개인정보 유출 신고 45.6% 증가, 해킹 유출 급증에 과징금 1,677억 원 부과
2025데일리시큐
2025년 개인정보 유출 신고가 447건으로 전년 대비 45.6% 급증하고, 해킹이 62%를 차지하며 과징금 총액이 1,677억 원에 달했다는 개인정보위 집계.
이 보고서는 AI가 공개 데이터를 분석하여 생성한 참고 자료입니다. 법적 효력이 없으며, 중요한
결정 전 원문 출처를 확인하시기 바랍니다.
핵심 요약
2025년 3월 13일 시행된 개인정보 보호법 시행령 개정으로 개인정보 전송요구권(전 분야 마이데이터)이 본격 도입되었고, 2026년 2월 12일 국회 본회의를 통과한 개정 법률은 2026년 3월 10일 공포되어 2026년 9월 11일부터 시행된다. 핵심은 반복적이거나 중대한 위반에 대해 과징금 상한을 전체 매출액의 3%에서 10%로 상향하고, 산정 기준을 직전 사업연도 매출액과 최근 3개 사업연도 평균 매출액 중 더 큰 금액으로 변경한 점이다. 2025년 개인정보 유출 신고는 447건으로 전년 대비 45.6% 급증했으며 부과 과징금은 1,677억 원에 달했다. 동시에 2024년 3월 15일 시행된 자동화된 결정 거부권·설명요구권(제37조의2)과 2026년 개인정보위 업무계획의 AI 융합사회 정책이 결합되며, 정보주체 권리 강화와 기업의 컴플라이언스 부담 사이의 균형이 핵심 정책 쟁점으로 부상했다.
이슈 개요
핵심 쟁점
- / 과징금 상한 매출액 10% 상향 및 산정기준 변경
- / 개인정보 전송요구권(전 분야 마이데이터) 시행
- / 자동화된 결정에 대한 거부권·설명요구권
- / AI 융합사회와 개인정보 보호의 균형
- / 기업 컴플라이언스 부담 증가
검색 키워드
개인정보보호법 시행령 개정 2025개인정보위 과징금 매출 10%전 분야 마이데이터 전송요구권자동화된 결정 거부권 제37조의22026 개인정보보호위원회 업무계획
이해관계자 분석
개인정보보호위원회
규제기관정보주체 권리 강화와 실효적 제재를 통해 AI 융합사회의 신뢰 기반을 구축하려 함
주요 요구사항
- • 과징금 상한 매출 10% 상향의 안정적 집행
- • 전 분야 마이데이터 생태계 조성
- • AI·자동화 처리에 대한 사전적정성 검토 정착
IT·플랫폼 기업
산업계강화된 과징금 기준과 전송요구권 대응에 따른 컴플라이언스 부담 증가를 우려
주요 요구사항
- • 매출 기준 과징금 산정의 예측 가능성 확보
- • 전송요구권 이행 비용·표준화 지원
- • AI 서비스 혁신을 위한 명확한 가이드라인
정보주체(일반 국민)
수혜자개인정보 자기결정권 및 데이터 이동성 강화를 환영하나 유출 피해 확산을 우려
주요 요구사항
- • 유출 사고에 대한 실질적 제재와 피해 구제
- • 자동화된 결정에 대한 거부·설명권 실효적 보장
- • 마이데이터 전송의 안전성 확보
마이데이터 사업자·핀테크
산업계전송요구권 확대를 사업 기회로 보면서 데이터 표준화·보안 책임 증가를 인식
주요 요구사항
- • 표준 API 및 전송 인프라 정부 지원
- • 분야별 전송 데이터 범위의 조속한 확정
- • 보안 책임 분담 기준 명확화
시민단체·디지털권리 단체
시민사회AI 시대 정보주체 권리 보호 강화를 지지하며 기업 책임 강화를 촉구
주요 요구사항
- • 자동화된 결정 거부권의 실질적 작동
- • 딥페이크·AI 합성콘텐츠 삭제 요구권 신속 입법
- • 유출 기업에 대한 엄정한 제재
갈등 지점 분석
과징금 상한을 매출액 10%로 상향하는 제재 강화와 기업의 예측 가능성·과잉 제재 우려가 충돌
개인정보보호위원회 vs IT·플랫폼 기업
전 분야 마이데이터 전송요구권 확대에 따른 데이터 이동성 이익과 정보전송자의 이행 비용·보안 책임 부담이 충돌
정보주체(일반 국민) vs 마이데이터 사업자·핀테크
AI·자동화 처리에 대한 정보주체 거부·설명권 강화와 AI 서비스 혁신·영업비밀 보호 요구가 충돌
시민단체·디지털권리 단체 vs IT·플랫폼 기업
근거 및 데이터
관련 법령
개인정보 보호법
