앱 출시하면 과태료 3천만원? 법 모르는 개발자가 놓치는 11가지 (2026년 기준)

앱 출시 전 확인할 11가지 법률 의무를 정리한 배너 이미지

출시 버튼을 누르고 나서야 "개인정보처리방침"을 검색창에 쳐본 적 있나요.

결론부터 말할게요.
앱 하나에 붙는 법은 흔히 도는 목록처럼 8가지가 아니라 최소 11가지예요.
대신 전부 적용되지도 않습니다.
이용자 정보를 받는지, 결제를 붙였는지, 위치와 AI를 쓰는지에 따라 대개 네다섯 개로 좁혀져요.
"과태료 3천만원" 같은 숫자도 거의 다 법정 상한이고, 실제 첫 부과액은 수백만 원대로 따로 정해져 있는 경우가 많죠.

아래에서는 여섯 가지 질문으로 내 앱을 먼저 분류하고, 11가지를 하나씩 짚은 다음, 출시 하루 전에 훑을 체크리스트로 묶어드릴게요.

여섯 가지 질문으로, 내 앱에 붙는 법부터 갈라내세요

먼저 밝혀둘 게 있어요.
이 글은 법률 자문이 아니라 공개된 법령과 정부 자료를 정리한 일반 정보예요.
제 앱도 이 목록 앞에서 한참을 멈춰 섰고, 그때 가장 답답했던 건 "이 중에 뭐가 나한테 해당되는지"를 아무도 먼저 갈라주지 않는다는 점이었어요.

그래서 순서를 뒤집었습니다.
아래 여섯 개에 예/아니오로 답해보세요.

  • 회원가입·로그인·문의 등으로 이용자 정보를 받나요? → 개인정보 보호법 (처리방침, 보호책임자, 처리위탁, 국외이전, 유출 통지)
  • 카메라·연락처·사진 같은 단말기 접근권한을 쓰나요? → 정보통신망법 제22조의2
  • 위치 정보를 서버로 보내 서비스에 활용하나요? → 위치정보법상 위치기반서비스사업 신고
  • 결제·구독·유료 판매가 있나요? → 전자상거래법 (사업자 정보 표시, 자동 유료전환 동의, 통신판매업 신고)
  • 푸시·문자·메일로 광고를 보내나요? → 정보통신망법 제50조
  • 생성형 AI 기능이 들어갔나요? → 인공지능기본법 제31조

첫 번째 질문에서 "우린 회원가입이 없는데"라고 넘기기 쉬운데, 여기가 함정이에요.
광고 SDK나 애널리틱스만 붙여도 광고식별자와 접속 기록이 오갑니다.
로그인 화면이 없어도 개인정보 보호법의 사정권에 들어올 수 있다는 뜻이에요.

"과태료 3천만원"은 법정 상한이에요, 실제 부과액은 따로 정해집니다

목록에 적힌 금액을 보고 밤잠을 설쳤다면, 이 문단이 그 밤을 조금 줄여줄 거예요.
법률 조문의 "3천만원 이하"는 최댓값입니다.
실제로 얼마가 나오는지는 시행령 별표의 부과기준이 위반 횟수와 정도에 따라 단계별로 정해두고 있어요.

예를 들어 개인정보 보호법 시행령의 과태료 부과기준을 보면, 위탁하는 업무 내용과 수탁자를 공개하지 않은 경우가 1차 200만원·2차 400만원·3차 이상 800만원처럼 나뉘어 있습니다.
법조문 상한은 1천만원이지만 첫 적발에서 상한이 그대로 나오는 구조가 아닌 거예요.

인공지능기본법은 한 발 더 나가 있어요.
과학기술정보통신부는 시행 초기 혼란을 줄이겠다며 법과 시행령에 따른 규제 적용에 최소 1년 이상의 계도기간을 두기로 했습니다.
앱 접근권한도 곧장 과태료가 아니라, 규제기관의 실태 모니터링과 개선 요청이 먼저 오고 미이행 시 시정명령·과태료로 이어지는 흐름이 일반적이에요.

