최근소식

On April 23, 2026, Lee & Ko entered into a strategic collaboration agreement (the Alliance Agreement) with Palo Alto Networks (Netherlands) B.V. (Palo Alto Networks), a global AI cybersecurity leader. Palo Alto Networks (NASDAQ: PANW) offers a comprehensive portfolio of solutions and platforms across Network, Cloud, Security Operations, AI, and Identity, serving over 70,000 customers worldwide. The company is backed by Unit 42, its renowned threat intelligence and incident response team, and maintains a significant presence across both enterprise and public-sector clients in Korea. The Alliance Agreement, signed by Sanggon Kim, Managing Partner of Lee & Ko, and Sangkyu Park, the representative of Palo Alto Networks Korea, establishes a framework for ongoing cooperation between the two organizations in cybersecurity advisory, threat intelligence sharing, and joint client-facing initiatives. Korea’s Cybersecurity Landscape: Recent Incidents and Legislative Response The Alliance Agreement comes at a time when cybersecurity has emerged as a critical concern across all sectors of the Korean economy. In 2025, Korea experienced a series of high-profile cyber incidents—most notably the SK Telecom and Coupang incidents. Large-scale breaches also affected major credit card companies, online gaming platforms, and financial institutions throughout the year. In direct response to these developments, the Korean legislature moved swiftly to overhaul the country’s data protection and cybersecurity framework through a series of amendments enacted in early 2026: Amendments to the Personal Information Protection Act (PIPA)—passed February 12, 2026. The amendments establish the CEO as the ultimate responsible person for data protection, strengthen the role and independence of the Chief Privacy Officer (CPO)—including mandatory board-level appointment and reporting for entities meeting prescribed thresholds—and introduce punitive administrative penalties of up to 10% of total revenue (in addition to the existing 3% general cap) for repeated or large-scale violations involving willful misconduct or gross negligence. In addition, the scope of breach notification obligations has been expanded to cover not only confirmed breaches but also situations where there is a recognized possibility of a breach, and ISMS-P certification has been made mandatory for certain categories of data processors (effective July 1, 2027). Amendments to the Network Act—passed March 12, 2026. The amendments require the designation of an executive-level CISO with expanded responsibilities (including personnel and budget oversight and board reporting), mandate the establishment of information security committees for entities meeting prescribed thresholds, and introduce annual information security level assessments by the Ministry of Science and ICT (MSIT). Incident reporting timelines have been tightened to 24 hours from awareness, and a new Incident Investigation Review Committee has been established with authority to initiate investigations based on suspected—not only confirmed—incidents. For repeated incidents caused by willful misconduct or gross negligence (two or more within five years), administrative penalties of up to 3% of relevant revenue may be imposed, supplemented by daily penalty payments of up to 0.03% of average daily revenue for non-compliance with corrective orders. Both sets of amendments will generally take effect six months after promulgation. In a regulatory environment that now demands 24-hour incident reporting, mandatory board-level cybersecurity governance, and revenue-based punitive sanctions, the ability to mobilize integrated legal and technical resources rapidly has become essential. By combining Lee & Ko’s established strengths in data privacy regulation, enforcement defense, and cybersecurity litigation with Palo Alto Networks’ technical forensics and threat intelligence capabilities, the Alliance Agreement is designed to enable a more comprehensive and timely advisory service for clients navigating this landscape. Lee & Ko’s Cybersecurity Track Record Lee & Ko has been at the forefront of cybersecurity incident response in Korea and has successfully handled a series of landmark cases, including large-scale data breaches involving major credit card companies, leading online gaming platforms, and e-commerce operators. Most recently, the firm was engaged from the earliest stages of the investigation into the SK Telecom data breach in 2025—one of the most significant cybersecurity incidents in Korea’s history. Drawing on this extensive track record, Lee & Ko has established a dedicated Cyber Incident Response Team staffed with legal specialists across data privacy, IT/security, financial regulation, criminal defense, and litigation, as well as former officials from the Personal Information Protection Commission (PIPC), the MSIT, the Financial Supervisory Service (FSS), the National Intelligence Service, and the Prosecutor’s Office. The team operates a 24-hour rapid response hotline and works in close coordination with leading cybersecurity researchers and technical experts to provide real-time support during regulatory on-site inspections and law enforcement investigations. Together with Lee & Ko’s broader Data Privacy & Cybersecurity Practice Group—comprising more than 50 professionals—the team delivers end-to-end legal services across every phase of a cybersecurity incident: from golden-hour crisis advisory and regulatory investigation response to legislative engagement, statutory interpretation, and related civil, criminal, and administrative proceedings, including class-action defense arising from large-scale data breaches. For inquiries regarding the Alliance Agreement or its implications for your operations in Korea, please contact Lee & Ko’s Data Privacy & Cybersecurity Practice Group.  

