법무법인(유) 화우

'근로자 추정제도' 도입 논의의 문제점과 관련해 화우 김대연 변호사의 기고문이 한국경제에 게재되었습니다.

• #인사 · 노동

근로자 추정제 도입과 '업무상 지휘·감독' 여부와 관련해 화우 홍성 변호사의 견해가 실린 기사입니다.

• #인사 · 노동

화우가 국제조세 환경 변화에 대응하기 위한 전략을 공유하는 세미나를 개최합니다.

• #지식재산권
• #상표 ∙ 디자인 ∙ 부정경쟁
• #저작권
• #지식재산권
• #상표 ∙ 디자인 ∙ 부정경쟁
• #저작권

법무법인(유한) 화우의 김제오 전문위원이 2026 건설기술인의 날을 맞아 국토교통부 장관 표창을 수상했습니다. 김제오 전문위원은 건설기술 발전에 기여한 점을 높이 평가받아 이번 표창을 받게 되었습니다.

• #건설

법무법인(유한) 화우는 노란봉투법을 둘러싼 핵심 쟁점을 짚어보고, 건설기업이 직면할 수 있는 법적·경영상 리스크를 진단하는 한편, 분쟁 예방과 대응을 위한 실질적인 전략 방향을 함께 모색하고자 합니다. 변화의 국면에서 선제적인 대응 전략을 고민하는 의미 있는 논의의 장에 귀사를 초청드립니다.

• #인사 · 노동
• #노동분쟁
• #집단노사관계

법무법인(유한) 화우의 이수경 파트너변호사가 부가통신사업 분야에서의 공로를 인정받아 방송통신위원회 위원장 표창을 수상했습니다. 이수경 변호사는 부가통신 이용자 보호 관련 정책 및 제도 운영 과정에서 전문적인 법률 자문과 실무 지원을 통해 이용자 권익 보호와 제도 안정화에 기여한 점을 높이 평가받아 이번 표창을 받게 되었습니다.

• #TMT

윤호일 명예대표변호사, 안상현 변호사, 김명안·곽지원 외국변호사가 홍콩 소재 사내변호사 전문 법률매체 인하우스 커뮤니티(In-House Community)가 선정하는 '올해의 우수 변호사’ 명단인 Commended External Counsel of the Year 2025에 이름을 올렸습니다. 인하우스 커뮤니티는 매년 사내변호사들의 추천과 독자적인 리서치를 바탕으로 추천할 만한 외부 변호사를 선정해 Commended External Counsel of the Year로 소개하고 있습니다. 한국에서는 총 21명이 선정되었으며 그 중 4명이 화우에서 선정되는 성과를 거뒀습니다. 전체 선정자 명단(한국편)은 아래 링크에서 확인하실 수 있습니다. IHC Commended External Counsel of the Year 2025 – South Korea

• #관세 ∙ 국제통상

2025. 6월경 부산세관은, 국내에 소재한 S사가 HS-CODE 제3824호의 화학조제품(관세율 8%)으로 분류하여 수입해오고 있던 ‘고양이 모래’가 오직 천연성분으로만 구성되어 있다는 점을 근거로, HS-CODE 제3505호의 프리젤라티나이즈드 전분(변성전분의 일종, 관세율 385.7%)에 분류되어야 한다는 견해를 표명하였습니다. 이와 같이 ‘고양이 모래’의 HS-CODE가 제3505호로 결정될 경우, S사가 최근 5년간 수입한 고양이 모래에 대하여 600억원대의 관세 추징이 발생하므로, S사 입장에서는 더 이상 사업을 영위하기 어려운 곤란한 상황에 처해 있었습니다. 이에, 화우는 ‘고양이 모래’의 수출자인 P사와 수입자인 S사를 동시에 대리하여, ‘고양이 모래’의 성분만을 기준으로 HS-CODE를 분류해서는 안되며, 최종제품의 본질적인 특징과 제조공정 등을 종합적으로 두루 고려하여, HS-CODE를 결정하여야 한다는 점을 주장하였습니다. 또한, 본 사건이 관세불복이나 소송으로 이어질 경우에 소요되는 시간과 비용을 절감하기 위하여, 먼저 관세청 산하 품목분류협의회의 결정을 받아볼 필요가 있다는 의견을 적극적으로 피력하였습니다. 결국 품목분류협의회에서는 화우의 논리를 그대로 수용하여, ‘고양이 모래’의 HS-CODE를 제3824호로 결정하였습니다. 이로써, 화우는 약600억원 상당의 관세 추징시도를 성공적으로 방어하였고, 수입자 S사와 수출자 P사 입장에서는 관세불복 및 소송에 따른 시간과 비용도 대폭 절감할 수 있었습니다. 이와 같이, 관세당국과 수입자 간에 수입물품의 HS-CODE 분류에 이견이 발생하면 예상치 못한 고액의 세액이 발생할 수 있고, 이를 관세불복 및 소송 등을 통해 해결하고자 하는 경우 납세자 입장에서는 소송에서 승소하더라도 많은 시간과 비용이 발생할 수밖에 없습니다. 따라서 불복절차에 돌입하기 전에, 조기에 품목분류협의회 등으로부터 유리한 결정을 받았다는 점에서 본 사례는 상당히 중요한 의미가 있습니다.