다만 안심은 여기까지입니다.
과태료 트랙과 별개로 개인정보 쪽에는 과징금 트랙이 있어요.
이쪽은 상한이 매출 비율로 잡혀서, 단계별 부과기준이라는 완충장치가 같은 방식으로 작동하지 않습니다.
국외이전과 유출이 여기에 걸려요. 뒤에서 다시 짚을게요.

① AI 기능을 넣었다면: 고지와 표시, 그리고 최소 1년의 계도기간

인공지능 발전과 신뢰 기반 조성 등에 관한 기본법이 2026년 1월 22일 시행됐어요.
제31조가 요구하는 건 세 가지입니다.

  • 고영향 또는 생성형 AI 기반 제품·서비스라는 사실을 이용자에게 사전 고지
  • 생성형 AI 결과물에 AI가 만들었다는 표시
  • 실제와 구분하기 어려운 음향·이미지·영상은 이용자가 명확히 인식할 수 있는 방식으로 표시
인공지능기본법 제31조에 따른 생성형 AI 사전 고지와 결과물 표시 의무 안내

가장 많이 빗나가는 지점은 적용 대상이에요.
"우린 모델을 만든 게 아니라 API를 가져다 쓴 건데"라는 말이 통하지 않습니다.
타사 AI를 이용해 제품·서비스를 제공하는 AI이용사업자도 대상이에요.
GPT API로 요약 기능 하나 붙인 앱도 고지 의무가 생긴다는 얘기죠.

표시 방법에도 층위가 있어요.
일반적인 생성 결과물은 눈에 보이는 워터마크와 메타데이터 같은 비가시적 방식이 모두 인정되지만, 비가시적 방식만 쓴다면 AI 생성 사실을 안내 문구나 음성으로 한 번 이상 알려야 합니다.
반면 실제와 구분하기 어려운 딥페이크성 결과물은 비가시적 워터마크만으로는 부족해요.

위반 시 제43조에 따라 3천만원 이하 과태료가 규정돼 있고, 앞서 말한 계도기간이 적용됩니다.

② 앱 접근권한을 전부 '필수'로 받으면 왜 위법인가요

정보통신망법 제22조의2는 접근권한을 필수와 선택으로 구분해서 알리고 동의를 받으라고 정하고 있어요.
그런데 진짜 핵심은 제2항입니다.
서비스 제공에 반드시 필요하지 않은 접근권한에 동의하지 않는다는 이유로 서비스 제공을 거부해서는 안 된다는 조항이에요.

즉 "전부 동의해야 앱 사용 가능" 화면이 문제되는 건 고지 방식이 아니라, 선택 권한을 거절한 사용자를 문 앞에서 막았다는 사실 자체예요.

기준은 본질적 기능인지 여부입니다.

  • 카메라 앱의 카메라 권한 → 필수
  • 프로필 사진 업로드용 카메라 권한 → 선택
  • 지도 앱의 위치 권한 → 필수
  • "주변 친구 추천"용 위치 권한 → 선택

네이티브 앱이든 웹뷰를 감싼 앱이든, 단말기 정보와 기능에 접근한다면 같은 잣대가 적용돼요.
위반 시 3천만원 이하 과태료가 규정돼 있습니다.

③ Firebase·Supabase를 쓴다면, 처리방침에 국외이전 5줄이 있나요

개인정보 보호법 제28조의8은 개인정보의 국외 제공·처리위탁·보관을 원칙적으로 금지하고, 예외에 해당할 때만 허용해요.
해외 리전의 클라우드에 이용자 데이터가 저장된다면 그게 바로 "처리위탁·보관 목적의 국외 이전"입니다.

다행히 동의 팝업을 새로 띄울 필요는 없어요.
계약 체결·이행을 위해 처리위탁·보관이 필요한 경우라면, 법이 정한 항목을 개인정보처리방침에 공개하거나 이메일 등으로 알리는 것으로 별도 동의를 갈음할 수 있거든요.
바꿔 말하면, 처리방침에 그 항목이 없으면 동의 없이 국외 이전한 것이 됩니다.

