개인정보위, 개인정보 안전조치 소홀로 몽클레르 제재

다음은 대한민국 정부 부처에서 발표한 보도자료를 바탕으로 작성된 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 개인정보위)는 2025년 9월 10일 제20회 전체회의를 통해 ㈜몽클레르코리아(이하 몽클레르)가 개인정보 안전조치 의무를 소홀히 하고 개인정보 유출 통지 및 신고를 지연한 사실을 확인하여 제재를 결정했습니다. 몽클레르는 2021년 12월 해킹으로 약 23만 명의 개인정보를 유출했으며, 이에 개인정보위는 총 8,101만 원의 과징금과 720만 원의 과태료를 부과하고 처분 사실을 공표하기로 했습니다. 이번 제재는 개인정보취급자의 시스템 접속 시 아이디와 비밀번호 외에 안전한 추가 인증수단 적용의 중요성을 강조하며, 기업의 개인정보 보호 책임 강화를 목적으로 합니다.

2. 주요 내용

• 제재 결정 및 부과 내역: 개인정보보호위원회는 2025년 9월 10일 제20회 전체회의를 개최하여 ㈜몽클레르코리아에 대한 제재를 의결했습니다. 몽클레르에는 개인정보 안전조치 의무 위반 및 유출 통지·신고 지연에 따라 총 8,101만 원의 과징금(행정벌금의 일종으로, 위반 행위로 얻은 이익을 환수하는 성격)과 720만 원의 과태료(행정법규 위반에 대한 금전적 제재)가 부과되었으며, 처분 결과는 개인정보위 홈페이지에 공표될 예정입니다.

• 대규모 개인정보 유출 발생: 몽클레르는 2021년 12월 개인정보처리시스템 해킹으로 약 23만 명에 달하는 고객의 개인정보가 유출되는 심각한 사고를 겪었습니다. 유출된 정보에는 성명, 생일, 이메일 주소, 카드번호, 배송 방법, 쇼핑 특성, 신체 사이즈 및 구매 정보 등 민감한 개인정보가 다수 포함되어 있어 피해 규모가 상당했습니다.

• 해킹 경위 및 수법: 해커는 관리자 권한을 가진 직원의 계정을 사전에 탈취한 후, 해당 관리자 권한을 이용하여 도메인 컨트롤러 서버(사용자 인증, 권한 부여 등 보안 정책을 관리하는 핵심 서버)에 악성 소프트웨어를 배포했습니다. 이를 통해 개인정보를 유출하고 기존 데이터를 암호화하는 방식으로 공격을 감행한 것으로 개인정보위 조사 결과 밝혀졌습니다.

• 안전조치 의무 위반 (접근통제 소홀): 개인정보위 조사 결과, 몽클레르는 2019년 6월부터 웹사이트를 운영하면서 개인정보취급자(개인정보를 처리하는 업무를 담당하는 직원)가 정보통신망을 통해 개인정보처리시스템(개인정보를 저장, 관리하는 시스템)에 접속할 때 아이디와 비밀번호 외에 추가적인 안전한 인증수단(예: 일회용 비밀번호(OTP), 생체인증 등)을 적용하지 않았습니다. 이는 「개인정보 보호법」 제29조에 명시된 안전조치 의무 중 접근통제 조치를 소홀히 한 것에 해당합니다.

• 유출 통지 및 신고 지연: 몽클레르는 개인정보 유출 사실을 2022년 1월 17일 인지했음에도 불구하고, 정당한 사유 없이 24시간을 경과하여 이용자에게 유출 통지(2022년 1월 20일) 및 개인정보위 신고(2022년 1월 22일)를 지연했습니다. 당시 「개정 전 개인정보 보호법」은 개인정보 유출 사실을 인지한 후 24시간 이내에 신고·통지하도록 의무화하고 있었으며, 현재는 2023년 9월 개정 보호법에 따라 72시간 이내에 신고·통지하도록 규정하고 있습니다.

• 처분 결과 공표 및 시정 조치: 개인정보위는 몽클레르에 부과된 과징금 및 과태료 외에도, 해당 위반 사실과 처분 결과를 개인정보보호위원회 홈페이지에 공표하도록 결정했습니다. 이는 유사 사례의 재발을 방지하고 다른 개인정보처리자(개인정보를 처리하는 주체, 즉 기업이나 기관)들에게 경각심을 일깨우며, 개인정보 보호 의무 이행을 독려하기 위한 강력한 조치로 풀이됩니다.

• 개인정보위의 당부 사항: 개인정보위는 이번 사례를 통해 모든 개인정보처리자에게 개인정보취급자가 정보통신망을 통해 관리자 페이지 등 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호(OTP)와 같은 안전한 추가 인증수단을 반드시 이용하도록 당부했습니다. 이는 개인정보 유출 사고를 예방하는 데 있어 가장 기본적인 동시에 핵심적인 안전조치임을 강조했습니다.

3. 배경 및 목적

이번 개인정보보호위원회의 몽클레르 제재는 최근 급증하는 사이버 공격과 개인정보 유출 사고로부터 국민의 소중한 개인정보를 보호하고, 기업의 개인정보 보호 책임 의식을 강화하기 위한 정책적 배경을 가지고 있습니다. 특히, 기업의 디지털 전환 가속화와 함께 개인정보처리시스템의 보안 취약점을 노린 해킹 시도가 빈번해지면서, 기본적인 안전조치 의무 준수의 중요성이 더욱 부각되고 있습니다. 개인정보는 현대 사회에서 개인의 삶과 직결되는 중요한 자산이므로, 이를 안전하게 관리하는 것은 기업의 사회적 책임이자 법적 의무입니다.