지난 2026. 2. 12. 개인정보보호법 개정안이 국회 본회의를 통과한 데 이어, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(정보통신망법) 개정안이 2026. 3. 12. 국회 본회의를 통과하여 공포를 앞두고 있습니다. 최근 주요 이동통신사 및 금융회사 등을 대상으로 한 침해사고가 발생하거나 발생 의심 정황이 확인되면서 정보보호 관리 체계 및 사고 대응 체계 전반에 대한 강화 필요성이 지속적으로 제기되어 왔습니다. 이러한 배경에서 다수의 정보통신망법 개정안이 발의되었으며, 이를 통합·조정한 국회 과학기술정보방송통신위원회 대안이 국회에서 통과되었습니다. 이번 개정안은 침해사고 예방 및 대응 체계를 정비하고 기업의 정보보호 거버넌스를 보다 체계화하는 한편, 불법 스팸에 대한 규제를 강화하는 내용을 중심으로 구성되어 있습니다. 특히 정보보호 최고책임자의 역할 강화, 정보보호위원회 설치, 정보보호 수준 평가, 고위험 사업자에 대한 인증 기준 차등 적용, 침해사고 대응 매뉴얼 및 제재 수단 도입 등은 기업의 정보보호 관리 체계 전반에 실질적인 영향을 미칠 수 있는 변화로 보입니다. 참고로 개정 정보통신망법은 공포 후 6개월이 경과한 날부터 시행될 예정입니다. 다만, 정보보호 수준 평가 제도와 관련된 규정은 공포 후 1년이 경과한 날부터 시행됩니다(부칙 제1조). 본 뉴스레터에서는 이러한 관점에서 개정 정보통신망법의 주요 내용과 시사점을 살펴보겠습니다. 1. 주요 개정 사항     1) 정보보호 거버넌스 체계 강화         개정 정보통신망법은 기업의 정보보호 관리 체계를 보다 체계적으로 운영하도록 하기 위하여 정보보호 책임 구조와 내부 의사결정 체계를 정비하였습니다.         우선, 주요 정보통신서비스 제공자 등은 정보보호 분야 전문성을 갖춘 인력과 충분한 예산을 확보하도록 노력하여야 한다는 규정이 신설되었습니다(제45조 제5항).         또한, 중기업을 제외한 정보통신서비스 제공자는 임원을 정보보호 최고책임자로 지정하여야 하며, 정보보호 최고책임자의 업무로 (i) 정보보호에 필요한 인력 관리 및 예산 편성, (ii) 정보보호 현황 및 주요 사항에 대한 이사회 보고 등이 추가되었습니다(제45조의3).         아울러 일정 규모 이상의 정보통신서비스 제공자는 정보보호에 관한 사항을 심의하기 위하여 정보보호위원회를 설치·운영하여야 하며, 해당 위원회의 위원장은 정보보호 최고책임자가 되도록 규정되었습니다(제45조의4).         이와 함께 과학기술정보통신부장관은 일정 기준에 해당하는 사업자를 대상으로 정보보호 수준 평가를 매년 실시하도록 하였으며, 평가 결과를 공개하거나 개선 권고를 할 수 있는 근거가 마련되었습니다(제45조의5).     2) 정보보호 관리 체계 인증(ISMS) 제도 개선         지난 2025. 12. 6. 개인정보보호위원회와 과학기술정보통신부가 정보보호 관리 체계(ISMS) 및 정보보호·개인정보보호 관리 체계(ISMS-P) 인증의 실효성을 강화하기 위한 전면 개편안을 발표한 데 이어, 개정 정보통신망법은 정보보호 관리 체계 인증(ISMS) 제도를 함께 강화하였습니다. (지난 2025. 12. 6. 발표된 ISMS·ISMS-P 인증 실효성 강화 방안에 대하여는 앞서 보내드린 뉴스레터를 참고하시기 바랍니다).         개정안은 생성·처리하는 정보의 규모와 사회적 파급력으로 인해 침해사고 발생 시 중대한 위험을 초래할 우려가 있는 자에 대해서는 정보보호 관리 체계 인증 기준 및 절차를 강화하여 적용할 수 있도록 하였으며(제47조의7 제2항), 정보보호 관련 법령을 중대하게 위반한 경우에는 정보보호 관리 체계 인증을 취소할 수 있도록 하였습니다(제47조 제10항 제4호).     3) 침해사고 대응 및 조사 체계 강화         이번 개정안은 침해사고 발생 시 신속하고 체계적인 대응이 가능하도록 신고·통지·분석 체계를 정비하였습니다.         먼저, 정보통신서비스 제공자는 침해사고의 발생 사실을 알게 된 때부터 24시간 이내에 침해사고의 발생 일시 및 대응 현황 등을 신고하도록 신고 의무가 구체화되었습니다(제48조의3 제1항).         대통령령으로 정하는 침해사고가 발생한 경우에는 이용자에게 해당 사실을 지체 없이 통지하여야 하는 의무도 신설되었습니다(제48조의3 제4항).         한편, 개정안은 침해사고 분석 대상의 범위를 종전의 "원인" 중심에서 "발생 여부 및 원인"으로 확대하였습니다(제48조의4).         아울러 침해사고 대응을 위해 과학기술정보통신부에 침해사고 조사심의위원회를 설치하여 민관합동 조사단 구성 여부 및 침해사고 발생 여부에 대한 조사 필요성 등을 심의하도록 하였습니다(제48조의2 제7항).         또한, 정보통신서비스 제공자 등 정보통신망을 운영하는 자로서 대통령령으로 정하는 자는 과학기술정보통신부장관이 보급하는 표준안에 따라 해당 정보통신서비스의 규모 및 특성에 적합한 침해사고 관리·대응 매뉴얼을 작성하여 제출하여야 하며, 과학기술정보통신부장관은 해당 매뉴얼의 운용 실태를 점검할 수 있도록 하였습니다(제48조의9).     4) 침해사고 관련 제재 및 이용자 보호 제도 도입         개정 정보통신망법은 침해사고에 대한 책임성을 강화하기 위하여 새로운 제재 수단을 도입하였습니다.         