“23만명 정보 털렸다”…몽클레르, 인증 부실로 개인정보위 제재

패션 브랜드 몽클레르의 개인정보 처리시스템 해킹 사건이 국내 개인정보보호 정책 강화의 시금석이 되고 있다. 최근 개인정보보호위원회는 몽클레르에 대해 과징금 8101만원 및 과태료 720만원을 부과하기로 의결했다. 글로벌 기업의 인증수단 미적용, 유출 통지 지연 등 관리체계 취약점이 드러나면서 관련 산업계 전반의 보안 기준 점검 필요성에 힘이 실리고 있다. 업계는 이번 조치를 ‘디지털 신원관리 및 정보보호 경쟁의 분기점’으로 평가하는 분위기다.

몽클레르는 2021년 12월 내부 시스템 해킹을 통해 약 23만명의 개인정보가 외부로 유출되는 사고를 겪었다. 유출 정보는 성명, 생년월일, 이메일, 카드번호, 배송방법, 쇼핑특성, 신체사이즈 등 구매 관련 정보 일체에 걸쳐 있었다. 조사결과 해커는 관리자 권한을 가진 직원 계정을 사전에 확보한 뒤, 도메인 컨트롤러 서버에 악성코드를 배포해 개인정보를 빼내고 원본 데이터를 암호화했다. 이렇게 복잡한 내부 통제 우회를 통한 해킹은 최근 들어 꾸준히 증가 추세에 있다.

특히 이번 사건은 관리자 계정 접근 시 ‘이중 인증(MFA, Multi-Factor Authentication)’과 같은 안전장치를 미적용한 사실이 핵심 위반으로 지적됐다. 현재 국내 보안지침에 따르면 관리자페이지 등 중요 개인정보시스템 접속 때에는 아이디·비밀번호 외에 OTP(일회용 비밀번호) 또는 생체·기기인증 등 추가적 인증 절차를 반드시 거쳐야 한다. 몽클레르가 이를 준수하지 않아 해킹 리스크가 커졌다는 분석이다. 또 개인정보 유출 사실을 인지하고도, 법적 기준인 24시간 내 이용자 통지 의무를 이행하지 않아 경각심을 높이고 있다.

글로벌 진출 기업이나 다국적 플랫폼 역시 개인정보보호법에 따라 국내 사용자 정보 관리의무를 준수해야 한다. 개인정보위가 밝힌 바에 따르면, 유럽GDPR(일반 개인정보보호규정)·미국 CCPA(캘리포니아 소비자정보 보호법) 등에서도 이중 인증 강화, 사고 발생 즉시 통지 의무는 강화 추세다. 주요 IT·바이오 기업들은 인증기술 투자를 확대하고, 사고 대응 프로토콜 정비에 나서는 등 경쟁적으로 보안 역량을 높이는 분위기다.

개인정보 보호체계가 국제 표준에 부합하지 않으면 데이터 경제 시대에 신뢰 하락·물류 차질·파생법적 책임 등 산업 전반으로 리스크가 확산될 수 있다는 우려도 나온다. 전문가들은 “일회용 비밀번호, 다중 인증수단 강화 등 기술적 조치와 긴급 통지 체계 마련이 개인정보 산업 보호의 핵심”이라고 진단한다.

산업계는 이번 조치가 글로벌 IT·바이오 산업의 데이터 관리 방식을 근본적으로 재점검하는 계기가 될지 주목하고 있다. 기술과 윤리, 산업과 제도 간 균형이 새로운 성장의 조건이 되고 있다.