처리방침에 들어가야 할 다섯 가지는 이렇습니다.

  1. 이전되는 개인정보 항목 — 예: 이메일 주소, 기기 식별자, 접속 로그
  2. 이전되는 국가·시기·방법 — 예: 미국 / 서비스 이용 시 수시 / 네트워크를 통한 전송
  3. 이전받는 자의 성명(법인은 명칭과 연락처)
  4. 이전받는 자의 이용목적과 보유·이용 기간
  5. 이전을 거부하는 방법·절차와 거부의 효과
개인정보처리방침에 반드시 적어야 할 국외이전 다섯 가지 항목 정리

5번을 비워두는 곳이 유난히 많아요.
"거부할 수 있고, 다만 거부하면 해당 기능 이용이 제한된다"는 취지를 서비스 구조에 맞춰 적어두어야 합니다.
위 예시는 그대로 복사할 문장이 아니라 채워 넣을 자리를 보여주는 골격이에요.

이 조항 위반은 과태료가 아니라 과징금 대상입니다.
제64조의2는 제28조의8 제1항 위반을 과징금 부과 사유로 명시하고 있고, 상한은 전체 매출액의 3% 이내(매출 산정이 곤란하면 20억원 이내)예요. 😳

④ PG사·클라우드·아웃소싱: 처리위탁 공개와 외주 개발의 책임 소재

개인정보 보호법 제26조는 업무를 위탁할 때 문서로 계약하고, 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든 확인할 수 있게 공개하라고 정합니다.
공개 장소는 사실상 개인정보처리방침이에요.

대상이 생각보다 넓어요.
PG사, 문자·알림톡 발송 업체, 클라우드, 고객 상담 툴, 푸시 발송 서비스까지 이용자 정보가 흘러가는 곳은 전부 후보입니다.

여기서 SI·아웃소싱으로 앱을 만든 경우를 짚고 갈게요.
외주 개발사가 서버를 세팅하고 DB를 설계했더라도, 이용자 개인정보의 처리자는 발주한 쪽이에요.
"개발사가 알아서 했겠지"는 통하지 않습니다.
오히려 법은 수탁자가 위탁 업무와 관련해 법을 위반해 발생한 손해배상 책임에서 수탁자를 위탁자의 소속 직원으로 본다고 정하고 있어요.

재위탁도 챙겨야 해요.
개발사가 다시 다른 업체에 넘기려면 위탁자의 동의가 필요합니다.
계약서에 재위탁 조항이 있는지, 처리방침의 수탁자 목록이 실제 인프라와 일치하는지 한 번은 대조해보세요.

앞서 말했듯 미공개 시 부과기준은 1차 200만원에서 시작합니다.

⑤ CPO는 안 정해도 된다? 지정하지 않으면 대표가 자동으로 CPO가 됩니다

개인정보 보호법 제31조는 개인정보 보호책임자(CPO) 지정 의무를 두되, 소상공인 등 일정 기준에 해당하면 지정하지 않을 수 있게 했어요.
"우린 면제구나" 하고 넘어가기 딱 좋은 문장이죠.

그런데 시행령을 마저 읽으면 반전이 있어요.
지정하지 않은 경우에는 사업주 또는 대표자가 개인정보 보호책임자가 됩니다.
면제가 아니라 자동 승계예요.
혼자 만든 앱이라면, 그 CPO는 당신입니다.

그러니 처리방침의 보호책임자 칸을 비워둘 이유가 없어요.
어차피 책임자는 존재하고, 공개하지 않은 상태만 남으니까요.
CPO를 지정하지 않은 경우 제75조에 따라 1천만원 이하 과태료가 규정돼 있습니다.

덧붙여, 2026년 9월 시행 예정인 개정법은 대표자(CEO)와 CPO의 법적 책임을 명문화하는 내용을 담고 있어요.