먼저, 시정명령 불이행, 자료 제출 거부, 조사 방해 등의 경우 이행강제금을 부과할 수 있는 근거가 마련되었습니다(제48조의7).         또한 정보통신서비스 제공자의 고의 또는 중과실로 침해사고가 5년 이내에 2회 이상 반복적으로 발생한 경우, 매출액의 최대 3% 범위 내에서 과징금을 부과할 수 있도록 하였습니다(제48조의8). 다만, 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우(「개인정보보호법」 제64조의2 제1항 제9호)로서 과징금 부과 대상에 해당하는 경우는 제외됩니다(제48조의8 제4항).         이와 함께 침해사고 발생 시 사업자는 이용자의 피해 확산 방지 및 신속한 피해 구제를 위하여 필요한 조치를 하여야 하며, 그 조치 결과 등을 과학기술정보통신부장관에게 제출하도록 하는 이용자 피해 구제 규정도 신설되었습니다(제48조의10).     5) 불법 스팸 규제 강화         개정 정보통신망법은 대량 문자 서비스 등을 통한 불법 스팸 문제에 대응하기 위한 규제도 강화하였습니다.         먼저 누구든지 영리 목적의 광고성 정보 전송을 타인에게 위탁하려는 경우, 「전기통신사업법」상 전송자격인증을 받은 사업자에게만 위탁하도록 하는 제도적 근거가 마련되었습니다(제50조의3).         또한 제공하는 서비스가 위법한 광고성 정보 전송에 이용되고 있는 경우, 해당 정보통신서비스 제공자가 강구하여야 하는 조치를 대통령령으로 정하는 유형 및 기준에 따라 (i) 광고성 정보 전송의 즉시 중단, (ii) 서비스 거부 또는 이용 계약 해지, (iii) 보안 체계 취약점 점검·개선, (iv) 이용 약관 및 이용 계약 개선, (v) 재발 방지 계획 수립 및 점검 등으로 구체화하였습니다(제50조의4 제4항).         아울러 광고성 정보 전송 관련 규정을 위반한 경우에는 방송미디어통신위원회가 관련 매출액의 최대 6% 범위 내에서 과징금을 부과할 수 있도록 하여 제재 수준을 강화하였습니다(제50조의9). 2. 시사점     1) 정보보호 거버넌스 강화 대응 필요         이번 정보통신망법 개정은 개인정보보호법 개정과 마찬가지로 기업의 정보보호 거버넌스를 강화하는 방향으로 이루어졌습니다. 특히 정보보호 최고책임자의 역할 확대, 정보보호위원회 설치 의무, 정보보호 수준 평가 제도 도입 등을 고려할 때 기업은 정보보호 관련 의사결정 구조와 내부 정보보호 관리 체계를 보다 체계적으로 정비할 필요가 있습니다.         한편, ISMS 인증과 관련하여 고위험 사업자에 대해서는 보다 강화된 인증 기준 및 절차가 적용될 수 있게 됨에 따라, 해당 사업자는 보다 강화된 기준을 충족할 수 있도록 보안 관리 체계를 사전에 정비할 필요가 있습니다. 아울러 중대한 정보보호 관련 법령 위반 시 인증 취소 가능성이 명시됨에 따라, 인증 취득 이후의 지속적인 관리 및 법령 준수 체계 확보도 중요해질 것으로 보입니다.     2) 침해사고 대응 프로세스 및 내부 규정 정비 필요         개정 정보통신망법은 침해사고 조사심의위원회를 설치하고 침해사고 발생 시 이용자 통지 의무를 신설하는 등 침해사고 대응 및 조사 체계를 정비하였습니다. 또한 침해사고 발생 여부에 대한 조사 및 분석 가능성 확대와 침해사고 대응 매뉴얼 제출 의무 도입 등을 고려할 때 기업은 기존의 보안사고 대응 프로세스를 전반적으로 점검할 필요가 있습니다.         특히 침해사고 대응 매뉴얼의 작성 및 운영, 사고 발생 시 신고 및 통지 절차 등은 실제 사고 대응 과정에서 중요한 기준이 될 수 있으므로, 개정법 시행 이전부터 관련 내부 규정 및 대응 체계를 정비하는 것이 필요할 것으로 보입니다.         아울러, 고의 또는 중과실로 침해사고가 5년 이내에 2회 이상 반복적으로 발생한 경우, 매출액의 최대 3% 범위 내에서 과징금이 부과될 수 있으므로, 침해사고 발생 이후의 재발 방지 조치, 보안 투자 및 내부 통제 강화 여부가 향후 제재 수준 판단에 중요한 요소로 작용할 가능성이 있습니다.     3) 스팸 컴플라이언스 강화 필요         광고성 정보 전송과 관련하여 관련 매출액의 최대 6% 범위 내 과징금이 도입됨에 따라, 광고성 정보 전송과 관련된 내부 통제 및 준법 관리 체계의 중요성이 한층 커질 것으로 보입니다.         또한, 광고성 정보 전송을 타인에게 위탁하는 경우에는 전송자격인증을 받은 사업자에게만 위탁하여야 하므로, 문자 발송 서비스 등을 이용하는 사업자는 협력업체 선정 및 계약 체계를 점검할 필요가 있습니다. 법무법인(유) 광장 개인정보·DPC 그룹은 개인정보 전문 변호사, 규제기관 출신 및 보안 기술 전문가 등 50여 명의 전문가들이 포진하여 있으며, 외부 IT·보안 전문가들과 긴밀한 협업 관계를 구축하고 있습니다. 이로써 정보보호 거버넌스 구축, 개인정보 유출 사고 및 침해사고 대응, ISMS·ISMS-P 인증 대응 등 개인정보보호 및 정보보안 영역 전반에 걸쳐 빠르고 정확한 원스톱 자문 서비스를 제공하고 있습니다. 개정 정보통신망법 등 개인정보 및 정보보안 이슈와 관련하여 자문이 필요하신 경우, 언제든지 법무법인(유) 광장 개인정보·DPC 그룹에 문의하여 주시기 바랍니다.  

