[데일리시큐]해킹으로 23만여 명 개인정보 유출 '몽클레르'…과징금 8천101만 원 부과

내용 요약

개인정보보호위원회가 몽클레르코리아에 대해 8천101만 원 과징금과 720만 원 과태료를 부과했습니다. 2021년 12월 발생한 해킹 사건으로 23만 명의 개인정보가 유출됐으며, 유출 데이터는 성명·생일·이메일·카드번호·배송방법 등 핵심 식별 정보가 포함되었습니다. 이번 조치는 개인정보 보호법 위반에 대한 경각심을 제고하고 기업의 보안·컴플라이언스 관행을 강화하려는 목적입니다.

핵심 포인트

• 규제 대응: 개인정보보호위원회는 위반 행위에 대해 과징금·과태료를 부과하며, 공표를 통해 기업의 책임을 명확히 함.
• 데이터 유출 경위: 2021년 해킹 사고로 23만 명의 식별 가능한 개인정보가 유출, 카드번호 등 민감 정보 포함.
• 컴플라이언스 중요성: 개인정보 보호법 위반 시 금전적·신뢰적 손실이 커지며, 기업은 보안 체계와 내부 프로세스를 재정비해야 함.

기술 세부 내용

1️⃣ 데이터 유출 탐지 및 대응

• 침입 탐지 시스템(IDS)
  1️⃣ 네트워크 트래픽을 모니터링하고 비정상 패턴(예: 반복 로그인 시도, 비정상 포트 접속)을 실시간 감지.
  2️⃣ 경고 발생 시 SIEM(보안 정보 및 이벤트 관리)과 연동해 로그를 수집, 정규화.
  3️⃣ 알림은 SOC(보안 운영 센터) 담당자에게 즉시 전달되어 조치를 신속히 진행.
• 침해 사고 대응 프로세스
  1️⃣ 감지: IDS/SIEM이 이상 징후를 포착.
  2️⃣ 분류: 사고 범위(내부/외부, 데이터 종류)를 평가.
  3️⃣ 격리: 영향을 받은 시스템을 네트워크에서 분리, 추가 피해 방지.
  4️⃣ 분석: 포렌식 도구를 사용해 침해 경로, 악성코드 유형 파악.
  5️⃣ 복구: 백업에서 정상 이미지 복원, 패치 및 보안 설정 재검토.
  6️⃣ 보고: 개인정보보호위원회에 72시간 이내에 통지·보고, 유출 데이터 목록 공개.
• 데이터 최소화·암호화
  • 데이터 분류: 민감정보(예: 카드번호, 주민등록번호)는 별도 암호화 저장.
  • AES-256: 전송·저장 시 동기식 암호화 적용, 키는 HSM(하드웨어 보안 모듈)에서 관리.
  • 마스킹: 고객 서비스 시 카드번호 4자리만 표시하도록 마스킹 구현.

2️⃣ 개인정보 보호법(Personal Information Protection Act) 준수

• 법령 구조
  1️⃣ 개인정보의 수집·이용·제공 시 명시적 동의 필요.
  2️⃣ 보유·이용 기간을 명확히 정하고, 필요 종료 시 즉시 파기.
  3️⃣ 제3자 제공 시 별도 계약·동의서 확보 및 보안 조치 의무.
• 컴플라이언스 관리 체계
  • 정책 수립: 개인정보 처리 방침, 보안 정책을 명문화.
  • 위험평가: OWASP Top 10과 ISO/IEC 27001 기준으로 위험도를 평가.
  • 교육·인식: 전 직원 대상 정기 교육, 피싱 테스트 실시.
  • 감사·점검: 외부 인증기관(예: ISO 27001)과 내부 감사팀이 연 1회 점검.
• 과징금·과태료 계산 기준
  • 과징금: 위반 행위 중대한 정도·재발 여부·조치 태만 정도를 감안해 부과.
  • 과태료: 개인정보 유출 인원·유출 정보 종류·조치 기간에 따라 단계별로 산정.

---

요약
이번 몽클레르코리아 사건은 해킹에 의한 대규모 개인정보 유출과 개인정보보호법 위반으로 과징금·과태료가 부과된 사례입니다. 기업은 IDS/SIEM 기반 탐지, 암호화·마스킹, ISO/IEC 27001 등 보안 프레임워크를 활용해 데이터 보호 체계를 강화하고, PIPA 준수를 위한 정책·교육·감사 체계를 갖추는 것이 필수적입니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200377