몽클레르 23만 명 개인정보 유출, 과징금 '1인당 382원' 논란

명품 브랜드 몽클레르코리아가 고객 약 23만 명의 개인정보를 유출하고, 8천8백만 원의 과징금과 과태료를 부과받았다. 이는 피해자 1인당 약 382원에 불과한 금액으로, 대규모 유출 사고의 심각성에 비해 처벌이 너무 가볍다는 비판이 제기된다.

사고는 2021년 12월, 해커가 관리자 계정을 탈취하면서 발생했다. 조사 결과, 몽클레르코리아는 관리자 페이지에 접속할 때 일회용 비밀번호(OTP)와 같은 추가 인증 수단을 적용하지 않는 등 허술한 보안 시스템을 운영한 것으로 드러났다.

또한, 해킹 사실을 인지한 뒤에도 법정 기한인 24시간을 넘겨 이용자와 개인정보보호위원회에 신고하는 등 미흡한 대응이 확인됐다.

한국과 해외, 과징금 산정 방식의 차이

개인정보보호위원회는 과징금 부과 시 단순히 유출 인원수만 고려하는 것이 아니라, 위반 행위의 내용, 기간, 기업의 매출액 등 여러 요소를 종합적으로 판단한다. 그러나 일각에서는 이 기준이 대기업의 책임을 제대로 묻기에는 부족하다고 지적한다.

실제로 해외의 경우는 다르다. 유럽연합(EU)의 일반 개인정보 보호법(GDPR)은 기업의 전 세계 연간 매출액을 기준으로 과징금을 부과한다.

위반의 중대성에 따라 최대 연간 매출액의 4%까지 과징금을 부과할 수 있으며, 이 때문에 구글, 아마존과 같은 거대 기업들이 수백억 원의 과징금을 부과받기도 했다.

이는 기업의 규모에 비례해 책임을 묻는 강력한 제재 방식으로, 대규모 기업의 개인정보 보호 의식을 제고하는 데 효과적이라는 평가를 받는다.

한국의 경우, 법상 과징금 한도가 상대적으로 낮아 기업이 개인정보 유출을 '경영 비용'으로 인식할 수 있다는 우려가 제기되기도 한다.

기업의 책임 강화와 제도적 개선이 필요한 시점

이번 몽클레르코리아 사례는 현행 과징금 제도의 실효성에 대한 의문을 남겼다. 단순히 법적 의무를 준수하는 것을 넘어, 기업이 고객 개인정보 보호를 최우선 가치로 삼고 보안 시스템에 적극적으로 투자해야 한다는 목소리가 커지고 있다.

과징금 제도가 솜방망이 처벌이라는 비판을 넘어서려면, 개인정보 유출의 심각성을 반영한 현실적인 과징금 산정 기준 마련이 필요하다.

이를 통해 기업의 책임감을 높이고, 더 이상 고객 정보가 가벼이 여겨지지 않도록 사회적 인식을 변화시켜야 한다.