몽클레르 23만명 개인정보 유출해도 과징금은 8101만원

몽클레르 CI / 사진 몽클레르 SNS 갈무리

(콕스뉴스 김영수 기자) 무려 23만명의 개인정보를 유출한 몽클레르가 8000만원대 과징금/과태료 처분을 받았다. 성명, 메일, 카드번호, 신체사이즈 등 민감한 개인정보가 모두 털렸지만, 얼마전 SK텔레콤 관련 처분 당시와는 결이 달랐다. 

개인정보보호위원회는 럭셔리 패션 브랜드 몽클레르코리아에 대해 8101만원의 과징금과 720만원의 과태료를 부과하는 제재 조치를 했다고 11일 밝혔다.

이번 제재의 핵심은 2021년 12월 발생한 대규모 개인정보 유출 사건이다. 해커들이 몽클레르의 시스템에 침투해 23만명의 고객 정보를 빼내간 것으로 밝혀졌다. 유출된 정보에는 성명, 생일, 이메일 주소는 물론 카드번호, 신체사이즈, 구매내역 등 민감한 개인정보가 포함됐다.

조사 결과, 몽클레르의 보안 체계는 구멍투성이였다. 해커들은 관리자 권한을 가진 직원의 계정을 미리 탈취한 후, 이를 이용해 도메인 컨트롤러 서버에 악성 소프트웨어를 심었다. 그 후 개인정보를 유출하고 기존 데이터를 암호화해 시스템을 마비시켰다.

가장 심각한 문제는 몽클레르가 2019년 6월부터 웹사이트를 운영하면서도 기본적인 보안 조치를 소홀히 했다는 점이다. 법적으로 의무화된 2단계 인증(아이디, 비밀번호 외 추가 인증수단)을 적용하지 않아 해커들의 침입을 쉽게 허용했다.

몽클레르는 유출 사실을 인지하고도 신속한 대응을 하지 않았다. 2022년 1월 17일 유출 사실을 파악했음에도 불구하고 고객 통지는 1월 20일, 당국 신고는 1월 22일에야 이뤄졌다. 당시 법률에 따르면 24시간 내 신고와 통지가 의무였지만, 몽클레르는 이를 어겼다.

현재는 개정된 개인정보보호법에 따라 유출 신고·통지 기한이 72시간으로 연장됐지만, 당시에는 더욱 엄격한 기준이 적용됐다.

개인정보보호위원회 관계자는 "개인정보처리자는 관리자 시스템 접속 시 일회용 비밀번호(OTP) 등 안전한 인증수단을 반드시 사용해야 한다"고 말했다.