개인정보위, 개인정보법 위반 '몽클레르'에 8821만원 금전적 제재

국내 한 백화점의 몽클레르 매장 모습. [사진=연합뉴스]

개인정보보호위원회가 개인정보 보호 법규를 위반한 ‘몽클레르코리아’에 과징금 8101만원과 과태료 720만원을 부과했다.
 
개인정보위는 전날 제20회 전체회의를 열고 이러한 사항을 확정했다고 11일 밝혔다.
 
몽클레르는 2021년 12월 개인정보처리시스템 해킹으로 약 23만 명의 개인정보가 유출된 사실을 다음 해 1월 17일에 인지했다. 이어 22일 개인정보위에 관련 내용을 신고했다. 유출 내용에는 성명과 생일 정보 외에도 이메일주소‧카드번호‧배송방법‧쇼핑특성‧신체사이즈 등이 포함됐다.
 
해커는 관리자 권한 보유 직원 계정을 사전 취득해, 해당 권한으로 도메인 컨트롤러 서버(인증·권한 등 보안정책 관리서버)에 악성 소프트웨어를 배포하고 개인정보를 유출했다. 기존 데이터도 암호화했다.
 

개인정보위는 관련 조사를 진행했고, 그 결과 몽클레르가 2019년 6월부터 웹사이트를 운영하면서 취급자가 정보통신망을 통해 개인정보처리시스템에 접속할 때 처리 과정을 소홀히 했다고 판단했다. 아이디, 비밀번호 외에 안전한 인증수단을 추가 적용해야 하는데 이를 지키지 않았다.
 
또 개인정보 유출 사실을 인지한 뒤 정당한 사유 없이 24시간 경과 후 이용자에게 유출 통지와 신고를 실시했다. 개정 전 개인정보 보호법에는 24시간 내 유출 사실을 신고·통지하도록 돼 있다.
 
개인정보위는 “개인정보처리자가 시스템에 접속할 때에는 아이디, 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다”고 당부했다.