상태: 2026년 2월 12일 국회 본회의 통과, 2026년 3월 10일 공포, 2026년 9월 11일 시행
반복적·중대한 위반에 대한 과징금 상한을 전체 매출액의 3%에서 10% 이내로 상향
개인정보 보호책임자(CPO) 책임 명문화 및 독립성 강화
개인정보 보호 인증 의무화 및 유출 가능성 통지 의무 신설
개인정보 보호법 시행령
상태: 2025년 3월 13일 시행(전 분야 마이데이터 도입), 과징금 산정기준 개정안 2026년 시행
개인정보 전송요구권 적용 대상 정보전송자 범위 규정(보건의료·통신 등)
과징금 산정 시 직전 사업연도 매출액과 최근 3개 사업연도 평균 매출액 중 큰 금액 적용
전송요구권 행사 절차·전송 방식·수수료 등 세부 기준
개인정보 보호법 제35조의2(개인정보의 전송 요구)
상태: 2025년 3월 시행
정보주체가 본인이 제공·생성한 개인정보를 본인 또는 제3자에게 전송하도록 요구할 권리
의료·통신 분야부터 에너지·고용·교육·복지 등 전 산업으로 단계적 확대
정보전송자의 전송 의무 및 안전성 확보 조치
개인정보 보호법 제37조의2(자동화된 결정에 대한 정보주체의 권리 등)
상태: 2024년 3월 15일 시행
완전히 자동화된 시스템(AI 포함)의 결정이 권리·의무에 중대한 영향을 미칠 경우 거부권 부여
자동화된 결정의 기준·절차에 대한 설명요구권 부여
개인정보처리자의 결정 결과·주요 기준·처리 절차 설명 제공 의무
개인정보 보호법 위반에 대한 과징금 부과기준(고시)
상태: 2026년 개정안 시행
매우 중대한 위반행위에 대한 감경의 전부 또는 일부 적용 배제
매출 급증 IT·플랫폼 기업에 강화된 매출 기준 적용
개정 규정은 시행 이후 발생한 위반행위부터 적용(소급 미적용)
주요 통계 지표
2025년 개인정보 유출 신고 건수
447건(전년 307건 대비 45.6% 증가)
개인정보보호위원회, 데일리시큐 보도 · 2025
2025년 개인정보 유출 관련 부과 과징금 총액
1,677억 원
개인정보보호위원회, 데일리시큐 보도 · 2025
2025년 과징금·과태료 부과 규모 증가율
전년 대비 172% 증가(약 1,083억 원 증가)
개인정보보호위원회, 데일리시큐 보도 · 2025
2025년 해킹에 의한 개인정보 유출 비중 및 관련 과징금
유출 원인 중 해킹 276건(62%), 해킹 유출 과징금 1,440억 원(전체 91%)
개인정보보호위원회, 데일리시큐 보도 · 2025
마이데이터 서비스 이용자 수(2025년 5월말 기준)
약 1억 6,531만 명, 14세 이상 1인당 약 3.5개 서비스 이용
금융위원회 마이데이터 2.0 보도자료 · 2025
2026년 개인정보보호위원회 예산
729억 원(2025년 대비 70억 원 증액, 마이데이터 관련 116억 원 편성)
개인정보보호위원회, 뉴스토마토·바이라인네트워크 보도 · 2026
뉴스 및 언론 보도
기사 원문 읽기 →
개인정보유출 과징금 세진다, 중대위반 감경제한·매출기준 강화
2026-05-18파이낸셜뉴스
개정 시행령·고시로 과징금 산정 시 직전 사업연도 매출액과 3개년 평균 매출액 중 큰 금액을 적용하고, 매우 중대한 위반은 감경을 배제하도록 강화.
매출 10% 과징금 도입, 반복·중대 개인정보 유출 엄정 대응
2026-05-12파이낸셜뉴스
고의 또는 중과실로 대규모 유출 발생 시 2026년 9월 11일부터 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 제도가 개편된다는 내용.
개인정보 보호법 개정안 국회 본회의 통과
2026법률신문
2026년 2월 12일 국회 본회의를 통과한 개정안이 과징금 상한 10% 상향, CPO 책임 명문화, 보호 인증 의무화 등을 담았다는 분석.
2026년도 개인정보보호위원회 업무 추진계획 발표(개인정보 보호 신뢰 기반의 AI융합사회 촉진)
2025-12-12대한민국 정책브리핑
개인정보위가 실효적 제재, 선제적 예방, 신뢰 기반 AI 사회 구축, 생활 프라이버시 보호, 글로벌 데이터 네트워크 등 5대 추진방향을 발표.