• #관세심사 ∙ 관세조사
• #품목분류 자문
• #관세심사 ∙ 관세조사
• #품목분류 자문

채권자는 카카오톡 이모티콘 샵 등에 출시하여 판매되는 채무자의 이모티콘에 대하여 자신의 이모티콘 캐릭터와 그 형태가 유사하다는 점을 주장하며 판매금지 등을 가처분으로 구하였으나, 재판부는 2025년 11월 28일 기각 판결을 내렸습니다(대전지방법원 저작권침해금지가처분). 이것은 이미 출시일이 상당히 경과하여 보전의 필요성이 부정된 사례로서, 일반적인 캐릭터 저작물과 구별되는 이모티콘의 특수성을 강조하여 보전의 필요성을 부정하는 결정을 이끌어 냈다는 점에서 의미가 있는 사안으로 평가됩니다. 

• #지식재산권

법무법인(유한) 화우는 제강사들이 철스크랩 구매시장에서 구매 기준가격을 담합하였다는 이유로 공정거래위원회(이하 “공정위”)가 부과한 시정명령 및 과징금 처분의 취소를 구하는 행정소송에서, 원고(현대제철)를 대리하여 과징금 처분 취소 판결을 이끌어 냈습니다. 화우는 이 사건에서 과징금과 관련하여, (1) 원고가 당초 관련매출액 자료에 일부 부정확한 부분이 있음을 명시하여 공정위에 제출하였고, 이후 공정위 의결이 이루어지기 전에 이를 정정한 관련매출액 자료를 다시 제출하였다면, 정정된 자료에 기초하여 관련매출액이 산정되어야 하고, 이와 달리 정정 전 자료에 기초하여 과징금을 부과한 것은 위법하다는 점, (2) 특별구매 중 하치장단가 구매분과 발생처 직구매분의 매입액 등은 담합행위의 영향을 받지 않아 관련매출액에서 제외되어야 한다는 점, (3) 국민신문고를 통해 담합행위에 대한 접수가 이루어졌고 해당 신고접수인에게 공정위가 신고포상금을 지급한 경우 직권조사 사건이 아닌 신고사건에 해당하는 것으로 보아야 하고, 이에 따라 과거 법위반횟수에 따른 과징금 가중에 있어 기산점은 신고접수일로 보아야 함을 전제로, 원고에 대한 과거 법위반행위 횟수 산정에 위법이 있다는 점 등 법리적 쟁점들을 적극적으로 주장하였습니다. 서울고등법원은 화우의 위 주장들을 받아들여 공정위의 과징금 부과처분을 취소하였고, 그 결과 원고에게 부과된 909억원의 과징금 중 상당부분의 취소가 가능하게 되었습니다. 이 사건은 부당공동행위 사건에서 공정위에 제출하는 관련매출액 자료의 정정, 관련매출액에 포함될 수 있는 관련상품의 범위, 과거 법위반횟수에 따른 과징금 가중의 기산점 등에 관해 의미 있는 판단을 하였다는 점에서 주목할 만한 판결입니다.

