행위에 대해서는 최대 5년의 징역에 이르는 형사처벌 규정도 계속 적용됩니다.
EU-한국 상호 적정성 인정 체계는 개인정보 이전에 어떤 영향을 미칩니까?
이 체계는 양방향으로 작동합니다. 2021년 12월 17일부터 EU 및 EEA에서 한국으로는 표준계약조항과 같은 추가적인 안전조치 없이 개인정보가 자유롭게 이전될 수 있습니다. 2025년 9월 16일, 한국은 그 반대 방향의 조치를 완료했습니다. 이제 한국의 개인정보처리자는 별도의 동의 없이 27개 EU 회원국 및 3개 EEA 국가로 개인정보를 이전할 수 있습니다. 두 인정 모두 예외가 있습니다. EU 측에서는 개인신용정보, 종교단체, 정당이 제외되며, 한국 측에서는 주민등록번호와 개인신용정보가 제외됩니다. 이 상호 인정 체계는 갱신되지 않는 한 2028년 12월 15일 만료됩니다.
PIPA의 동의 요건이 GDPR보다 엄격한 이유는 무엇입니까?
PIPA는 수집, 제3자 제공, 민감정보 처리, 마케팅, 국외 이전이라는 각각의 처리 목적마다 별도의 명시적 동의를 요구합니다. GDPR과 달리 PIPA는 일반적인 상업적 목적을 위해 동의 없이 처리할 수 있도록 하는 폭넓은 정당한 이익 근거를 두고 있지 않습니다. 2024년의 동의 강요 금지 규정은 서비스에 반드시 필요하지 않은 정보에 대한 동의를 서비스 이용의 조건으로 삼는 것을 추가로 금지합니다.
한국에는 데이터 현지화 요건이 있습니까?
PIPA 자체는 전면적인 데이터 현지화를 의무화하지 않지만, 분야별 법률은 이를 요구합니다. 전자금융거래법은 클라우드 컴퓨팅을 통해 처리되는 개인신용정보가 한국 내 서버에 보관되도록 요구합니다. 의료법은 전자의무기록을 해외에 보관하는 것을 금지합니다. 공공부문 클라우드 서비스는 물리적으로 분리된 망을 유지하면서 데이터를 국내에 보관해야 합니다. 일반적인 상업용 데이터는 적절한 동의 또는 그 밖의 적법한 수단을 통해 해외로 이전될 수 있습니다.
2026년 3월 PIPA 개정이 도입한 대표이사 책임 의무는 무엇입니까?
2026년 3월 개정은 대표이사 또는 대표자를 개인정보 보호 준수에 대한 최종 책임자로 지정합니다. 시행령으로 정해질 기준 이상의 조직의 경우, 개인정보 보호책임자의 선임, 변경, 해임은 정식 이사회 의결을 거쳐 승인받고 PIPC에 보고되어야 합니다. 개인정보 보호책임자는 대표이사와 이사회에 직접 보고해야 하며, 전담 인력과 예산을 관리해야 합니다. 구조적인 준수 실패에 대해서는 대표이사에게 개인적인 감독 책임이 부과됩니다.
Sources and References
- 개인정보 보호법(PIPA) 영문 전문 (한국법제연구원)(elaw.klri.re.kr).gov
- 개인정보보호위원회(PIPC) 공식 영문 포털(pipc.go.kr).gov
- PIPC, 법령 정보 (공식 페이지)(pipc.go.kr).gov
- 유럽연합 집행위원회, 대한민국에 대한 적정성 결정 (2021년 12월)(eucrim.eu)
- 유럽연합 집행위원회, EU-한국 상호 적정성 인정 발효 공동성명 (2025년 9월)(commission.europa.eu).gov
- EDPB, 한국 적정성 결정안에 대한 의견(edpb.europa.eu).gov
- IAPP, 한국의 PIPA 전면 개정과 대표이사 책임 연계 (2026년 3월)(iapp.org)
- Hunton Andrews Kurth, 매출액 10% 과징금을 허용하는 한국 개인정보 보호법 개정(hunton.com)
- IAPP, 한국 PIPC의 집행 강화: AI 모델 삭제, 국외 이전 등(iapp.org)
- Chambers and Partners, 2026년 개인정보 보호 동향: 한국(practiceguides.chambers.com)
- Baker McKenzie, 한국의 규제기관, 집행 우선순위 및 제재(resourcehub.bakermckenzie.com)
- Baker McKenzie, 한국의 국외 이전 규정(resourcehub.bakermckenzie.com)
- 코리아헤럴드, 대규모 정보유출 이후 SK텔레콤에 부과된 역대 최대 과징금(koreaherald.com)
- SecurityWeek, 정보유출 이후 디올, 루이비통, 티파니에 부과된 2,500만 달러 과징금(securityweek.com)
- Baker McKenzie, 한국의 AI 기준 마련: 생성형 AI에 관한 PIPC 가이드라인(connectontech.bakermckenzie.com)
- DLA Piper, 세계 개인정보 보호법: 한국(dlapiperdataprotection.com)
- GRC Report, 한국의 제재 강화 및 경영진 책임 신설을 통한 개인정보 보호 규정 강화(grcreport.com)