본 논문은 2023년 전면 개정된 개인정보 보호법이 개인정보 유출에 대한 제재 체계를 형벌 중심에서 경제적 제재 중심으로 전환한 흐름을 분석하고, 이를 Sk텔레콤 대규모 개인정보 침해사고에 적용하여 형사책임과 행정제재, 손해배상의 쟁점을 종합적으로 검토한다. 먼저 개정 법령을 중심으로 벌칙, 과태료, 과징금, 손해배상 규정의 내용과 기능을 체계적으로 정리하고, 특히 과징금 상한을 ‘위반행위 관련 매출액’에서 ‘전체 매출액의 3%’로 확대한 배경과 의미, 그리고 개인정보 안전성 확보 의무 위반에 대한 형사처벌 규정 삭제의 영향 등을 분석한다. 다음으로 Lg유플러스 등 국내 주요 유출 사건과 19개국의 행정벌·형사벌 규정을 비교하여, 우리나라 제재 체계의 특징과 한계를 국제적 맥락에서 위치시킨다. 이러한 법제 분석을 토대로 Sk텔레콤 침해사고의 기술적·관리적 원인(계정정보 평문 저장, 핵심 식별정보 암호화 미이행, 신고 지연 등)을 개인정보 보호법상 안전조치의무, 유출 통지·신고 의무, 책임자 지정 의무 등의 위반 여부와 연결하여 검토한다. 그 결과, 2023년 개정법 아래에서 Sk텔레콤 사건은 대규모 과징금 부과와 과태료, 시정명령 및 피해자 손해배상책임이 중첩되는 전형적 사례로 평가되며, 형사처벌 규정 삭제로 인해 안전조치 의무 위반 자체에 대한 형사적 제재는 어려워진 반면, 경제적 제재와 징벌적 손해배상 제도를 통해 일정 부분 억지력이 보완되고 있음을 확인한다. 다만 대규모 유출 사건의 예방을 위해서는 과징금 강화만으로는 충분하지 않으며, 최고경영진과 개인정보보호책임자의 거버넌스 책임 명확화, 보안 인력·예산 확충, 핵심 개인정보 암호화와 침해사고 신속 신고·포렌식 등 구체적 관리체계 개선이 병행될 필요가 있다. 이러한 분석을 통해 개정 개인정보 보호법 제재 체계의 장단점을 평가하고, 경제적 제재·형사제재·민사적 구제를 조화시키는 향후 입법·정책 방향에 도움을 주고자 한다.
Youn Sung Choi (Tue,) studied this question.