개인정보보호법 개정안(국회 정무위원회 대안)이 2026. 2. 12. 국회 본회의에서 통과되었습니다. 최근 주요 통신사, 금융사, 플랫폼 사업자 등의 대규모 개인정보 유출 사고가 연이어 발생함에 따라 개인정보 유출 사고 예방 및 기업의 책임 강화에 대한 사회적 요구가 커졌습니다. 이에 따라 다수의 개인정보보호법 개정안이 발의되었고, 개정안 14개의 내용을 통합ㆍ조정한 국회 정무위원회 대안이 국회에서 통과된 것입니다. 이번 개정안은 개인정보 유출 등을 포함한 개인정보보호법 위반 행위에 관하여 매출액의 최대 10%에 달하는 과징금을 부과하는 것으로 잘 알려져 있지만, 기업의 개인정보보호 거버넌스와 보안 사고 대응 체계에도 중요한 변화를 요구한다는 점에서도 그 의의가 매우 크다고 하겠습니다. 본 뉴스레터에서는 이러한 관점에서 개정 개인정보보호법의 구체적인 내용과 중요한 시사점을 살펴보겠습니다. 1. 주요 개정 사항     1) 반복적이거나 중대한 개인정보 침해에 대한 과징금 부과 한도 상향 및 과징금 감경 사유로 개인정보보호 관련 투자 사항 명시         (i) 과징금을 부과받은 날부터 3년 이내에 과징금 부과 사유에 해당하는 위반 행위를 한 경우(각각 고의 또는 중대한 과실이 있는 경우로 한정), (ii) 고의 또는 중대한 과실로 과징금 부과 사유에 해당하는 위반 행위를 하고 정보주체의 피해 규모가 1천만 명 이상인 경우, 또는 (iii) 시정명령에 따르지 않아 개인정보 유출 등이 발생한 경우, 개인정보처리자의 전체 매출액(관련 없는 매출액 제외)의 10% 범위 내(매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 50억 원 이하)에서 과징금을 부과할 수 있도록 하였습니다(제64조의2 제2항).         한편, 개인정보보호 예산ㆍ인력ㆍ설비ㆍ장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우(고의 또는 중대한 과실로 위반 행위를 한 경우는 제외)에는 과징금을 감경하도록 하였습니다(제64조의2 제6항).     2) 유출 통지 항목 확대 및 유출 가능성 통지 의무화         통지 대상에 해당하는 “유출 등”의 범위가 현행법에 따른 개인정보의 “분실ㆍ도난ㆍ유출”에 더하여 “위조ㆍ변조ㆍ훼손”까지로 확대되었습니다(제23조 제2항, 제34조 제1항).         그리고 통지 항목에 (i) 개인정보 유출 등으로 인한 손해배상과 법정손해배상의 청구 및 분쟁조정 등 피해를 입은 정보주체의 법적 권리와 그 행사 방법 등에 관한 정보 및 (ii) 기타 대통령령으로 정하는 사항이 추가되었습니다(제34조 제1항 제6호).         또한, 개인정보의 유형, 정보주체에게 미치는 영향과 유출 등의 위험 정도를 고려하여 대통령령으로 정하는 유출 등의 가능성이 있음을 알게 된 때에는, 지체 없이 유출 등의 가능성이 있는 모든 정보주체에게 피해 최소화를 위한 정보 등 대통령령으로 정하는 사항을 통지할 의무가 신설되었습니다(제34조 제2항).     3) 일정 규모 이상의 개인정보처리자에 대한 ISMS-P 의무화         매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보보호 인증(ISMS-P)을 의무적으로 취득하도록 하였습니다(제32조의2 제1항 단서). (ISMS 및 ISMS-P 제도의 예상되는 변화 방향에 관하여는 본 법무법인의 관련 뉴스레터를 참고하시기 바랍니다.)     4) 대표자의 책임 명확화 및 CPO의 역할 강화         대표자 또는 사업주가 개인정보의 안전한 처리 및 정보주체의 권리 보호에 대한 최종적인 책임자로서 전문 인력과 충분한 예산 지원 등 총괄적 관리 조치를 실효성 있게 하여야 한다는 점이 명확히 규정되었습니다(제30조의3).         또한, 개인정보보호책임자(CPO)의 업무로 (i) 개인정보보호에 필요한 전문 인력의 관리 및 예산 확보 및 (ii) 대표자 및 이사회에 대한 개인정보보호 현황 및 주요 사항의 보고가 추가되었습니다(제31조 제4항 제2호 및 제3호).         한편, 매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여, (i) CPO를 지정ㆍ변경 또는 해제 시 이사회의 의결을 거칠 의무 및 (ii) 개인정보보호위원회에 대통령령으로 정하는 바에 따라 CPO 지정ㆍ변경 또는 해제에 관한 사항을 신고할 의무가 부과되었습니다(제31조 제3항).     5) 시행일         개정 개인정보보호법은 공포된 후 6개월이 경과한 날부터 시행되며, 다만 ISMS-P 의무화에 관한 규정은 2027. 7. 1.부터 시행될 예정입니다(부칙 제1조). 2. 시사점     1) 개인정보보호 거버넌스 수립과 투자 필요성 증대         개정 개인정보보호법은 징벌적 과징금을 도입하여 개인정보 유출 등 침해에 대한 제재 수준을 높이고, 개인정보보호에 관한 대표자의 책임과 CPO의 역할을 강화하는 한편, 과징금 감경 사유 추가를 통해 기업의 개인정보보호 투자를 유도하는 내용으로 구성되어 있습니다. 이에 사업자는 개정법 시행 전에 조직 내에서 개인정보보호를 실효성 있게 관철하기 위한 거버넌스를 수립·정비하고, 개인정보보호에 관한 충분한 인력 및 설비 투자를 선제적으로 이행할 필요가 있습니다.         또한, 징벌적 과징금 부과의 경우 위반 행위에 ‘고의 또는 중대한 과실’이 있는지 여부가 주요한 요건 중 하나인데, 이때 고의 또는 중대한 과실은 민사상 손해배상 책임의 요건인 고의 또는 과실과는 다른 기준에 따라 판단될 수 있고, 그러한 판단에 있어 대표자 또는 이사회에 대한 보고 및 그에 따른 조치의 이행 등이 중요한 고려 사항이 될 수 있습니다. 이에 이사회 및 대표이사 보고 사항 등에 대한 지침 마련 등의 단계부터 법률 전문가의 판단이 필요할 수 있습니다.     2) 개인정보 유출 등 모니터링 체계 강화 및 사고 대응 프로세스 개정 필요         개인정보 유출 통지의 대상 범위 및 통지 항목이 확대되고, 특히 유출 등의 발생이 확인되지 아니하였더라도 유출 등의 가능성이 인지된 경우까지 통지 의무가 확대되었습니다. 이에 개인정보 유출 사고 대응에 관한 기존의 프로세스를 재정비할 필요가 있고, 특히 유출 전 단계(예: 침해 사고 발생)의 모니터링을 강화하고 관련 대응 체계를 앞당겨 구축하는 것이 더욱 중요해졌습니다.         이는 사규 또는 정책의 개정 내지 유관 부서의 역할 변경을 필요로 할 수 있으므로, 개정법의 시행 전부터 미리 준비하여 둘 필요가 있습니다. 법무법인(유)광장 개인정보ㆍDPC 그룹은 개인정보 전문 변호사, 규제기관 출신 및 보안 기술 전문가 등 50여 명의 전문가들이 포진하여 있으며, 외부 ITㆍ보안 전문가들과 긴밀한 협업 관계를 구축하고 있습니다. 이로써 정보보호 거버넌스 구축, 개인정보 유출 사고 및 침해 사고 대응, ISMSㆍISMS-P 인증 대응 등 개인정보보호 및 정보보안 영역 전반에 걸쳐 빠르고 정확한 원스톱 자문 서비스를 제공하고 있습니다. 개정 개인정보보호법 등 개인정보 및 정보보안 이슈와 관련하여 자문이 필요하신 경우, 언제든지 법무법인(유)광장 개인정보ㆍDPC 그룹에 문의하여 주시기 바랍니다.  