• #공정거래
• #소송 ∙ 중재

개정 노동조합법(일명 ‘노란봉투법’) 시행 이후 약 24일 만에, 노동위원회에서 하청노조에 대한 원청의 사용자성을 인정한 첫 판단이 나왔습니다. 충남지방노동위원회는 2026. 4. 2. 한국자산관리공사 등 4개 공공기관에 대해 제기된 ‘교섭요구 사실 공고에 대한 시정신청’을 모두 인용하였습니다. 이는 개정 노동조합법 시행 이후 원청의 사용자 책임을 명시적으로 전제로 한 첫 판단 사례라는 점에서 중요한 의미를 가집니다. 1. 사건의 배경2. 쟁점 및 판단3. 시사점 1. 사건의 배경 민주노총 공공연대노동조합은 개정 노동조합법 시행 이후 한국자산관리공사, 한국원자력안전기술원, 한국원자력연구원 및 한국표준과학연구원 등 4개 공공기관을 상대로 단체교섭을 요구하였습니다. 그러나 위 공공기관들은 교섭요구 사실을 공고하지 않았고, 이에 노동조합은 2026. 3. 13. 충남지방노동위원회에 ‘교섭요구 사실 공고에 대한 시정신청’을 제기하였습니다.  2. 쟁점 및 판단 본 사안의 핵심 쟁점은 원청인 공공기관들이 하청 근로자에 대하여 노동조합법상 ‘사용자’에 해당하는지 여부였습니다. 충남지방노동위원회는 조사 및 심문 결과를 토대로, 용역계약서 및 과업내용서 등에 비추어 각 공공기관이 하청 근로자들의 안전관리 및 인력배치 등에 관하여 실질적인 영향력을 행사하고 있다고 보았습니다. 이에 따라 위 공공기관들이 노동조합법상 사용자에 해당한다고 판단하였고, 그 결과 노동조합의 교섭요구 사실을 공고할 의무를 부담한다고 결정하였습니다.  3. 시사점 이번 결정은 개정 노동조합법 시행 이후, 공공기관인 원청에 대해 노동조합법상 사용자성을 인정한 최초 사례라는 점에서 중요한 의미를 갖습니다. 특히 노동위원회가 용역계약서, 과업내용서 등 문서뿐 아니라 심문 등을 통해 확인되는 실제 운영 실태를 종합적으로 고려하여 원청의 노동조합법상 사용자 지위를 인정하였다는 점에 주목할 필요가 있습니다. 또한 이러한 판단 기준은 공공기관에 한정되지 않고 민간 기업에도 동일하게 적용될 것으로 예상됩니다. 이번 사례는 개정 노동조합법 하에서 원청의 사용자성 관련 분쟁이 이미 현실화되었음을 보여주는 초기 사례입니다. 노동위원회 절차가 단기간 내 신속하게 진행된다는 점을 고려할 때 기업으로서는 사후적 대응만으로는 리스크 관리에 한계가 있을 수 있습니다. 따라서 기업은 계약 구조의 형식적 정비와 더불어 실제 운영 방식 전반을 사전에 점검하여, 사용자성 인정 및 교섭 의무 발생에 대비한 선제적 대응 체계를 마련할 필요가 있습니다.  화우 노동그룹은 회사의 설립 단계에서부터 합병, 회사분할 등 전 과정에서 발생하는 인사노무에 관한 자문을 제공합니다. 특히 기업의 일상적인 인사제도나 인력관리, 징계처분 과정에 대한 법률자문은 물론, 집단적 노사관계에서 발생하는 단체교섭 및 단체협약 등에 대한 자문, 구조조정 과정의 회사 인력 관리 자문 등 인사노무에 관한 종합적 법률 서비스를 제공하여, 기업 운영에 필요한 최적의 제도와 방안을 지원합니다. 화우 노동그룹은 노동사건에 특화된 판사·검사 출신 변호사, 다양한 분야의 전문성과 경험을 보유한 노동전문변호사, 고용노동부 출신 전문위원 및 공인노무사 등 30명 이상의 전문인력이 다양하게 포진하여 기업의 각 영역에서 발생하는 인사노무 관련 소송에도 효과적이고 신속하게 대응하여 높은 승소율을 자랑하고 있습니다. 특히 기업에서 발생하는 이슈의 성격과 상황에 따라 화우 노동그룹 주도 하에 중대재해처벌법 TF, 노동형사대응팀 등 세부 TF팀이 별도로 구성되어 기업의 요구에 부합하는 최적의 법률 서비스를 원스톱(one-stop)으로 제공하고 있습니다.