이번 제재의 구체적인 목적은 몽클레르와 같이 개인정보 안전조치 의무를 소홀히 하여 대규모 개인정보 유출을 야기한 기업에 대해 엄정한 법 집행을 통해 경각심을 일깨우는 데 있습니다. 또한, 개인정보 유출 발생 시 신속한 통지 및 신고를 의무화하여 피해 확산을 방지하고, 이용자들의 알 권리를 보장함으로써 개인정보 주체의 권익을 보호하는 데 그 필요성이 있습니다. 궁극적으로는 모든 개인정보처리자가 「개인정보 보호법」에 명시된 안전조치 의무를 철저히 이행하도록 유도하여, 안전하고 신뢰할 수 있는 개인정보 처리 환경을 조성하고 국민의 개인정보 자기결정권을 보장하는 데 기여하고자 합니다.

4. 세부 추진 내용

개인정보보호위원회는 몽클레르의 개인정보 유출 사고 인지 후 즉시 조사에 착수하여 위반 사실을 면밀히 확인했습니다. 조사 과정에서는 해킹 경위, 유출된 개인정보의 종류와 규모, 몽클레르의 개인정보처리시스템 운영 실태, 그리고 「개인정보 보호법」에 따른 안전조치 이행 여부 등이 중점적으로 검토되었습니다. 특히, 개인정보취급자의 시스템 접속 시 추가 인증수단 미적용과 유출 통지 및 신고 지연 여부가 「구 개인정보 보호법」 제29조(안전조치 의무) 및 제39조의4 제1항(개인정보 유출 통지·신고 의무) 위반 여부를 판단하는 핵심 기준이 되었습니다. 개인정보위 조사1과에서 담당 조사관을 배정하여 관련 자료 분석, 현장 점검, 관계자 진술 청취 등 다각적인 조사를 진행했습니다.

조사 결과를 바탕으로 개인정보위는 2025년 9월 10일 제20회 전체회의를 개최하여 심도 있는 논의를 거쳤습니다. 회의에서는 몽클레르의 위반 행위의 중대성과 약 23만 명에 달하는 피해 규모, 그리고 사고 발생 후의 시정 노력 등을 종합적으로 고려하여 과징금 8,101만 원과 과태료 720만 원 부과 및 처분 사실 공표를 최종 결정했습니다. 이러한 절차는 「개인정보 보호법」에 근거하여 이루어졌으며, 위반 사업자에 대한 법적 책임을 명확히 하고 재발 방지를 위한 실질적인 조치를 강구하는 데 중점을 두었습니다. 이번 제재는 개인정보위의 정기적인 법규 위반 감시 및 조사 활동의 일환으로 추진되었으며, 특정 예산이 별도로 책정되기보다는 상시적인 업무 프로세스에 따라 진행되었습니다.

5. 기대 효과

이번 몽클레르 제재를 통해 개인정보보호위원회는 여러 긍정적인 기대 효과를 얻을 수 있을 것으로 예상합니다. 첫째, 약 23만 명에 달하는 유출 피해자들을 포함한 모든 국민은 기업의 개인정보 보호 책임이 강화되고 있음을 인지하게 되어 개인정보 보호에 대한 신뢰도가 높아질 것입니다. 또한, 유사 사고 발생 시 기업들이 더욱 신속하게 유출 사실을 통지하고 신고하도록 유도하여 피해 확산을 최소화하고 정보 주체의 알 권리를 보장하는 데 기여할 것입니다. 이는 궁극적으로 개인정보 주체의 권익을 실질적으로 보호하는 효과를 가져올 것입니다.

둘째, 모든 개인정보처리자들은 이번 사례를 통해 개인정보 안전조치 의무의 중요성을 다시 한번 인식하고, 자체적인 보안 시스템을 점검하고 강화하는 계기를 마련할 것입니다. 특히, 개인정보취급자의 시스템 접근 시 추가 인증수단 적용과 같은 기본적인 보안 수칙 준수가 기업의 법적 리스크를 줄이고 고객 신뢰를 확보하는 데 필수적임을 깨닫게 될 것입니다. 이를 통해 기업들의 자율적인 개인정보 보호 역량이 강화되고, 대한민국 전반의 개인정보 처리 환경이 더욱 안전하고 견고해지는 효과를 가져올 것으로 기대됩니다.

6. 향후 계획

개인정보보호위원회는 이번 몽클레르 제재를 계기로 개인정보처리자들의 안전조치 의무 준수 여부에 대한 감독을 더욱 강화해 나갈 계획입니다. 특히, 개인정보취급자의 시스템 접근 통제 및 추가 인증수단 적용과 같은 기본적인 보안 수칙이 현장에서 제대로 이행되고 있는지 지속적으로 점검할 예정입니다. 또한, 2023년 9월 개정된 「개인정보 보호법」에 따라 개인정보 유출 통지 및 신고 기한이 72시간으로 변경된 만큼, 새로운 규정에 대한 기업들의 이해를 돕고 준수를 독려하기 위한 교육 및 홍보 활동도 병행할 것입니다. 개인정보위는 앞으로도 유사한 개인정보 유출 사고를 예방하고 국민의 개인정보를 안전하게 보호하기 위해 법규 위반 행위에 대해서는 무관용 원칙에 따라 엄정하게 대응할 것입니다. 이를 통해 기업들이 개인정보 보호를 단순한 규제가 아닌 필수적인 경영 가치로 인식하도록 유도하고, 안전한 디지털 사회를 구현하기 위한 정책적 노력을 지속적으로 추진해 나갈 방침입니다.