⑥⑦⑧ 결제와 광고가 붙는 순간 켜지는 의무 세 가지

앞의 다섯 개가 "정보를 받으면" 켜진다면, 이 셋은 "돈과 메시지가 오가면" 켜집니다.

⑥ 사업자 정보 표시 (전자상거래법 제10조)
사이버몰 초기화면에 상호와 대표자 성명, 영업소 주소, 전화번호, 전자우편주소, 사업자등록번호, 이용약관, 호스팅 서비스 제공자의 상호를 표시해야 해요.
표시한 내용의 진위를 확인할 수 있도록 공정거래위원회 사업자정보 공개페이지도 초기화면에 연결해야 합니다.
"쇼핑몰 얘기 아닌가요"라고 묻는다면, 법이 말하는 사이버몰은 재화 등을 거래하는 가상의 영업장 전반이에요.
미표시 시 제45조에 따라 500만원 이하 과태료입니다.

⑦ (광고) 표기와 수신거부 (정보통신망법 제50조 제4항)
영리 목적의 광고성 정보를 전자적 전송매체로 보낼 때는 광고임을 밝히고, 전송자의 명칭·연락처와 수신거부 방법을 명시해야 해요.
매체별로 무엇을 어떻게 적을지는 시행령 별표가 따로 정하고 있습니다.
위반 시 3천만원 이하 과태료예요.

⑧ 무료체험 후 자동 유료전환 (전자상거래법 제13조 제6항)
정기결제 대금이 오르거나 무료로 제공되던 서비스가 유료 정기결제로 바뀔 때는, 그 전환·증액 전 30일 이내에 변동 전후 가격 등에 대해 소비자의 동의를 받아야 합니다.
취소·해지 조건과 방법, 그 효과도 함께 알려야 하고요.
공정거래위원회 설명을 빌리면, 5월 1일 한 달 무료체험을 시작해 6월 1일 유료로 전환되는 경우 5월 2일부터 5월 31일 사이에 동의를 받아야 해요.
이 기준은 개정 시행령·시행규칙과 함께 2025년 2월 14일부터 시행됐습니다.
위반 시 500만원 이하 과태료입니다.

결제와 광고를 붙인 앱에 적용되는 전자상거래법·정보통신망법 의무 세 가지

⑨⑩⑪ 원문 목록에 없던 세 가지: 위치기반서비스 신고, 통신판매업 신고, 유출 72시간

돌아다니는 8가지 목록은 잘 정리돼 있지만, 실제로 발목을 잡는 항목 셋이 빠져 있어요.
앞의 여덟이 "무엇을 적을 것인가"라면, 이 셋은 "무엇을 신고하고 언제 움직일 것인가"의 문제입니다.

⑨ 위치기반서비스사업 신고 (위치정보법)
개인위치정보를 이용해 서비스를 제공하려면 신고를 해야 해요.
사물위치정보만 다룬다면 신고 대상이 아니고, 단말기 안에서만 일시적으로 처리하고 외부로 전송하지 않는다면 제외될 여지가 있습니다.
소상공인은 사업 개시 후 1개월간 사전 신고가 면제되지만, 1개월이 지나면 신고해야 해요.
지도·배달·러닝 기록 앱을 만들었다면 여기부터 확인해보세요.

⑩ 통신판매업 신고 (전자상거래법 제12조)
유료 판매나 구독이 있다면 신고 대상인지 확인이 필요해요.
직전년도 통신판매 거래 횟수가 50회 미만이거나 부가가치세법상 간이과세자라면, 둘 중 하나만 충족해도 신고 의무가 면제될 수 있습니다.
앱은 실물 배송이 없어 구매안전서비스 비적용 대상 확인서를 함께 내는 게 보통이에요.
결제를 어떤 구조로 붙였는지에 따라 판단이 갈리니, 애매하면 관할 시·군·구에 먼저 물어보는 편이 빠릅니다.