개인정보보호위원회와 과학기술정보통신부는 2025.12.6. 정보보호관리체계(ISMS) 및 정보보호·개인정보보호관리체계(ISMS-P) 인증의 실효성을 강화하기 위한 전면 개편안(본건 개편안)을 발표하였습니다. 본건 개편안은 최근 인증 보유 기업에서 연이어 발생한 해킹 및 대규모 개인정보 유출 사고에 대응하기 위하여 마련된 것으로, 2025.9.부터 개인정보보호위원회가 추진하던 개인정보 안전관리체계 강화 기조의 연장선상에 있습니다. 이하에서는 그 구체적인 내용을 살펴보겠습니다. 1. 주요 내용     1) ISMS-P 의무화 및 인증 기준 강화         현행 개인정보 보호법 하에서, 개인정보 처리자는 ISMS-P 인증을 받을지 여부를 자율적으로 결정할 수 있습니다. 그러나 본건 개편안에 따르면 앞으로 주요 개인정보 처리 시스템(주요 공공 시스템, 통신사, 대규모 플랫폼 등)을 대상으로 ISMS-P 인증을 의무화하는 법 개정이 추진될 예정입니다. 아울러, 통신사 및 대규모 플랫폼 사업자 등 국민에게 미치는 영향이 큰 기업에 대해서는 현행보다 강화된 인증 기준이 적용될 예정입니다.     2) 인증 단계별 심사 방식 전면 개편       ■ 인증신청 단계 – 신청 시 제출 서류의 확대         ISMS와 ISMS-P 인증 신청 시, 현행 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」(고시)는 ‘정보보호 및 개인정보보호 관리체계 인증 신청서’ 상 첨부 서류로 관리체계 운영 명세서를 제출하도록 규정하고 있으나, 향후 인증 범위에 대한 자산 현황을 추가로 제출하도록 개정이 추진될 예정입니다.     ■ 예비심사 단계 – 예비 심사의 실질화         예비 심사는 인증 심사 계약 체결 전 심사 팀장이 신청 기관을 방문하여 인증 심사에 필요한 기초 자료 구비 유무, 인증 심사 준비 상태 및 운영 여부 등을 예비적으로 확인하는 단계입니다. 본건 개편안은 향후 예비 심사 단계를 보다 실질화하는 것을 내용으로 하는바, i) 예비 심사 단계에서 핵심 항목을 사전에 검증하게 하고, ii) 핵심 항목을 충족하지 못한 경우 인증 신청을 반려할 수 있게 하며, iii) ISMS(고위험·사고 기업) 및 ISMS-P 인증 대상 기업에 대해서는 취약점 진단, 모의 침투 등 기술 심사 방식을 적용하게 할 예정입니다.     ■ 본심사 단계 – 현장 실증형 심사 강화         본 심사는 서면 위주·샘플링 위주 점검에서 벗어나, 코어 시스템을 중심으로 실제 운영 환경을 검증하는 현장 실증형 심사 방식으로 전환될 예정입니다. 이에 따라 정보보호 관리체계가 문서상으로 적정하게 구축되어 있는지 여부가 아니라, 실제 시스템 및 운영 프로세스가 인증 기준에 맞게 작동하고 있는지를 중심으로 평가가 이루어지게 됩니다.     ■ 사후심사 단계         현행 규정상으로 사후 심사는 인증 기업의 신청에 따라 연 1회 이루어지나, 본건 개편안에 따르면 인증 기업에서 개인정보 유출 사고가 발생한 경우에는 즉시 특별 사후 심사를 실시할 수 있도록 관련 규정이 개정될 예정입니다. 이러한 특별 사후 심사에서는 심사 인력과 기간이 기존 대비 2배로 확대되며, 사고 원인과 재발 방지 조치, 인증 기준 충족 여부 등에 대한 집중 점검이 이루어질 것으로 보입니다. 이 과정에서 핵심 항목 미충족 등 중대한 결함이 발견되는 경우, 인증 위원회의 심의·의결을 거쳐 인증이 취소될 수 있게 됩니다.         사후 심사의 실무에 있어서도, 심사 팀장 1인이 방문하여 진행하던 방식에서, 결함 발생 수준에 따라 추가 심사 인력을 투입할 수 있도록 심사 인력과 방식이 강화될 예정입니다. 이를 통해 인증 유지 단계에서도 인증 기준 충족 여부를 보다 면밀하게 확인할 수 있게 됩니다. 2. 향후 일정     본건 개편안은 과학기술정보통신부·개인정보보호위원회·인증기관 합동 제도 개선 TF에서 최종 확정될 예정이며, 2026년 1분기 중 고시를 개정하는 것을 시작으로, 「개인정보 보호법」 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 개정까지 단계적으로 추진될 것으로 보입니다. 2025.9. 발표된 개인정보보호위원회의 ‘개인정보 안전관리체계 강화 방안’에 따르면, ISMS-P의 의무화는 2026년 하반기까지 완료하는 것을 목표로 합니다. 3. 시사점     본건 개편안은 ISMS·ISMS-P 인증 제도 전 과정에서 인증 기준 충족 여부에 관한 검증을 강화하고, 현장 중심 점검을 확대하는 것을 핵심으로 하고 있으며, 이에 따라 향후 인증 취득·유지의 난이도가 이전보다 높아질 것으로 예상됩니다. 