정부 대응 계획
2026년도 개인정보보호위원회 업무 추진계획
개인정보보호위원회 · 2025-12-12
- • 실효적 제재 및 보호투자 촉진(과징금 산정기준 강화 연계)
- • AI 등 신기술 기획 단계부터 사전적정성 검토제 운영
- • 딥페이크 등 AI 합성콘텐츠에 대한 정보주체 삭제 요구권 및 사업자 조치 의무 신설 추진
전 분야 마이데이터 전송요구권 보장 및 지원 플랫폼 구축 사업
개인정보보호위원회 · 2026
- • 개인정보 전송요구권 보장 사업에 54억 원 편성
- • 마이데이터 지원 플랫폼 구축 및 지원 사업에 62억 원 편성
- • 의료·통신에서 에너지·고용·교육·복지 등 전 산업으로 단계적 확대
전 분야 마이데이터 개인정보 전송요구권 제도 안내서 발간
개인정보보호위원회 · 2025-04-29
- • 정보전송자·수신자 범위 및 전송요구권 행사 절차 안내
- • 기업의 전송 대응 체계 구축 및 보호 담당자 배치 권고
- • 안전한 전송을 위한 표준화·인증 가이드 제시
정책 대안 평가
단계적 시행과 컴플라이언스 지원 병행
실현가능성: high
과징금 강화·전송요구권을 예정대로 시행하되 중소기업 대상 컴플라이언스 컨설팅, 표준 API, 가이드라인을 정부가 집중 지원한다.
장점 (Pros)
- + 정보주체 권리 보호와 산업 적응을 동시에 도모
- + 중소·중견기업의 적응 부담 완화
- + 제도 안착의 예측 가능성 확보
단점 (Cons)
- − 정부 지원 예산·인력 추가 소요
- − 지원 격차로 형평성 논란 가능
국제 선례: EU GDPR 시행 시 중소기업 대상 가이드라인·DPO 지원 프로그램 운영
제재 중심 강행
실현가능성: medium
과징금 상한 10%와 감경 배제를 엄격히 적용하고 반복·중대 위반에 강력히 제재한다.
장점 (Pros)
- + 유출 억지력 극대화
- + 기업의 보안 투자 유인 강화
단점 (Cons)
- − 과잉 제재·경영 위축 우려
- − 산정 기준 불확실성에 따른 소송 증가 가능
국제 선례: EU GDPR 전체 매출 4% 상한 및 대형 빅테크 거액 과징금 부과 사례
AI·자동화 결정 규율 우선 정비
실현가능성: medium
자동화된 결정 거부·설명권과 AI 합성콘텐츠 삭제권 등 AI 시대 권리 규범을 우선 정비한 뒤 제재를 적용한다.
장점 (Pros)
- + AI 융합사회 신뢰 기반 선제 구축
- + 기술 변화에 대응한 권리 공백 최소화
단점 (Cons)
- − 기준 정립 지연 시 규제 불확실성 지속
- − 기존 유출 제재 강화 동력 약화 우려
국제 선례: EU AI Act 및 GDPR 제22조 자동화된 의사결정 규율
최종 권고
권고안 (Primary Option)
단계적 시행과 컴플라이언스 지원 병행
2025년 유출 신고가 45.6% 급증하고 과징금이 1,677억 원에 달한 상황에서 제재 강화의 정당성은 충분하나, 매출 10% 상한과 전 분야 전송요구권이 동시에 시행되면 특히 중소·중견기업의 적응 부담이 크다. 정보주체 권리 보호와 산업 경쟁력을 함께 확보하려면 예정된 시행 일정을 유지하되 표준화·가이드라인·컨설팅 지원을 병행하는 것이 가장 현실적이다.
이행 단계
- 1. 2026년 9월 11일 시행 전까지 산정기준·감경 배제 적용 사례 가이드라인 공표
- 2. 전 분야 마이데이터 표준 API와 보안 인증 체계를 정부 예산 116억 원으로 구축
- 3. 중소·중견기업 대상 컴플라이언스 컨설팅 및 CPO 역량 강화 프로그램 운영
- 4. 자동화된 결정 거부·설명권 및 AI 합성콘텐츠 삭제권 후속 고시·안내서 정비
- 5. 시행 1년 후 과징금 부과·전송요구권 이행 현황 평가 및 제도 보완
기대 효과
- → 개인정보 유출 신고·과징금 증가세 둔화 및 보안 투자 확대
- → 전 분야 마이데이터 생태계의 안정적 확산
- → AI·자동화 처리에 대한 정보주체 신뢰 제고
위험 요소 (Risk Factors)
- ! 산정 기준 불확실성에 따른 기업 소송·행정 분쟁 증가
- ! 전송요구권 확대 과정의 데이터 유출·보안 사고
- ! 지원 격차로 인한 중소기업 경쟁력 약화