⑪ 유출 통지 72시간 (개인정보 보호법 제34조)
개인정보가 분실·도난·유출된 사실을 알게 되면 지체 없이, 서면 등의 방법으로 72시간 이내에 정보주체에게 알려야 해요.
규모와 유형에 따라 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 하고, 통지하지 않으면 3천만원 이하 과태료가 규정돼 있습니다.
사고가 터진 뒤 72시간은 생각보다 짧아요. 연락 수단과 문구 초안을 미리 만들어두는 편이 낫습니다.

2026년 9월 11일, 개인정보 과징금 상한이 매출 3%에서 10%로 올라갑니다

돌아다니는 목록에 적힌 "매출 3% 과징금"은 이 글을 쓰는 시점(2026년 7월 10일)까지는 맞아요.
다만 유효기간이 두 달 남짓입니다.

2026년 9월 11일 시행 예정인 개정 개인정보 보호법은 과징금 상한을 전체 매출액의 3%에서 **10%**로 올립니다.
매출액이 없거나 산정이 곤란한 경우의 상한도 별도로 신설됐어요.

다만 모든 위반에 곧장 10%가 붙는 건 아닙니다.
고의 또는 중대한 과실로 3년 안에 같은 유형의 사고를 반복한 경우, 1천만 명 이상의 대규모 유출이 발생한 경우 같은 중대 사안이 대상이에요.
대표자를 개인정보 보호의 최종 책임자로 명문화하는 조항, 개인정보 보호에 지속적으로 투자한 기업의 과징금을 최대 40%까지 감경하는 제도도 함께 들어갑니다.
유출 통지의 기준 시점도 유출 확정이 아니라 "유출 가능성을 인지한 시점"으로 앞당겨지고요.

세부 내용을 담은 시행령 개정안은 입법예고를 거치는 중이라, 최종 문구는 달라질 수 있습니다.
"매출 10%는 대기업 얘기"라고 넘기기 쉽지만, 감경 사유가 되는 사전 투자와 대표자 책임 조항은 규모를 가리지 않아요.

출시 하루 전에 훑는 11가지 체크리스트

앞의 여섯 가지 질문에서 걸러진 항목만 보면 됩니다.

  1. 생성형 AI 기능 — AI 기반 서비스임을 사전 고지했고, 결과물에 표시가 붙나요?
  2. 접근권한 — 필수와 선택을 구분했고, 선택을 거절해도 앱이 열리나요?
  3. 국외이전 — 처리방침에 항목·국가·이전받는 자·목적과 기간·거부 방법 다섯 줄이 있나요?
  4. 처리위탁 — PG사·클라우드·문자 발송사가 수탁자 목록에 빠짐없이 적혀 있나요?
  5. 보호책임자 — 지정하지 않았다면 대표자 이름과 연락처가 처리방침에 있나요?
  6. 사업자 정보 — 상호·대표자·주소·연락처·사업자등록번호·이용약관·호스팅사 상호가 초기화면에 있나요?
  7. 광고 표기 — 광고성 메시지에 광고 표시와 전송자 연락처, 수신거부 방법이 있나요?
  8. 자동 유료전환 — 전환·증액 전 30일 이내 별도 동의를 받는 흐름이 붙어 있나요?
  9. 위치기반서비스 신고 — 위치 정보를 서버로 보낸다면 신고 여부를 확인했나요?
  10. 통신판매업 신고 — 유료 판매가 있다면 신고 대상인지, 면제 요건에 드는지 확인했나요?
  11. 유출 대응 — 72시간 안에 이용자에게 알릴 연락 수단과 문구가 준비돼 있나요?
앱 출시 하루 전 점검하는 11가지 법률 준수 체크리스트

1번부터 8번까지는 대부분 문서와 화면 문구로 해결됩니다.
9번과 10번은 신고 절차라 시간이 걸리고, 3번과 8번은 코드와 결제 흐름을 손봐야 할 수도 있어요.
출시 전날이 아니라 결제 붙이기 전에 3·8·10번을 먼저 확인해두면 훨씬 편합니다.