특히 예비 심사에서부터 기술 심사가 도입되고, 본 심사에서 실제 운영 환경 기반의 점검이 강화됨에 따라, 기업은 관리 체계 전반의 기술적·관리적 취약 요소를 사전에 점검하고 필요한 개선 조치를 마련할 필요가 있습니다.     또한, 사고 기업에 대한 특별 사후 심사 제도가 새롭게 도입되면, 유출 사고 발생 시 기업들은 유출 사고에 대한 규제 기관의 조사뿐 아니라 특별 사후 심사에도 대응하여야 하므로 관련한 업무 부담 및 리스크가 현저히 증가할 것으로 예상됩니다.     아울러, 현행 「개인정보 보호법 위반에 대한 과징금 부과 기준」에서는 ISMS-P 인증을 받은 경우 개인정보 보호를 위한 노력을 인정하여 최대 50%의 과징금 감경이 가능하도록 규정하고 있으나, 개편된 인증 제도 하에서는 사고 발생 시 인증 취소 여부에 따라 과징금 감경 적용이 달라질 수 있으므로 이에 대한 고려가 필요합니다.     나아가, 2025.9 ‘개인정보 안전관리체계 강화 방안’에 따르면 개인정보보호위원회는 2026년 상반기까지 「개인정보 보호법 시행령」 및 「개인정보의 안전성 확보 조치 기준」을 개정하여, ‘주요 개인정보 처리 시스템을 대상으로 연 1회 모의 해킹 실시 및 정보통신망 관리 시스템 등에 대한 취약점 점검·보완’을 제도화할 예정입니다.     이와 같이 개인정보 보호를 위한 안전관리체계에 관한 규제가 강화되는 추세를 감안할 때, 기업들은 정보보호 인력과 예산을 확충하는 등 선제적으로 정보보호 역량을 강화하고, 개인정보 유출 등 사고 대응 체계 또한 보다 강화하여야 할 것입니다. 법무법인(유) 광장 개인정보/DPC 그룹은 개인정보 전문 변호사, 규제 기관 출신 및 보안 기술 전문가 등 50여 명의 전문가들이 포진하여 있으며, 외부 IT/보안 전문가들과 튼튼한 협업 관계를 구축하고 있습니다. 이로써 ISMS·ISMS-P 인증 대응, 정보보호 거버넌스 구축, 개인정보 유출 사고 및 침해 사고 대응 등 개인정보 보호 및 정보 보안 영역 전반에 걸쳐 빠르고 정확한 원스톱 자문 서비스를 제공하고 있습니다.  

개인정보보호위원회가 2025. 6. 23. 본인전송요구권 확대를 위한 「개인정보보호법」 시행령 개정안(시행령개정안)을 입법예고하였습니다(의견제출기간: 2025. 8. 4.까지). 시행령 개정안에 의하면 기존에 의료·통신 분야에 한정되어 운영되던 본인 대상 정보 전송자와 전송 정보의 범위가 전 분야로 대폭 확대되며, 확대된 본인전송요구권을 행사하는 절차와 방법 등도 마련됩니다. 이에 법무법인(유) 광장 개인정보팀에서는 아래와 같이 시행령 개정안의 주요 내용과 시사점에 대하여 설명드리겠습니다. I. 주요 내용     1. 본인 대상 정보 전송자 및 전송 정보 기준의 전 분야 확대         1) 정보 전송자 기준의 대폭 확대             기존 의료·통신 분야에서 전 분야로 확대되면서, 본인 대상 정보 전송자(개인정보 처리자)의 기준은 다음과 같이 설정되었습니다.             ■ [대규모 기업] 연간 매출액 등 1,500억원 이상이고 정보 주체 수 100만명 이상 또는 민감·고유 정보 5만명 이상 대규모 기업             ■ [대학] 재학생 2만명 이상 대학             ■ [공공기관] 공공 시스템 운영 기관             ■ [기존 제3자 대상 정보 전송자] 의료·통신·에너지 분야             ■ 기타 개인정보 보호 위원회가 별도로 고시하는 자         2) 전송 정보 범위의 명확화               시행령 개정안에 따른 전송 요구권 행사에 대상이 될 수 있는 정보의 기준은 다음과 같습니다.               ■ [전송 요구권 행사 대상] 정보 주체의 동의, 계약 이행 및 체결 시 처리되는 정보, 법령 등에 따라 처리되는 정보 중 개인정보 보호 위원회가 심의·의결한 정보로서 정보 처리 장치로 처리되는 개인정보               ■ [전송 요구권 제외 대상] ① 개인정보 처리자가 분석·가공하여 별도 생성한 정보, ② 제3자의 권리·이익을 침해하는 정보, ③ 복호화되지 않도록 암호화된 정보       2. 정보 전송의 방법         1) 전송 방법의 다양화               시행령 개정안은 본인 전송 방법으로 기존 웹사이트에서 접속하여 열람·조회할 수 있는 정보를 암호화된 파일로 정보 주체가 직접 내려받는 방식도 가능하다고 명시하여, 정보 전송자가 큰 부담 없이 정보 주체에게 정보를 전송할 수 있도록 하였습니다.           