개인정보 보호위원회

개인정보위, 개인정보 안전조치 소홀로 몽클레르 제재

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 10일(수) 제20회 전체회의를 열고, 개인정보 보호 법규를 위반한 ㈜몽클레르코리아(이하 ‘몽클레르’)에 대해 총 8천 101만 원의 과징금과 720만 원의 과태료를 부과하고, 처분 결과를 공표하기로 하였다.

  몽클레르의 구체적인 위반 내용과 처분 결과는 다음과 같다.

  몽클레르는 개인정보처리시스템 해킹으로 약 23만 명의 개인정보*가 유출(’21.12월)된 사실을 인지(’22.1.17.)하고 개인정보위에 유출신고(’22.1.22.)하였다. 

 * 성명, 생일, 이메일주소, 카드번호, 배송방법, 쇼핑특성, 신체사이즈 외 구매 정보 등

  해커는 관리자 권한을 보유한 직원의 계정을 사전에 취득, 해당 관리자 권한으로 도메인 컨트롤러 서버(인증·권한 등 보안정책 관리서버)에 악성 소프트웨어를 배포하고 개인정보를 유출한 후 기존 데이터를 암호화하였다. 

  개인정보위 조사 결과, 몽클레르는 ’19.6월부터 웹사이트를 운영하면서, 취급자가 정보통신망을 통해 개인정보처리시스템에 접속하는 때에 아이디, 비밀번호 이외에 안전한 인증수단을 추가 적용하여야 함에도 이를 소홀히 한 것으로 나타났다. 

  또한, 몽클레르는 개인정보 유출을 인지하고도 정당한 사유 없이 24시간을 경과하여 이용자에게 유출 통지(’22.1.20.) 및 신고(’22.1.22.)를 지연하였다.  개정전 개인정보 보호법에 따르면 24시간 내 유출사실을 신고·통지하도록 되어 있었다.

 ※ 현재는 ’23. 9. 개정 보호법에 따라 개인정보처리자에게 72시간 내에 유출 신고·통지 규정 

  이에 개인정보위는 몽클레르에 과징금과 과태료를 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표하기로 하였다. 

  개인정보처리자는 취급자가 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때에는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다고 개인정보위는 당부했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사1과 도혜원(02-2100-3117)