명품 브랜드 개인정보 유출에 과징금 360억원

루이비통·디올·티파니 등 3개 명품 브랜드 사업자가 개인정보 유출 사고로 총 360억원대 과징금을 부과 받았다.

개인정보보호위원회는 11일 전체회의를 열어 개인정보 유출 사고를 낸 루이비통·디올·티파니 등 명품 브랜드 판매 사업자 3곳에 총 360억3300만원의 과징금과 1080만원의 과태료 부과 제재를 의결했다. 아울러 해당 사업자에 이같은 처분 사실을 각사 누리집(홈페이지)에 공표하도록 명령했다.

개인정보위에 따르면 이들 3개 사업자 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생했다. SaaS는 소프트웨어를 서버 등에 설치하지 않고 인터넷을 통해 클라우드 형태로 제공하는 방식이다.

루이비통코리아는 직원 기기가 악성 코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취돼 세 차례에 걸쳐 약 360만명의 이름·성별·국가·전화번호·이메일 주소·생년월일 등이 유출됐다. 이 회사는 2013년부터 SaaS를 활용하면서 접근 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고, 외부 접속 시 안전한 인증 수단도 적용하지 않았다. 이에 개인정보위는 과징금 213억8500만원을 부과했다.

크리스챤디올꾸뛰르코리아는 고객센터 직원이 해커의 보이스피싱에 속아 SaaS 접근 권한을 부여하면서 약 195만명의 이름·성별·생년월일·나이·이메일·전화번호 등 개인정보가 유출됐다. 디올도 접근 권한과 대량의 데이터 다운로드 지원 도구 사용을 제한하지 않는 등 관리가 부실했다.

디올은 개인정보 다운로드 여부 등 접속 기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 넘게 파악하지 못했다. 지난해 5월 개인정보 유출을 인지하고도 72시간을 넘겨 정보주체에 통지했다. 개인정보위는 디올에 과징금 122억3600만원, 과태료 360만원을 부과했다.

티파니코리아는 디올과 마찬가지로 고객센터 직원이 보이스피싱에 속아 SaaS 접근 권한을 해커에게 부여했고, 약 4600여명의 이름·주소·이메일·내부 고객기록번호 등 개인정보가 유출됐다. 티파니도 안전 조치가 소홀했고, 신고가 늦었다. 이에 개인정보위는 과징금 24억1200만원과 과태료 720만원을 부과했다.

개인정보위는 "고객관리 등을 위해 SaaS를 활용하는 경우에도 이는 개인정보처리시스템에 해당하는 만큼 접근 권한 최소화, IP 제한, 일회용 비밀번호 등 안전한 인증 수단 적용이 필요하다"고 강조했다.