이탈리아 명품 브랜드 몽클레르코리아(이하 ‘몽클레르’)가 개인정보 유출 사고와 관련해 총 8천101만 원의 과징금과 720만 원의 과태료를 부과받았다. 

개인정보보호위원회(이하 개인정보위)는 9월 10일 제20회 전체회의를 열고 이같은 처분과 함께 결과를 홈페이지에 공표하기로 했다.

이번 제재는 몽클레르가 개인정보 보호 법규를 위반한 데 따른 것이다. 

개인정보위 조사에 따르면, 몽클레르는 지난 2021년 12월 해킹으로 약 23만 명의 개인정보가 유출된 사실을 2022년 1월 17일 인지했으며, 개인정보위에 신고는 1월 22일에야 이루어졌다. 

유출된 개인정보에는 성명, 생일, 이메일주소, 카드번호, 배송방법, 쇼핑 특성, 신체 사이즈 등 구매 정보가 포함됐다.

해커는 관리자 권한을 가진 직원 계정을 사전에 취득한 뒤, 해당 권한으로 도메인 컨트롤러 서버(인증·권한 관리 서버)에 악성 소프트웨어를 배포해 개인정보를 유출하고 기존 데이터를 암호화한 것으로 조사됐다.

개인정보위는 몽클레르가 2019년 6월부터 웹사이트를 운영하면서, 개인정보처리시스템 접속 시 아이디와 비밀번호 외에 안전한 인증수단을 추가로 적용해야 함에도 이를 소홀히 한 점을 확인했다. 

또한, 개인정보 유출 사실을 인지하고도 정당한 사유 없이 24시간 내 이용자에게 통지하지 않고 신고를 지연한 점도 문제로 지적됐다. 당시 개정 전 개인정보 보호법상 개인정보 유출 사실은 24시간 내 신고·통지하도록 규정돼 있었다. 

현재는 2023년 9월 개정 법에 따라 72시간 내 신고·통지가 의무화됐다.

개인정보위는 이번 처분과 함께 “개인정보처리자는 관리자페이지 등 개인정보처리시스템 접속 시 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 반드시 적용해야 한다”고 강조했다.

[경제엔미디어=장민철 기자]