최근 개인정보보호에 대한 사회적 요구와 법적 규제가 강화되는 추세 속에서, ㈜몽클레르코리아(이하 몽클레르)가 개인정보 안전조치 소홀로 인해 개인정보보호위원회(이하 개인정보위)로부터 제재를 받았다. 이번 조치는 개별 기업의 위반 사례를 넘어, 디지털 전환 시대에 필수적인 개인정보 보호 의무의 중요성을 재확인하는 계기가 되었다.
개인정보위는 지난 9월 10일(수) 제20회 전체회의를 통해 몽클레르에 총 8천 101만 원의 과징금과 720만 원의 과태료를 부과하고, 그 처분 결과를 공표하기로 결정했다. 이는 몽클레르가 약 23만 명의 개인정보가 유출된 사실을 인지하고도 관련 법규를 준수하지 않았기 때문이다. 구체적으로 몽클레르는 2021년 12월 발생한 개인정보 유출 사고를 2022년 1월 17일에 인지했으나, 신고 및 통지 의무를 지연시킨 것으로 드러났다.
사고는 해커가 관리자 권한을 탈취하여 개인정보처리시스템에 악성 소프트웨어를 유포한 뒤 개인정보를 유출하고 데이터를 암호화하는 방식으로 이루어졌다. 개인정보위의 조사 결과, 몽클레르는 2019년 6월부터 웹사이트를 운영해왔음에도 불구하고, 내부 직원이 정보통신망을 통해 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 추가적인 안전한 인증수단을 적용하는 데 소홀했던 것으로 확인되었다. 또한, 개인정보 유출 사실을 인지한 후에도 정당한 사유 없이 24시간을 경과하여 이용자에게 유출 통지 및 개인정보위에 신고하는 것을 지연했다. 개정 전 개인정보 보호법은 24시간 이내의 신고·통지를 의무화하고 있었다.
이번 몽클레르에 대한 제재는 관련 업계 전반에 개인정보 안전조치의 중요성을 다시 한번 강조하는 메시지를 전달한다. 개인정보처리자는 앞으로도 개인정보 유출 사고를 예방하기 위해 취급자가 관리자 페이지 등 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호(OTP)와 같은 안전한 인증수단을 반드시 이용하도록 시스템을 갖추어야 한다. 이는 단순히 법적 의무 준수를 넘어, 고객의 신뢰를 구축하고 지속 가능한 경영을 위한 필수적인 요소임을 시사한다. 이번 사례는 개인정보 보호라는 거대한 흐름 속에서 개별 기업의 철저한 보안 관리 노력이 얼마나 중요한지를 보여주는 실천적 경고라 할 수 있다.
