개인정보 안전조치를 소홀히 해 약 23만명의 개인정보를 유출한 몽클레르코리아에 과징금과 과태료 8800여만원이 부과됐다.
개인정보보호위원회는 전날 오후 정부서울청사에서 전체 회의를 열고 이같이 의결했다고 밝혔다.
개인정보위에 따르면 몽클레르는 지난 2021년 12월 발생한 개인정보처리시스템 해킹으로 약 23만명의 개인정보가 유출된 사실을 2022년 1월 17일 인지했으며, 같은 해 1월 22일 개인정보위에 해당 사실을 신고했다.
이때 유출된 개인정보는 성명, 생일, 이메일주소, 카드번호, 배송방법, 쇼핑특성, 신체사이즈 외 구매 정보 등이었다.
개인정보위 조사결과 해커는 관리자 권한을 보유한 직원의 계정을 사전에 취득, 해당 관리자 권한으로 도메인 컨트롤러 서버(인증·권한 등 보안정책 관리서버)에 악성 소프트웨어를 배포하고 개인정보를 유출한 후 기존 데이터를 암호화했다.
그러나 몽클레르는 웹사이트를 운영하면서, 취급자가 정보통신망을 통해 개인정보처리시스템에 접속하는 때에 아이디, 비밀번호 이외에 안전한 인증수단을 추가 적용해야 함에도 이를 소홀히 한 것으로 나타났다. 아울러 몽클레르는 개인정보 유출을 인지하고도 정당한 사유 없이 24시간을 경과해 이용자에게 유출 통지를 지연했다.
개인정보위는 "개인정보처리자는 취급자가 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때에는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다"고 당부했다.