몽클레르, 개인정보 안전조치 소홀로 제재

몽클레르가 개인정보 보호법 위반으로 과징금과 과태료 부과 징계를 받았다.

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 10일 ‘제20회 전체회의’를 열고, 개인정보 보호 법규를 위반한 ㈜몽클레르코리아(이하 ‘몽클레르’)에 대해 총 8,101만 원의 과징금과 720만 원의 과태료를 부과하고, 처분 결과를 공표하기로 했다.

몽클레르는 2021년 12월 개인정보처리시스템 해킹으로 약 23만 명의 개인정보가 유출된 사실을 2022년 1월 17일 인지하고 개인정보위에 유출 신고를 했다. 개인정보에는 성명, 생일, 이메일 주소, 카드번호, 배송방법, 쇼핑 특성, 신체사이즈 외 구매 정보 등이 포함되어 있다.

해커는 관리자 권한을 보유한 직원의 계정을 사전에 취득, 해당 관리자 권한으로 도메인 컨트롤러 서버(인증·권한 등 보안정책 관리서버)에 악성 소프트웨어를 배포하고 개인정보를 유출한 후 기존 데이터를 암호화했다. 

개인정보위 조사 결과, 몽클레르는 2019년 6월부터 웹사이트를 운영하면서, 취급자가 정보통신망을 통해 개인정보처리시스템에 접속하는 때에 아이디, 비밀번호 이외에 안전한 인증수단을 추가 적용하여야 함에도 이를 소홀히 한 것으로 나타났다. 

또한, 몽클레르는 개인정보 유출을 인지하고도 정당한 사유 없이 24시간을 경과하여 이용자에게 유출 통지(2022.1.20.) 및 신고(2022.1.22.)를 지연했다. 개정 전 개인정보 보호법에 따르면 24시간 내 유출사실을 신고·통지하도록 되어 있었다. 현재는 2023년 9월 개정 보호법에 따라 개인정보처리자에게 72시간 내에 유출 신고·통지를 해야 한다. 이에 개인정보위는 몽클레르에 과징금과 과태료를 부과하고, 처분 받은 사실을 개인정보위 홈페이지에 공표하기로 했다. 

개인정보처리자는 취급자가 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때에는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다고 개인정보위는 당부했다.

김성준 기자 tinnews@tinnews.co.kr

코리아패션뉴스닷컴

www.koreafashionnews.com