• #인사 · 노동

2025년 발생한 연쇄 해킹 사태로 국가 디지털 인프라의 취약성이 드러난 가운데, 과학기술정보통신부(이하 '과기정통부')는 2026년 3월 24일 국무회의에서 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 '정보통신망법') 개정안을 의결하였습니다. 여야 의원이 발의한 24건의 법안을 통합한 본 개정안은 ① CISO 임원급 격상 및 정보보호위원회 설치 의무화, ② 해킹 의심 정황만으로 정부 직권조사를 가능케 하는 침해사고조사심의위원회 신설, ③ 반복 침해사고에 대한 매출액 3% 과징금 및 일단위 이행강제금 도입을 핵심으로 합니다. 개정안은 공포 후 6개월 경과일에 시행되며(정보보호 수준 평가는 공포 후 1년), 기업은 시행일 전까지 보안 거버넌스를 전면 재설계하고 24시간 신고 체계를 구축해야 합니다. 1. 배경: 기존 법 체계의 한계와 개정 경위2. 주요 개정 내용3. 핵심 쟁점 분석4. 산업별 영향 분석 및 사례 확장5. 기업 유형별 맞춤 대응 포인트6. 실무자 자가점검 체크리스트7. FAQ8. 맺음말 1. 배경: 기존 법 체계의 한계와 개정 경위 1) 조사 착수의 법적 공백 기존 정보통신망법 체계에서는 정보통신서비스 제공자가 침해사고를 자발적으로 신고하지 않는 한 과기정통부나 한국인터넷진흥원(KISA)이 조사에 착수할 수 있는 법적 근거가 없었습니다. 이 구조적 공백은 기업의 사고 은폐·신고 지연을 가능하게 하였고, 정부 대응이 늦어져 이용자 피해가 확산되는 문제가 반복되었습니다. 2) 범정부 종합대책과 통합 법안 마련 정부는 2025년 10월 사이버보안 지휘본부인 국가안보실을 중심으로 민·관·공을 아우르는 '범정부 정보보호 종합대책'을 수립하였습니다. 이를 법제화하기 위해 여야 의원이 발의한 24건의 법안을 통합·조정한 대안이 2026년 3월 12일 국회 본회의를 통과하였으며, 같은 달 24일 국무회의에서 의결되었습니다. 3) 시행 일정 본칙: 공포 후 6개월이 경과한 날부터 시행됩니다. 정보보호 수준 평가(제45조의5): 공포 후 1년이 경과한 날부터 시행됩니다(2027년 예상). 침해사고조사심의위원회: 2030년 12월 3일까지 한시적으로 존속합니다. 공포일(관보 게재일)은 아직 확정되지 않았으므로, 정확한 시행 시점은 공포일 확인 후 산정해야 합니다.  2. 주요 개정 내용 가. 기업 정보보호 거버넌스의 법적 격상   나. 침해사고 대응 체계의 선제적 전환   다. 제재·벌칙 체계 전면 강화 이번 개정의 핵심적 변화 중 하나는 침해사고가 직접적 재무 손실로 전환되었다는 점입니다. 기존에는 사후적 과태료 중심의 제재에 그쳤으나, 개정법은 매출액 연동 과징금과 일단위 이행강제금이라는 이중의 재무적 제재 수단을 도입하였습니다.   3. 핵심 쟁점 분석 쟁점 1. '신고 전 직권조사'로의 패러다임 전환 이번 개정의 가장 근본적인 구조 변화는 '신고 후 조사' 체계에서 '의심 정황 기반 직권조사' 체계로의 전환입니다(제48조의4 제1항·제2항). 과기정통부는 내부 정보 유출 등 침해사고 의심 정황을 포착한 경우 침해사고조사심의위원회(제48조의2 제7항)의 심의를 거쳐 기업의 신고 없이도 현장 조사에 착수하고 필요한 조치의 이행을 명령할 수 있습니다. 기업에 미치는 영향: 다크웹(Dark Web) 등 외부 채널을 통한 정보 유출이 정부에 의해 먼저 탐지될 경우, 기업은 사전 준비 없이 조사에 직면하게 됩니다. 따라서 기업은 외부 위협 인텔리전스 모니터링 체계를 갖추어 비정상 행위를 자체적으로 먼저 탐지하고, 자발적으로 신고하는 프로세스를 확립해야 합니다. 이는 법적 '주의 의무' 이행을 입증하는 핵심 요소이자, 향후 과징금 산정 시 감면 근거로 작동할 수 있습니다. 해석상 불확실성: '의심 정황'의 구체적 판단 기준은 하위법령에 위임되어 있습니다. 시행령 입법예고 단계에서 정황의 범위·조사 개시 요건 등이 확정될 예정이므로, 해당 내용을 면밀히 모니터링할 필요가 있습니다. 쟁점 2. 매출액 연동 과징금·이행강제금의 재무적 영향 반복 침해사고 과징금(제48조의8)은 고의 또는 중과실에 의해 5년 이내 2회 이상 침해사고가 발생한 경우 매출액의 3% 이내에서 부과됩니다. 이행강제금(제48조의7)은 시정명령 미이행 시 이행기한 만료 다음 날부터 1일당 매출액의 1만분의 3이 누적 부과되므로, 연 매출 1조 원 기업의 경우 1일당 약 3억 원, 10일 미이행 시 약 30억 원이 누적됩니다. 