23만명 개인정보 유출 몽클레르, 과징금·과태료 8천800만원

"정당한 사유 없이 개인정보 유출 신고·통지 지연"

고학수 개인정보보호위원회 위원장이 10일 서울 종로구 정부서울청사에서 열린 제20회 전체회의에서 발언하고 있다. 연합뉴스

개인정보보호위원회는 개인정보 안전조치를 소홀히 해 약 23만명의 개인정보가 유출된 몽클레르 코리아에 과징금 8천101만원과 과태료 720만원을 각각 부과한다고 11일 밝혔다.

개인정보위는 전날 오후 정부서울청사에서 전체 회의를 열고 이같이 의결했다.

11일 개인정보위에 따르면 몽클레르는 2021년 12월 개인정보처리시스템 해킹으로 고객 정보가 유출됐다는 사실을 2022년 1월 17일 인지했다.

유출된 정보는 성명, 생일, 이메일주소, 카드번호, 배송방법, 쇼핑특성, 신체 사이즈를 제외한 구매 정보 등이다.

몽클레르는 2022년 1월 20일 이용자에게 개인정보 유출 사실을 통지해 법정 기한인 24시간을 넘겼다. 또 개인정보위에도 같은해 1월 22일이 돼서야 신고했다.

당시 개인정보보호법은 24시간 내 유출 사실을 신고·통지하도록 규정하고 있었다. 현재는 2023년 9월 개정된 개인정보보호법에 따라 개인정보처리자가 72시간 이내에 유출을 신고·통지해야 한다.

해커는 관리자 권한을 가진 직원의 계정을 탈취해 보안정책을 관리하는 도메인 컨트롤러 서버에 악성 소프트웨어를 심은 것으로 드러났다. 이를 통해 고객 개인정보를 빼낸 뒤 기존 데이터를 암호화했다.

몽클레르는 2019년 6월부터 웹사이트를 운영하면서 직원이 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 추가 인증수단을 적용하지 않은 것으로 드러났다.

개인정보위는 "개인정보처리자는 직원이 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호 등 안전한 인증수단을 추가로 이용하도록 조치해야 한다"고 당부했다.