소비자라면 누구나 겪을 수 있는 개인정보 유출 사고, 이제 더 깐깐하게 관리됩니다. 명품 브랜드 몽클레르가 개인정보 안전 조치를 소홀히 한 책임을 물어 8천 101만 원의 과징금과 720만 원의 과태료, 총 8천 8백만 원이 넘는 제재를 받았습니다. 이는 약 23만 명의 개인정보가 유출된 사고 때문입니다.
이번 제재는 ㈜몽클레르코리아(이하 몽클레르)가 지난 2021년 12월 개인정보처리시스템 해킹으로 인해 성명, 생년월일, 이메일 주소, 카드번호, 배송 방법, 쇼핑 특성, 신체 사이즈 등 개인정보가 유출된 사실을 인지하고도 즉시 신고하지 않아 이루어졌습니다. 몽클레르는 2022년 1월 17일 유출 사실을 인지했지만, 개인정보보호위원회(이하 개인정보위)에는 1월 22일에야 유출 신고를 하여 5일이 지연된 것으로 확인되었습니다.
몽클레르의 개인정보 유출 경위는 해커가 관리자 권한을 가진 직원의 계정을 먼저 탈취하는 것으로 시작되었습니다. 이를 이용해 해커는 인증 및 보안 정책 관리를 담당하는 도메인 컨트롤러 서버에 악성 소프트웨어를 배포했습니다. 이 과정에서 개인정보를 유출하고 기존 데이터를 암호화하는 범죄를 저질렀습니다.
개인정보위 조사 결과, 몽클레르는 2019년 6월부터 웹사이트를 운영하면서 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 추가적인 안전 인증 수단을 적용하는 데 소홀했던 것으로 드러났습니다. 이는 개인정보 보호 법규 위반에 해당합니다. 더불어, 개인정보 유출 사실을 인지한 후에도 정당한 사유 없이 24시간이 지나서야 이용자에게 유출 사실을 알리고 신고하는 등 통지 및 신고 의무를 지연했습니다. 개정 전 개인정보 보호법에 따르면 24시간 내 신고 및 통지가 의무였지만, 몽클레르는 이 기한을 넘겼습니다. (현재는 2023년 9월 개정된 보호법에 따라 72시간 내 신고·통지 규정이 적용됩니다.)
이에 따라 개인정보위는 몽클레르에 총 8천 101만 원의 과징금과 720만 원의 과태료를 부과했으며, 이 사실을 개인정보위 홈페이지에 공표하기로 결정했습니다.
앞으로 개인정보를 다루는 모든 사업자는 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호(OTP)와 같은 안전한 인증 수단을 반드시 이용하도록 해야 합니다. 이는 개인정보 유출 사고를 예방하고 소비자의 소중한 정보를 보호하기 위한 필수적인 조치입니다.
더 많은 이야기
BT21 캐릭터, 이제 새롭게 만난다… IPX 파트너십 발표
우리 생활 바꿀 AI 기술, KT가 선택한 기업이 세계 상 받았다
AI 네트워크 기업 주목, 정부 지원 1287억 원 풀린다