과징금 감면 전략: 과징금 산정 시에는 ① 위반행위의 내용·정도, ② 기간·횟수, ③ 피해 규모, ④ 피해구제 조치 이행 여부 등 7개 고려사항이 감면 변수로 작동합니다. 따라서 평상시 24시간 이내 신고 체계 구축, 침해사고 관리·대응 매뉴얼 작성·제출, 이용자 통지 인프라 확보, 피해구제 조치 신속 이행 등 사전 컴플라이언스 체계를 갖추는 것이 사고 발생 시 과징금 감면의 실질적 근거가 됩니다. 쟁점 3. CISO의 경영 책임 격상과 거버넌스 재설계 CISO를 임원급으로 지정하고(제45조의3 제1항), 이사회 보고 의무를 명문화하며(제45조의3 제4항), 정보보호위원회 위원장으로 지정한 것(제45조의4)은 보안을 IT 부서의 기술적 이슈에서 경영진의 전략적 의사결정 사항으로 격상시킨 것입니다. CISO는 이제 인력 관리·예산 편성 권한까지 보유하므로, 기존 '자문 역할'에서 '의사결정 참여자'로의 전환이 필요합니다. 해석상 불확실성: 정보보호위원회 설치 의무의 대상이 되는 '자산총액·매출액 기준'은 대통령령에 위임되어 있어 구체적 수치가 확정되지 않았습니다. 또한 중기업에 대한 CISO 지정 특례의 범위도 시행령에서 정해질 예정입니다. 쟁점 4. 정보보호 수준 평가의 대외적 공표 효과 신설되는 정보보호 수준 평가(제45조의5)는 공포 후 1년 경과 시점(2027년 예상)부터 시행됩니다. 과기정통부가 매년 기업의 법적 의무 준수 여부와 정보보호 수준을 평가하고 그 결과를 공개할 수 있게 됨에 따라, 평가 결과가 사실상 기업의 보안 역량을 대외적으로 공표하는 지표로 기능하게 됩니다. 평가 미흡 시에는 개선 권고가 가능하며, 자료 제출을 거부할 경우 3천만원 이하의 과태료가 부과됩니다. 구체적 평가 기준·방법·절차는 하위법령에 위임되어 있어 시행령 입법예고 내용을 확인해야 합니다.  4. 산업별 영향 분석 및 사례 확장 이번 개정안은 정보통신서비스를 제공하는 기업 전반에 적용되나, 산업별로 기존 보안 거버넌스 성숙도, 이용자 데이터 규모, 감독기관 중복 여부에 따라 영향의 범위와 대응 우선순위가 상이합니다.   사례 확장: 반복 침해사고 과징금 시나리오 2025년 발생한 대규모 해킹 사태를 사례로 대입하면, 동일 기업에서 5년 이내에 2회 이상 고의·중과실에 의한 침해사고가 발생할 경우 개정법상 매출액 3% 이내의 과징금이 부과됩니다. 다만, 이는 개별 사안의 사실관계(고의·중과실 여부, 피해 규모, 피해구제 조치 이행 여부 등)에 따라 크게 달라질 수 있으므로, 아래 시나리오는 제도의 구조를 이해하기 위한 참고 자료입니다.  위 시나리오의 일반화에는 한계가 있습니다. 과징금 산정 기준의 구체적 사항은 시행령에 위임되어 있고, '고의·중과실'의 판단 기준에 대한 감독기관의 집행례가 아직 축적되지 않았으므로, 실제 사안에서는 개별 사실관계에 따른 전문가 검토가 필요합니다.  5. 기업 유형별 맞춤 대응 포인트   6. 실무자 자가점검 체크리스트 [법무·컴플라이언스] • 정보통신망법 제45조의3에 따라 현 CISO가 임원급(상법상 업무집행지시자·집행임원 포함)에 해당하는지 확인하고, 미충족 시 인사위원회에 직급 조정 안건을 시행일 전까지 상정할 것 • 제45조의4에 따른 정보보호위원회 설치 대상(자산·매출 기준) 해당 여부를 확인하고, 해당 시 설치·운영 규정(위원 구성·심의 사항·회의 주기) 초안을 마련할 것 (대상 기준은 시행령 확인 필요) • 침해사고 발생 시 24시간 이내 신고가 가능하도록 신고 담당자 지정, 야간·휴일 비상연락망, 신고서 양식 사전 준비를 완료할 것 [정보보호·IT] • 제48조의9에 따라 과기정통부 표준안 기반의 침해사고 관리·대응 매뉴얼을 작성하고, 제출 일정을 확인할 것 • 다크웹 모니터링·비정상 트래픽 탐지 등 실시간 위협 모니터링 체계를 점검하고, 직권조사 대비 내부 시스템 로그 보존 기간·절차를 정비할 것 (자료 보전 위반 시 5년 이하 징역/5천만원 이하 벌금) • 이용자 통지 의무 이행을 위한 통지 채널(이메일·앱 푸시·SMS 등)과 통지 문안 템플릿을 사전 준비할 것 [경영진] • CISO의 이사회 정기 보고 주기(최소 반기 1회 권장)·보고 항목을 내규에 반영하고, 정보보호 예산 편성 프로세스를 수립할 것 • 반복 침해사고 과징금(매출액 3%) 리스크를 재무 시나리오에 반영하고, 보안 투자 ROI 분석을 기반으로 연간 보안 예산 증액을 검토할 것  7. FAQ Q. 