2) 대리인을 통한 전송 요구 시 안전성 강화               시행령 개정안에서는 정보 주체가 대리인을 통해 본인 전송 요구를 행사할 경우 개인정보를 안전하게 전송할 수 있는 방법이 새롭게 규정되었습니다.               ■ [원칙] API 연계 방식 권장, 특히 대리인이 자동화된 도구를 이용하는 경우 개인정보의 안전성 확보를 위해 정보 전송자와 사전에 협의한 방식으로만 전송               ■ [예외] 사전 협의를 거친 안전성·신뢰성이 보장된 개인정보 관리 전문 기관 등에 한정하여 제한적으로 스크래핑(scraping) 허용       3. 개인정보 관리 전문 기관을 통한 본인 전송 요구권 행사 지원           안전성·신뢰성이 보장된 전문 기관이 정보 주체의 본인 전송 요구 권리 행사를 지원하고 안전한 개인정보 관리를 할 수 있도록 하였습니다.         시행령 개정안에 의하면 정보 주체는 전문 기관을 통해 본인 전송 요구를 할 수 있고, 이 경우 개인정보 관리 전문 기관은 정보 주체 본인만이 접근 가능한 저장소에 전송받은 정보를 저장해야 하며, 정보 주체의 위임에 따라 전문 기관이 이를 관리·분석할 수 있습니다.       4. 통합 조회형 전문 기관 도입         시행령 개정안에서는 본인 전송 정보에 대한 전문 기관의 관리·분석 업무를 수행하는 “본인 전송 요구 기반의 통합 조회형 전문 기관”을 새롭게 도입하였으며, 개인정보 보호 위원회는 해당 업무 수행을 위한 산업계 정보 제공 요청서(RFI)를 공개하였습니다. II. 시사점     개인정보 전송 요구권을 기반으로 하는 마이 데이터는 서로 다른 분야 간 데이터의 이동 및 연계가 그 성패를 가르는 핵심 사항이므로, 그간 개별 분야에서 독립적으로 추진·발전되어 온 마이 데이터를 전 분야로 확대하기 위해서는 정보 전송자 및 전송 정보 범위 기준, 그리고 정보 전송 방법 및 절차 관련 사항을 입법으로 명확히 하여 법적 안정성을 도모할 필요가 있다는 산업계의 요구가 있었습니다.     제3자 전송 요구권 위주로 추진되어왔던 마이 데이터 전 분야 확대 정책이 유통 분야와 관련하여 규제 개혁 위원회에서 영업 비밀 침해 우려와 사업자에 대한 과도한 부담을 줄 우려가 있다는 지적에 부딪히기도 하였는데, 이번 시행령 개정안을 통해 정보 주체의 기본 권리인 본인 전송 요구권의 확대가 이루어질 경우 이종 데이터 간의 연계가 좀 더 용이해지는 한편 개별 정보 주체가 개인정보를 주도적으로 관리하고 활용할 수 있는 마이 데이터 사업의 전환점이 될 것으로 예상됩니다. 그리고 시행령 개정안은 안전성·신뢰성이 보장된 개인정보 관리 전문 기관 등에 한하여 스크래핑 방식도 예외적으로 허용하여서 서비스 제공 방식의 유연성을 고려하였다는 점도 주목할 부분입니다.     시행령 개정안의 적용 대상 사업자들은 기존 웹사이트의 열람·조회 기능을 활용한 암호화 파일의 다운로드 시스템을 구축할 필요가 있는지 점검하여야 할 것입니다. 동시에 홈페이지에 본인 전송 요구 방법 및 절차를 구체적으로 안내하고, 고객 대리인에 대한 검증 프로세스를 마련하는 등 시행령 개정안의 내용을 선제적으로 확인하고 서비스 설계에 반영할 것이 권장됩니다. 또한, 리스크 관리 측면에서, 개인정보를 분석·가공하여 생성한 정보를 명확히 구분하여 이를 전송 대상에서 확실히 제외하고, 제3자의 권리·이익을 침해할 수 있는 정보의 전송을 방지하는 내부 검토 체계 마련 등의 조치를 강구하는 것이 바람직합니다.     그리고 향후 개인정보 관리 전문 기관 사업을 고려하는 사업자들은 “본인 전송 요구 기반의 통합 조회형 전문 기관”이 새롭게 도입됨에 따라 개인정보 보호 위원회가 공개한 정보 제공 요청서(RFI)를 확인하고, 안전성·신뢰성이 보장되는 개인정보 관리·분석 기술 개발 및 기타 컴플라이언스 관련 준비를 완료할 필요가 있겠습니다.     한편, 마이 데이터 사업은 민간 영역의 자생하는 비즈니스 모델 및 데이터 이동에 대한 보상 체계가 명확하게 수립되지 않는 한 그 지속 가능성을 담보하기 어렵다는 지적이 지속적으로 제기되고 있으므로, 이러한 문제점을 극복하기 위한 법령의 개정 및 정책의 변화 여부를 계속해서 지켜볼 필요 또한 있겠습니다. 저희 법무법인(유) 광장의 개인정보 팀은 「개인정보 보호법」에 따른 개인정보 전송 요구권 제도 시행 이전에 이미 「신용정보법」상 금융 마이 데이터 관련 본인 신용 정보 관리업 허가 취득 등 제반 자문 업무를 성공적으로 완료한 바 있으며, 현재도 다양한 분야의 마이 데이터에 관하여 선도적으로 자문 활동을 수행해왔습니다. 마이 데이터의 전 분야 확대에 따른 법률상 이슈 또는 시행령 개정안에 관련하여 자문이 필요하신 경우, 법무법인(유) 광장 개인정보 팀에 언제든지 문의하여 주시기 바랍니다.  

