개인정보 보호에 대한 기업의 책임이 강조되고 있다. ㈜몽클레르코리아(이하 몽클레르)는 개인정보 처리 시스템에 대한 안전조치를 소홀히 하여 약 23만 명의 개인정보가 유출되는 사고를 겪었으며, 이에 대해 개인정보보호위원회(이하 개인정보위)로부터 총 8천 101만 원의 과징금과 720만 원의 과태료를 부과받았다. 또한, 처분 결과는 개인정보위 홈페이지에 공표된다.
몽클레르의 이번 제재는 두 가지 주요 위반 사항에 근거한다. 첫째, 2019년 6월부터 운영해 온 웹사이트와 관련하여 개인정보 처리 시스템에 대한 안전조치가 미흡했던 점이다. 개인정보위 조사 결과, 몽클레르는 취급자가 정보통신망을 통해 개인정보 처리 시스템에 접속할 때 아이디와 비밀번호 외에 추가적인 안전 인증수단을 적용해야 함에도 불구하고 이를 제대로 이행하지 않은 것으로 드러났다. 이러한 보안 취약점을 통해 해커는 관리자 권한을 보유한 직원의 계정을 사전에 취득하였고, 이를 이용해 도메인 컨트롤러 서버에 악성 소프트웨어를 유포하였다. 이 과정에서 개인정보가 유출되었을 뿐만 아니라, 기존 데이터가 암호화되는 피해까지 발생하였다.
둘째, 몽클레르는 2021년 12월 개인정보 유출 사실을 인지하고도 적절한 조치를 지연했다. 2022년 1월 17일 유출 사실을 인지한 몽클레르는 법규에서 정한 24시간 이내의 신고 및 이용자 통지 의무를 이행하지 않고, 각각 2022년 1월 22일과 2022년 1월 20일에 신고 및 통지를 지연하였다. 개정 전 개인정보 보호법에 따라 24시간 내 유출 사실을 신고하고 통지해야 했으나, 몽클레르는 이 규정을 준수하지 않았다.
이번 개인정보위의 제재는 기업이 개인정보 보호를 위한 기본적인 기술적·관리적 보호 조치를 철저히 이행해야 함을 분명히 보여준다. 개인정보위는 앞으로 개인정보처리자가 취급자의 개인정보처리시스템 접속 시, 아이디와 비밀번호 외에 일회용 비밀번호(OTP)와 같은 안전한 인증수단을 반드시 이용하도록 해야 한다고 강조했다. 이러한 조치는 이번 몽클레르 사례와 같은 대규모 개인정보 유출 사고를 예방하고, 이용자들의 개인정보를 안전하게 보호하는 데 필수적이다. 이번 제재를 계기로 유사한 사고가 재발하지 않도록 모든 기업은 개인정보 보호에 대한 경각심을 높여야 할 것이다.
About the Author