우리 회사가 '정보통신서비스 제공자'에 해당하는지 어떻게 판단합니까?A. 정보통신망법상 '정보통신서비스 제공자'는 전기통신사업법에 따른 전기통신사업자와, 영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보 제공을 매개하는 자를 포함합니다. 온라인 서비스·앱·웹사이트를 통해 이용자에게 정보를 제공하는 기업은 광범위하게 해당될 수 있으므로, 자사 서비스의 법적 성격을 개별적으로 검토할 필요가 있습니다. Q. CISO를 반드시 임원급으로 지정해야 합니까? 예외는 없습니까?A. 개정법 제45조의3 제1항에 따라 중기업을 제외한 정보통신서비스 제공자는 임원급 CISO를 지정해야 합니다. 중기업에 대한 구체적 기준(자산·매출·종업원 수 등)은 대통령령에 위임되어 있어 시행령에서 확정될 예정입니다. 기존 부서장급 CISO를 임원급으로 조정하거나, 신규 임원직을 신설하는 방안을 시행일 전까지 검토해야 합니다. Q. 직권조사 시 기업이 자료 제출을 거부하면 어떤 불이익이 있습니까?A. 자료 제출 거부 시 3천만원 이하의 과태료가 부과됩니다(제76조 제2항). 시정명령으로 이어질 경우 미이행 시 1일당 매출액의 1만분의 3의 이행강제금이 누적 부과되며(제48조의7), 자료 보전 의무 위반은 5년 이하의 징역 또는 5천만원 이하의 벌금에 해당합니다(제71조 제1항). 조사 협조 거부는 기업에 극히 불리하게 작용합니다. Q. 기존 ISMS 인증을 보유한 기업도 추가 조치가 필요합니까?A. 개정법은 ISMS 인증 사후관리 시 현장심사를 의무화하고(제47조 제8항), 정보보호 관련 법령의 중대 위반 시 인증 취소가 가능하도록 하였습니다(제47조 제10항 제4호). 또한 정보 규모·사회적 파급력이 큰 기업에는 인증기준·절차가 강화될 수 있습니다(제47조의7 제2항). 기존 인증 기업도 강화된 요건에 맞추어 보안 체계를 재점검해야 합니다. Q. 과태료와 과징금이 중복 부과될 수 있습니까?A. 개정법 제77조에서 과징금 부과 대상 행위에 대해서는 과태료를 중복 부과할 수 없다는 규정을 신설하였습니다. 다만, 과징금과 이행강제금은 제재 목적이 다르므로(과징금은 위반에 대한 제재, 이행강제금은 의무 이행 강제) 중첩 부과가 가능할 수 있습니다. 구체적인 중복 부과 범위는 향후 시행령과 감독기관의 운영 기준에 따라 확정될 예정입니다.  8. 맺음말 이번 정보통신망법 개정은 단순한 규제 강화를 넘어, 대한민국 디지털 산업 전반의 사이버보안 패러다임을 '사후 수습'에서 '사전 책임'으로 전환하는 계기가 되었습니다. CISO의 임원급 격상과 이사회 보고 의무화(제45조의3), 정보보호위원회 설치 의무(제45조의4)는 보안을 IT 부서의 기술적 과제에서 경영 전략의 핵심 의제로 끌어올리며, 정부의 사전 직권조사권 신설(제48조의4)은 기업이 더 이상 사고를 은폐하거나 신고를 지연하는 것이 사실상 불가능한 구조를 만들었습니다. 특히 반복 침해사고에 대한 매출액 3% 과징금(제48조의8)과 시정명령 미이행 시 1일당 매출액의 1만분의 3이 누적되는 이행강제금(제48조의7)은 보안 실패를 곧 기업의 재무적 생존을 위협하는 직접 변수로 전환시켰습니다. 기업에 요구되는 것은 '완벽한 보안'이 아니라 '책임 있는 거버넌스'입니다. 사고가 발생하더라도 24시간 이내 신고 체계, 이용자 통지 인프라, 피해구제 조치의 신속한 이행, 그리고 침해사고 관리·대응 매뉴얼의 사전 구비는 과징금 감면의 실질적 근거로 작동하며, 이는 곧 컴플라이언스 자체가 리스크 관리의 핵심 수단임을 의미합니다. 기업은 지금 이 시점부터 거버넌스 재설계에 착수하여 규제 변화에 적극 대응해야 합니다.  화우 정보보호센터는 정보보호 관련 법령의 해석 및 규제 대응, 침해사고 발생 시 위기 관리, 정보보호 기술적 자문(해킹 진단, 보안 취약점 분석) 등 법률과 기술을 아우르는 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 정보통신망법·개인정보보호법·전자금융거래법 등 정보보호 관련 규제 환경 변화에 대한 선제적 자문, 정보보호 거버넌스 설계, ISMS 인증 컨설팅, 침해사고 대응 매뉴얼 수립, 과징금·과태료 방어 전략 수립 등에 관하여 풍부한 경험과 전문성을 보유하고 있습니다. 이와 관련하여 화우 정보보호센터의 도움이 필요하시면 아래 담당자에게 연락하여 주시기 바랍니다.

