대부분의 스타트업에서 CPO(개인정보보호책임자)는 CTO가 겸직하는 자리다. 명함에 한 줄 추가되는 정도. 그런데 9월 11일부터 이 그림이 법적으로 깨진다.
뭐가 바뀌었나
2월 12일 국회를 통과한 개인정보보호법 개정안은 조용하지만 결정적인 변화를 담고 있다. 과징금 10%나 유출 가능성 통지가 헤드라인을 잡았지만, 실제로 조직 운영에 가장 큰 파장을 줄 조항은 따로 있다.
사업주·대표자 = 개인정보의 안전한 처리 및 정보주체 권리 보호의 "최종 책임자".
이전까지 개인정보 관련 사고가 터지면 CPO가 실무 책임을 지고, CEO는 한 발 뒤에 서 있을 수 있었다. 이제 법이 명시적으로 대표이사를 최종 책임자로 찍었다. 사고가 나면 "나는 몰랐다"가 법적으로 통하지 않는 구조가 된 것이다. 실질적 관리 권한이 없었다는 항변도 쉽지 않다 — 법이 권한을 부여하라고 요구하기 때문에, 권한을 안 준 것 자체가 위반이다.
CPO, 더 이상 겸직으로 안 된다
개정안이 요구하는 보호책임자의 위상은 이전과 차원이 다르다.
이사회 의결로 지정 — 일정 규모 이상의 개인정보처리자는 보호책임자를 아무나 임명할 수 없다. 이사회가 의결하고, 개인정보보호위원회에 신고까지 해야 한다.
전문 인력과 예산 확보 의무 — "니가 알아서 해"라고 던져놓는 게 불법이 된다. 법적으로 인력과 예산을 보장해줘야 한다.
대표자 및 이사회 보고 의무 — 보호책임자가 이사회에 정기적으로 보고하는 구조. 사실상 C레벨 임원으로 격상시키는 조항이다.
EU GDPR의 DPO(Data Protection Officer) 제도를 떠올리면 감이 온다. GDPR DPO는 경영진에 직접 보고하고, 해임 보호까지 받는다. 한국도 비슷한 방향으로 가는 셈인데, GDPR보다 한 술 더 떴다. 대표이사를 "최종 책임자"로 명시한 건 EU에도 없는 조항이다.
"일정 규모 이상"이 어디까지냐
실무자들이 가장 궁금해하는 부분이다. 솔직히, 아직 모른다. 시행령이 확정되지 않았다. 2월에 법이 통과됐고, 하위 법령 개정안은 현재 입법예고 단계다.
다만 기존 법의 "일정 규모" 기준을 참고하면 연매출과 개인정보 처리 건수가 핵심 변수다. 소규모 스타트업이라도 수십만 명의 사용자 데이터를 다루고 있다면 대상이 될 가능성이 높다. B2C SaaS 하나만 운영해도 쉽게 넘는 숫자다. 시행령 확정 전이라도 미리 준비하는 게 맞다. 9월이 생각보다 빨리 온다.
스타트업이 당장 해야 할 것
조직도를 다시 그리는 건 하루아침에 되는 일이 아니다.
보호책임자 역할을 분리하라. CTO가 겸직하고 있다면 지금이 떼어낼 타이밍이다. 법이 요구하는 수준은 인사, 예산, 보고 체계까지 별도로 갖춰야 한다. 50명 미만 회사에서 전담 인력을 둘 여력이 없다면, 최소한 겸직이라도 공식화하고 업무 범위를 문서화해야 한다. "CTO가 알아서 하고 있었다"는 더 이상 답이 아니다.
이사회 보고 프로세스를 만들어라. 이사회가 있는 법인이라면, 분기별 보호 현황 보고를 안건에 넣어야 한다. 이사회 의사록에 "개인정보 보호 관련 보고를 받았음"이 남아야 한다. 나중에 사고 났을 때 대표이사의 면책 근거가 될 수 있다.
예산 항목을 만들어라. "보안 예산"과 별도로 "개인정보 보호" 라인을 예산에 잡아야 한다. 보호책임자가 예산을 확보했다는 증거가 되기 때문이다. 금액 자체가 아니라 항목이 존재한다는 게 중요하다.
이걸 왜 엔지니어링 조직이 신경 써야 하냐
법이 아무리 대표이사를 최종 책임자로 찍어도, 데이터 아키텍처와 접근 제어를 설계하는 건 결국 개발 조직이다.
보호책임자가 이사회에 보고할 내용을 생각해보자 — 암호화 현황, 접근 로그 관리, 유출 대응 체계, 동의 관리 시스템. 전부 기술 조직에서 나오는 것들이다. CTO가 이 흐름을 이해하고 있지 않으면, 보호책임자가 보고할 게 없다.
9월 전에 한 번은 앉아서 현재 데이터 처리 흐름을 처음부터 끝까지 정리하는 시간이 필요하다. 어디서 수집하고, 어디에 저장하고, 누가 접근하고, 언제 파기하는지. 이 지도가 없으면 새 법이 요구하는 의무를 이행할 방법이 없다. 컴플라이언스 팀한테 넘기기 전에, 엔지니어가 먼저 그려야 하는 지도다.