‘550만명’ 개인정보 털렸다…루이비통·디올·티파니, 과징금 360억 ‘철퇴’

SaaS 기반 고객관리 서비스 유출 사고
루이비통 360만명·디올 195만명·티파니 4600명
“개인정보처리자, 보호 기능 적용 예방해야”


[개인정보보호위원회 제공]


[헤럴드경제=고재우 기자] 루이비통, 디올, 티파니 등 명품브랜드가 ‘550만명’ 개인정보를 유출해 개인정보보호위원회(개보위)로부터 과징금 ‘360억원’ 처분을 받았다. 3개 사업자는 서비스형 소프트웨어(SaaS) 운영 과정에서 관리 소홀로 개인정보 유출 사고를 겪었다.

개보위는 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니로키아 등 명품브랜드 판매 사업에 대해 과징금 360억3300만원, 과태료 1080만원을 부과했다고 12일 밝혔다.

세부적으로 루이비통은 지난해 6월 9~13일까지 약 360만명의 개인정보를 유출해 과징금 213억8500만원을 받았다. 직원의 기기가 악성코드에 감염돼 SaaS 계정 정보를 해커에 탈취당한 탓이다.

지난 2013년부터 구매 고객 등 관리를 위해 SaaS를 도입·운영한 루이비통은 접근 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았다. 개인정보 취급자가 외부에서 접속할 때 안전한 인증수단도 적용하지 않은 것으로 나타났다.

디올은 고객센터 직원이 보이스피싱에 속아 해커에게 SaaS 접근 권한을 부여하면서, 약 195만명의 개인정보를 유출했다.

지난 2020년부터 해당 SaaS를 도입·운영한 디올도 접근 권한을 IP 주소 등으로 제한하지 않았다. 대량 데이터 다운로드 지원 도구 사용 제한도 따로 없었다.

특히 개인정보 다운로드 여부 등 접속 기록을 월 1회 이상 점검하지 않아 유출 사실 자체를 3개월 이상 확인하지 못했다. 여기에 개인정보 유출 인지(지난해 5월 7일) 이후, 정당한 사유 없이 72시간 지난 뒤에야 유출 사실을 통지(지난해 5월 12일)했다.

티파니도 디올과 마찬가지로 보이스피싱에 속아 해커에게 SaaS 접근 권한을 부여했고, 약 4600명 개인정보를 유출했다.

지난 2021년 해당 SaaS를 도입·운영한 티파니는 접근 권한을 IP 주소 등으로 제한하지 않았고, 개량의 데이터 다운로드 지원 도구 사용 제한도 하지 않았다. 개인정보 유출 인지(지난해 5월 9일) 이후, 72시간이 지난 뒤에야 유출 신고를 통지(지난해 5월 22일)하기도 했다.

송경희 개인정보보호위원회 위원장 [개인정보보호위원회 제공]


개보위는 “고객 관리 등을 위해 SaaS를 도입해 개인정보를 처리하는 경우, 접근 권한을 업무 수행에 필요한 최소 범위로 차등 부여하는 등 조치를 취해야 한다”며 “IP 주소 등 제한으로 인가받지 않은 접근을 통제하고, 외부에서 개인정보시스템 접속할 경우, 일회용 비밀번호(OTP), 인증서, 보안 토큰 등 안전한 인증 수단을 필수적으로 적용해야 한다”고 밝혔다.