하반기부터 달라진다 — 개보위 "위험 기반 실태점검" 본격 도입, 우리 회사는 몇 등급?

핵심 요약

• 5월 22일 경제장관회의 발표: 고·중·저 위험군 분류 후 차등 점검
• 고위험군: 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원
• 9월부터 CPO(개인정보보호책임자) 지정 신고제 도입

개보위 발표 내용

개인정보보호위원회(위원장 송경희)는 5월 22일 경제장관회의에서 「예방 중심 개인정보 관리체계 전환계획」을 발표했다. 기존의 사후 규제 중심에서 위험도 기반 예방 관리로의 전환이 핵심이다.

3대 전환 방향

① 위험도 기반 예방관리체계

• 개인정보 처리 규모·민감도·산업별 특성을 고려해 고·중·저 위험군 분류
• 고위험군(플랫폼, 금융, 공공, 에듀테크, 요양병원): 정기·수시 집중 점검
• 9월부터 CPO 지정 신고제 도입
• IoT, 에이전트 AI 등 신기술 분야 선제적 점검 예고

② 자발적 보호투자 인센티브

• PbD(Privacy by Design) 원칙 제도화 — ISMS-P 인증 기준에 반영
• 정보보호 공시를 통한 추가 보호조치 공개 시 과징금 감경 혜택
• 중소·영세기업 경미한 위반 시 제재 대신 기술지원 제공

③ 공급망·신기술 관리 강화

• SaaS, 클라우드, 전문수탁자 등 공급망 관리 강화
• 다크패턴 등 신뢰 저해 관행 점검

고위험군 분류 (예시)

| 분야 | 해당 기관/기업 | 주요 점검 항목 |

|------|--------------|---------------|

| 플랫폼 | 대형 포털, 쇼핑몰, SNS | 마케팅 동의, 제3자 제공 |

| 금융 | 은행, 보험, 카드사 | 금융정보 암호화, 접근통제 |

| 에듀테크 | 교육앱, 학습관리시스템 | 아동 개인정보 처리 |

| 요양병원 | 의료기관, 요양원 | 민감정보(건강), 노인 취약계층 |

전문가 시각 — "예방"이라는 이름의 새로운 압박

"예방 중심"이라는 표현은 친절하게 들린다. 그런데 30회 ISMS-P 심사를 해온 입장에서 보면 다르다. 이것은 "우리가 먼저 찾아갈 테니 준비하라"는 신호다.

지금까지 실태점검은 사고가 나거나 민원이 들어오면 시작됐다. 앞으로는 위험 기반으로 선정된 대상에 대해 예고 없이 올 수 있다. 특히 9월 CPO 신고제는 중요하다. CPO를 지정하지 않은 기업이 신고를 하게 되면, 자동으로 "관리가 미흡한 곳"으로 식별될 수 있다.

중소 플랫폼·에듀테크 스타트업에 주는 경고

요양병원이 고위험군에 포함된 건 의외다. 하지만 생각해보면 당연하다. 노인 환자 수만 명의 민감 의료정보를 처리하면서 IT 인력이 한 명도 없는 요양원이 실제로 존재한다. 이런 곳이 표적이 된다.

에듀테크는 더 민감하다. 아동·청소년 개인정보는 개보법상 별도 보호 의무가 있다. 학교와 계약한 에듀테크 회사들은 올 하반기 전에 점검을 완료해야 한다.

지금 당장 해야 할 3가지

CPO 지정 확인: 9월 전에 지정·신고 준비

ISMS-P 인증 검토: PbD 반영 기준으로 개편되면 인증 가치 더 높아짐

수탁사 현황 파악: 공급망 관리 강화 — 수탁사 계약서, 교육 이력 점검

위반 조항 / 관련 법령

• 개인정보보호법 제31조 (개인정보보호책임자 지정): CPO 지정 의무
• 동법 제63조 (자료제출 요구 및 검사): 실태점검 법적 근거
• PbD 제도화: 개보법 개정 논의 중 — 향후 시행령 개정 예상

CPPG·ISMS-P 시험 연계 포인트

• CPPG 핵심: CPO 지정 의무 대상·요건 암기 필수
• ISMS-P 심사: PbD 적용 여부가 2026년 하반기 심사 주요 항목 예상
• 아동·청소년 개인정보 특례 조항 — 에듀테크 분야 출제 빈도 증가 추세
• 수탁자 관리·감독 의무 (개보법 제26조) — 공급망 관리와 연계

관련 서비스

→ SecuFi 보안 취약점 점검 — 실태점검 전 자가진단

→ TechFi ISMS-P 컨설팅 — CPO 지정·신고 대행