금융위원회는 2024.8.13. 급변하는 IT 환경하 금융산업의 경쟁력 제고를 위한 「금융분야 망분리 개선 로드맵」(이하, 로드맵)을 발표하였습니다. 이는 금융위원회가 지난 4월부터 운영해온 「금융권 망분리 T/F」에서 논의된 내용을 바탕으로 망분리 개선을 위한 세부 추진 과제와 금융보안체계의 선진화 방향을 담고 있습니다.   금융권에 망분리 정책이 도입된 이후 국내 금융권은 망분리를 통하여 해킹 등 각종 보안 위협으로부터 고객 정보와 영업 비밀을 지킬 수 있었지만, 클라우드ㆍAI 등 급변하는 IT 환경하에서 일률적으로 집행되어온 망분리 정책은 우리나라에만 존재하는 대표적인 “갈라파고스 규제”로서 국내 금융산업의 글로벌 경쟁력을 저해하는 요인으로 지적받아왔습니다.   로드맵은 ① 금융회사 및 전자금융업자(이하, 금융회사 등)의 생성형 AI 활용 허용, ② 클라우드 기반의 응용 프로그램 이용 범위의 대폭 확대, ③ 금융회사 등의 연구ㆍ개발 환경 개선, ④ 2단계 샌드박스 등 규제 특례의 고도화 추진을 주요 내용으로 하며, 로드맵의 마련으로 금융 분야 AI, IT 개발의 활성화와 함께 금융 분야 데이터의 활용도 크게 증가할 것으로 예상됩니다.   이에 법무법인(유) 광장 개인정보 및 정보보호 그룹/Tech&AI팀/디지털금융팀에서는 아래와 같이 로드맵의 추진 배경, 주요 내용, 그리고 그 시사점에 대하여 설명드리겠습니다.   I. 추진 배경     ■ 망분리로 인해 금융회사 등의 업무상 비효율**이 클 뿐만 아니라, 신기술 활용이 저해되고 연구ㆍ개발이 어렵다는 규제 개선 요청이 지속 제기되어왔습니다.   특히, 소프트웨어 시장이 자체 구축형에서 클라우드 기반의 구독형으로 빠르게 전환되고, 생성형 AI의 활용이 산업의 미래를 좌우하는 상황에서, 망분리는 업무상 불편을 넘어 금융 경쟁력 저하 요인으로 지속적으로 지적받아왔습니다.       ■ 금융권 망분리 의무화 시행 이후 약 10년이 경과한 현재, 금융위원회는 망분리 규제를 개선하고, 중ㆍ장기적으로 금융보안법ㆍ제도를 전면 개편하는 등 **혁신과 보안의 새로운 균형**을 찾기 위한 패러다임 전환을 추진하기 위하여 로드맵을 수립ㆍ발표하였습니다. II. 주요 내용     1. 금융회사 등의 생성형 AI 활용 허용         ■ 금융위원회는 샌드박스를 통해 인터넷 활용 제한 등에 관련한 규제 특례를 허용하여, 금융권도 클라우드 기반의 인터넷 환경에서 제공되는 생성형 AI를 도입ㆍ활용할 수 있도록 하겠다는 입장을 표명하였습니다.           ■ 이와 함께, 금융위원회는 생성형 AI의 활용에 따라 예상되는 리스크에 대한 보안 대책을 샌드박스의 조건으로 부과하고, 금융감독원ㆍ금융보안원이 신청 기업별 보안 점검ㆍ컨설팅을 실시하는 등 금융권의 생성형 AI 활용에 대비한 안전장치를 마련할 계획이라고 밝혔습니다.       2. 클라우드 기반의 응용 프로그램 이용 범위의 대폭 확대         ■ 금융위원회는 클라우드 기반의 응용 프로그램(이하, SaaS)의 이용 범위를 보안 관리, 고객 관리(CRM) 등의 업무에까지 확대하고, 가명 정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용하는 등 SaaS 활용도를 제고할 계획입니다.         ■ 생성형 AI 활용의 경우와 마찬가지로, 금융위원회는 금융기관의 SaaS 활용과 관련하여서도 규제 특례 확대에 따른 보안 우려에 대응하기 위해, 보안 대책을 마련하여 이를 샌드박스의 지정 조건으로 부과할 계획이라고 밝혔습니다.     3. 금융회사 등의 연구ㆍ개발 환경 개선         ■ 금융위원회는 「전자금융감독규정」 개정을 통하여 금융회사 등이 연구ㆍ개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 제한을 완화하고, 가명 정보 활용을 허용하는 등 혁신적인 금융 상품을 개발할 수 있는 환경을 제공하겠다는 입장을 밝혔습니다.         ■ 위와 같은 「전자금융감독규정」 개정은 2022.11. 연구ㆍ개발 환경에서 인터넷을 자유롭게 활용할 수 있도록 이루어진 규제 개선의 후속 조치로서, 연구ㆍ개발 환경의 유기적 통합 및 개인 신용정보 활용 허용 등에 따라 고객별 특성ㆍ수요에 맞는 혁신적인 서비스 연구ㆍ개발에 기여할 것으로 예상됩니다.     4. 2단계 샌드박스 등 규제 특례의 고도화 추진         ■ 금융위원회는 ‘1단계 샌드박스’의 운영 성과와 안전성이 충분히 검증될 경우, 이르면 내년 ‘2단계 샌드박스’를 추진하여 금융회사가 가명 정보가 아닌 개인 신용정보까지 직접 처리할 수 있도록 규제 특례의 고도화도 추진할 계획입니다.         ■ 이와 관련하여, 금융위원회는 데이터 활용 범위 증가에 따른 추가 보안 대책 등도 함께 부과할 계획이라고 밝혔습니다. III. 시사점     로드맵에 의하면, 금융회사 등은 샌드박스를 통해 그간 사용이 제한되어왔던 생성형 AI를 활용할 수 있게 되고, 활용할 수 있는 SaaS의 업무 범위가 대폭 확대됩니다. 이에 따라 금융산업 전반의 경쟁력이 크게 제고될 것으로 기대되고, 특히 AI와 SaaS 기반의 업무 자동화, 전사적 경영관리(ERP), 준법 감시 프로그램 등 도입에 따라 금융권의 업무 생산성이 향상되며, 빅데이터 분석 등 금융 데이터의 활용도 증가할 것으로 예상됩니다.     한편, 금융위원회는 샌드박스의 조건으로 ‘예상되는 리스크에 대한 보안 대책’을 부과할 것이라 밝혔습니다. 이에 향후 구체화될 예정인 ‘보안 대책’의 내용 등을 참고하여, 사전 준비가 필요한 사항들을 검토하는 등 선제적으로 대응할 필요가 있겠습니다. 저희 법무법인(유) 광장의 개인정보 및 정보보호그룹/Tech&AI팀/디지털금융팀은 망분리뿐만 아니라 AI, 클라우드를 포함하는 다양한 업무에 관한 자문 업무를 성공적으로 완료한 바 있으며, 금융 및 IT 분야에 대한 규제 환경 변화를 지속적으로 모니터링하고 관련 업계에 미칠 영향을 심층적으로 분석하여 최적의 솔루션을 신속하게 제공하여 드릴 것을 약속합니다. 로드맵 추진에 따른 자문이 필요하신 경우, 언제든지 법무법인(유) 광장 개인정보 및 정보보호그룹/Tech&AI팀/디지털금융팀에 문의하여 주시기 바랍니다.