자주 묻는 질문

Q. 앱 푸시 알림으로 이벤트 소식을 보낼 때도 광고 표기가 필요한가요?
A. 영리 목적의 광고성 정보라면 매체를 가리지 않는다고 보는 편이 안전해요. 정보통신망법 제50조는 "전자적 전송매체"를 대상으로 하고, 매체별 명시사항과 방법은 시행령 별표에서 따로 정하고 있습니다. 배송 안내처럼 거래 이행에 필요한 정보는 성격이 다르지만, 그 안에 할인 소식을 끼워 넣는 순간 광고성 정보가 됩니다.

Q. 앱스토어와 구글플레이 심사를 통과했으면 법적으로도 안전한 건가요?
A. 별개예요. 스토어 심사는 플랫폼의 자체 정책 기준이고, 위의 의무들은 국내 법령이 사업자에게 직접 지우는 것입니다. 심사를 통과한 앱도 접근권한 구분이나 국외이전 고지가 빠져 있으면 그대로 위반 상태예요.

Q. 개인정보처리방침은 앱 안에 넣어야 하나요, 웹페이지 링크만 걸어도 되나요?
A. 개인정보 보호법 제30조는 정보주체가 쉽게 확인할 수 있도록 공개하라고 정하고, 구체적 방법은 시행령에 위임하고 있어요. 실무에서는 웹페이지에 지속적으로 게재하고 앱 설정 화면에서도 바로 닿게 링크를 거는 방식을 많이 씁니다. 스토어 등록에도 처리방침 URL이 필요하니, 웹에 한 벌을 두고 양쪽에서 참조하는 편이 관리하기 편해요.

Q. 해외 법인 명의로 출시하면 국내법을 피할 수 있나요?
A. 국내 이용자를 대상으로 한다면 어렵다고 보는 게 안전합니다. 인공지능기본법만 봐도 제36조에서 일정 요건의 해외 사업자에게 국내대리인 지정 의무를 두고, 지정하지 않으면 제43조에 따라 3천만원 이하 과태료를 규정하고 있어요.

Q. 오픈소스 라이선스나 상표 문제는 왜 이 목록에 없나요?
A. 성격이 달라서예요. 이 글의 11가지는 행정기관이 과태료나 과징금으로 직접 제재하는 규제 의무입니다. 반면 오픈소스 라이선스 위반이나 상표 분쟁은 권리자와의 민사 문제로 시작해요. 둘 다 앱을 멈추게 할 수 있지만 점검 시점과 방법이 달라서, 따로 다루는 편이 맞습니다.

이 11가지를 다 지킨다고 좋은 앱이 되지는 않아요.
다만 하나도 지키지 않은 앱은, 아무리 좋아도 어느 날 우편함에서 무너집니다.
막상 열어보면 여덟 개쯤은 문서 몇 장과 화면 문구 몇 줄로 끝나요.
남은 셋, 그러니까 국외이전과 위치정보 신고와 자동 유료전환만 구조를 건드려야 하는데 그건 출시 후보다 출시 전이 압도적으로 쌉니다.
다시 말하지만 이 글은 공개된 법령과 정부 자료를 정리한 일반 정보이니, 실제 판단이 필요한 순간에는 변호사 등 전문가의 검토를 받아보시길 권해요.

출시를 준비하며 가장 당황했던 항목은 무엇이었나요, 이 11가지에서 빠진 게 있다면 댓글로 남겨주세요.

댓글

이 블로그의 인기 게시물

무료 AI 노트앱 총정리 — 노션·옵시디언·Tana, 돈 안 쓰고 어디까지 쓸까

2026 프론트엔드 트렌드 — 리액트에 도전하는 차세대 프레임워크 Qwik·Astro·Solid·HTMX 비교 총정리

AI 코딩 툴 가격 비교 2026 — 무료부터 월 $200까지, 어느 플랜이 내게 맞나?