한국 개인정보보호법 ‘2차 개정’ 논의 재점화…‘무과실 책임’ 강화 공방, 미국 거주 한인 이용자도 영향권

한국에서 개인정보 유출 사고가 반복되면서, 기업 책임을 더 강하게 묻는 개인정보보호법(PIPA) 추가 개정 논의가 다시 속도를 내고 있습니다. 정치권과 규제 당국은 대형 침해에 대한 억지력을 높이자는 취지지만, 국내 ICT 업계는 “과도한 규제”라며 반발하는 흐름이 이어지고 있습니다.

이번에 거론되는 ‘2차 개정’ 논의의 핵심은 책임 구조 변화입니다. 서울경제 영문판 보도에 따르면, 현행 체계에서 기업이 ‘고의·과실이 없었다’는 점을 들어 책임을 다툴 수 있는 여지를 줄이고, 개정안이 통과될 경우 기업이 ‘자신들이 잘못이 없었다(무과실)’는 점을 더 적극적으로 입증해야 하는 방향이 논의되고 있습니다. 업계는 대규모 트래픽과 복잡한 시스템 환경에서는 사고 이후 침해 경로를 완벽하게 특정하기 어렵다는 점을 들어, 책임 강화가 소송 증가와 비용 부담으로 이어질 수 있다고 주장합니다.

또 다른 쟁점은 조사·수사 단계에서의 자료 보존 요구입니다. 업계는 ‘혐의가 확정되기 전’ 단계에서 자료 보존 요구가 늘어날 경우, 기업이 대응에 투입해야 하는 인력·시스템 자원이 크게 늘 수 있다는 우려를 제기합니다. 반면 제도 추진 측은 반복적·대규모 침해를 줄이기 위해 기업의 사전 투자와 사고 대응 체계를 더 촘촘히 만들 필요가 있다는 취지로 설명합니다.

이 논의는 이미 진행된 ‘1차 개정(강화)’ 흐름과 맞물려 이해할 필요가 있습니다. 2026년 2월 한국 국회는 특정한 ‘중대’ 개인정보 침해 사례에서 행정 과징금 상한을 회사 ‘총매출’의 최대 10%까지 높일 수 있도록 하는 개정안을 통과시켰다는 정리가 나와 있습니다. 다만 핵심 조건을 함께 봐야 오해가 줄어듭니다.

첫째, 적용 범위는 모든 사고가 아니라 ‘고의 또는 중과실’에 의한 반복 위반(3년 내), 1천만 명 이상 영향 등 법이 정한 중대 요건에 한정된다는 점이 여러 해설에서 공통적으로 강조됩니다. 둘째, 시행 시점은 통상 공포 이후 일정 유예기간을 두는데, 관련 해설에서는 “제정(공포) 후 6개월 뒤 시행”으로 설명됩니다. 셋째, 이미 발생한 사건에 소급 적용되지 않는다는 점도 보도에서 명시적으로 언급됐습니다. 즉, “최대 10% 과징금”이라는 문구만 단독으로 보면 즉시·전면 적용으로 오해하기 쉬운데, 실제로는 시행 시점과 비소급 원칙, 그리고 중대 요건이 함께 작동합니다.

보스턴을 포함해 미국에 거주하는 한인 유학생·교민에게 체감 포인트는 ‘한국 서비스를 해외에서 계속 이용하는 방식’에서 생깁니다. 한국의 쇼핑·배달·모빌리티·메신저, 금융·송금, 항공·여행 예약처럼 한국 기업이 운영하는 서비스를 미국에서 로그인해 사용하는 경우가 많기 때문입니다. 법과 제도가 강화되는 방향으로 굳어지면 기업들의 보안 투자, 사고 공지·통지 기준, 내부 책임 체계가 더 엄격해질 가능성이 있고, 유출 사고가 발생했을 때 국내에서의 분쟁·배상 논의도 더 활발해질 수 있습니다(구체 범위와 시점은 법안 확정 및 하위 규정에 따라 달라질 수 있습니다).

독자 행동 포인트(간단히)

• 한국 플랫폼·금융 서비스를 미국에서 자주 쓰는 경우, 2단계 인증, 로그인 알림, 비밀번호 재사용 최소화 등 기본 보안 설정을 점검해 두면 도움이 됩니다.
• 서비스에서 유출 관련 공지나 안내를 받으면, 안내 문구·대상 기간·피해 범위를 캡처해 보관해 두는 것이 이후 문의나 분쟁 절차에서 참고가 될 수 있습니다.
• 앱 알림·이메일 수신을 모두 꺼둔 상태라면, 자주 쓰는 서비스만 필요한 범위에서 공지 채널을 다시 켜두는 것도 한 방법입니다.