• #정보보호센터

개인정보보호위원회(이하 ‘개인정보위’)는 2026. 3. 31. 「가명정보 처리 가이드라인」 전면 개정 사실을 발표하면서, 가명정보 처리 판단 기준을 ‘위험도 기반’으로 표준화하고 절차·서류 부담을 위험 수준에 따라 차등화하는 방향을 제시했습니다. 이번 개정은 법률 개정 자체는 아니지만, 가명정보 처리 특례를 실제로 어떻게 설계·검토·문서화할 것인지에 관한 실무 기준을 크게 바꾼다는 점에서 기업·공공기관·AI 개발사 등 모두에 직접적인 영향을 미칩니다. 특히 내부 활용과 제3자 제공, 처리환경 통제 가능성, 비정형데이터 포함 여부에 따라 검토 수준이 달라지는 만큼, 앞으로는 가명처리를 단순 기술조치가 아니라 하나의 거버넌스 체계로 다루어야 합니다. 1. 배경2. 주요 개정사항3. 실무상 핵심 쟁점4. 기업 대응 포인트5. 시사점 1. 배경 「가명정보 처리 가이드라인」 의 2026. 3. 31.자 전면 개정은 현장에서 누적된 애로를 반영해 마련된 것으로, 개인정보위는 AI 기업 50개와 공공기관 1,441개를 대상으로 실태조사와 심층 인터뷰를 진행했다고 밝혔습니다. 조사 과정에서 핵심 문제로 제시된 것은 위험성 판단 기준의 모호성, 과도한 서류작성 부담, AI 개발 현장과의 괴리, 대규모 영상·이미지·텍스트 데이터의 전수 검수 부담이었습니다. 기존에는 동일하거나 유사한 사안도 기관별·담당자별로 결론이 달라지는 경우가 있었고, 실무자는 책임 부담 때문에 실제 위험과 무관하게 모든 절차를 무겁게 운영하는 경향이 있었습니다. 이번 개정은 이러한 “일괄적 보수 운영”을 줄이고, 데이터 활용 현실과 재식별 위험을 함께 반영하는 방향으로 실무 작동 원리를 재정비한 것으로 볼 수 있습니다. 개인정보위는, 코스콤을 가명정보 원스톱 지원센터 운영기관으로 지정하였고, 5월 1일부터 중앙부처, 지방자치단체, 공사·공단 등 고품질의 데이터를 보유한 공공기관이 가명정보를 원활히 제공할 수 있도록 적극 지원해 나갈 계획입니다.  2. 주요 개정사항 가장 큰 변화는 위험도 판단 체계의 표준화입니다. 개인정보위는 복잡한 위험요인을 개별적으로 나열해 평가하는 방식에서 벗어나, “누가 활용하는지”와 “어떤 환경에서 처리되는지”를 중심으로 위험도를 구분하도록 했습니다. 이에 따라 동일 개인정보처리자 내부 활용은 저위험, 제3자 제공은 제공기관의 처리환경 통제 가능성에 따라 중위험 또는 고위험으로 분류하는 구조가 제시되었습니다. 또한 절차와 서류를 위험도에 따라 차등화하고, 전체 서식도 24종에서 10종으로 줄였습니다. 저위험 사안은 담당자 검토와 최소한의 서류로 처리할 수 있도록 하고, AI 개발과 관련해서는 유사 범위 내 ‘확장 가능한 목적’을 사전에 설정할 수 있게 하며, 필요한 기간 동안 지속 활용이 가능하도록 처리기간 설정도 유연화했습니다. 비정형데이터에 대해서는 전수검수 외에 표본검수 등 다양한 검수방식을 허용했고, 가이드라인 자체도 ‘본권(제도 안내편)’과 ‘별권(처리 실무편)’으로 나누어 접근성을 높였습니다.   3. 실무상 핵심 쟁점 이번 개정은 가명정보 처리를 단순한 식별자 제거 기술이 아니라, 사전 준비, 위험성 검토, 가명처리, 적정성 검토, 안전한 관리로 이어지는 전 과정 관리체계로 보고 있습니다. 즉, 기업은 결과물만 남기면 되는 것이 아니라, 왜 해당 목적이 허용되는지, 왜 그 위험도 분류가 맞는지, 왜 그 수준의 가명처리와 검토가 적정한지를 설명할 수 있어야 합니다. 특히 위험도는 고정값이 아니라 출발점에 가깝습니다. 내부 활용은 기본적으로 저위험이지만, 제3자 제공 여부와 통제환경에 따라 중·고위험으로 상승할 수 있고, 비정형데이터는 위험도 상향이 권장됩니다. 반대로 반복·유사 활용이나 안전한 통제환경에서의 처리는 위험도를 낮추는 요소가 될 수 있어, 프로젝트별 사전 분류와 조정 사유 기록이 핵심 실무가 됩니다.   4. 기업 대응 포인트 법무·컴플라이언스 조직은 먼저 현재 진행 중인 데이터 활용 프로젝트를 가명정보 처리 특례 대상인지부터 다시 분류할 필요가 있습니다. 특히 “AI 학습”, “연구”, “분석”처럼 추상적인 목적 문구는 더 이상 충분하지 않을 가능성이 크므로, 어떤 모델을 어떤 지표로 개선하려는 것인지까지 목적을 구체화하는 문서 정비가 요구됩니다. 데이터·AI 조직은 비정형데이터 프로젝트를 기본적으로 위험도 상향 가능성이 있는 과제로 보고 설계하는 것이 안전합니다. 이번 개정된 가이드라인은 영상·이미지·음성 등을 모두 비정형 데이터로 보며 가명처리 적정성 검수가 기술적으로 더 어렵고 재식별 위험도 상대적으로 높다고 설명합니다. 표본검수 허용으로 검수방식 완화가 이루어졌다 하더라도, 개정 가이드라인은 학습데이터와 서비스 출력의 분리, 메타데이터 제거 여부, 표본검수 방식 선택 사유·표본 설계·보완조치·기록 보관까지 포함한 통제 밀도를 강조하고 있습니다. 이는 이제 단순한 기술 이슈가 아니라 법적 설명 가능성의 문제이기도 합니다. 보안·IT 및 사업부서는 외부 제공 구조와 수탁사 활용 구조를 함께 재점검해야 합니다. 제공기관이 통제 가능한 분석공간을 활용할 것인지, 외부 반출을 허용할 것인지에 따라 위험도와 검토 수준이 달라지므로, 계약·접근권한·로그관리·반출통제 체계를 프로젝트 초기부터 설계하는 접근이 필요합니다.  5. 시사점 이번 전면 개정의 메시지는 명확합니다. 데이터 활용의 문턱을 낮추는 대신, 그 활용이 정당하고 안전하다는 점을 입증하는 문서와 절차의 중요성을 더 크게 만든 것입니다. 저위험 사안에 대한 간소화, AI 목적 확장 허용, 처리기간 유연화, 표본검수 허용은 분명한 실무 완화지만, 이는 설명 가능한 위험관리 체계를 갖춘 조직에 더 유리하게 작동할 가능성이 큽니다. 기업 입장에서는 앞으로 가명처리 기술 자체보다도 “언제, 왜, 어떤 목적 아래, 어떤 통제환경에서, 어떤 검토를 거쳐 처리했는지”를 일관되게 남길 수 있는 내부 프로세스가 경쟁력이 될 것입니다. 따라서 실무적으로는 ① 위험도 판단 기준의 내부 표준화, ② 핵심 서식과 검토 프로세스 정비, ③ 비정형데이터·AI 프로젝트의 선제적 고위험 관리, ④ 수탁사·협력사 계약 및 통제환경 재설계가 우선 과제가 됩니다.  화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.

• #정보보호센터
• #정보보호센터

법무법인(유한) 화우는 노란봉투법의 핵심 쟁점을 체계적으로 정리하고, 이를 둘러싼 주요 분쟁 포인트와 이에 대한 기업의 실무적 대응 방안을 제시하고자 합니다. 변화된 법 환경 속에서 기업이 취해야 할 합리적인 선택과 실무 전략을 함께 고민하는 자리가 되기를 기대합니다.

우리나라 경제발전을 위해 앞장서고 있는 기업들이 위와 같은 관세행정의 변화를 분명하게 인식하고, 불필요한 무역관련 법령 위반이슈 등으로 인한 어려움을 겪지 않도록, 26년 달라지는 관세행정과 관세조사 및 외환조사 동향을 설명드리고, 관세 및 외환 형사사건이 발생하였을 때 효과적인 대응을 할 수 있도록 안내드리고자 하오니, 많은 참석과 관심을 부탁드립니다.

• #소송 ∙ 중재

• #건설

• #공정거래
• #공정거래