루이비통·디올·티파니 개인정보 유출한 명품브랜드사에 과징금 360억원 ‘철퇴’

루이비통 213억·디올 122억·티파니 24억
고객센터 직원 속아 해커에 개인정보 접근 권한 줘
개인정보위 “비용·편익만 고려, 개인정보 소홀”

지난해 개인정보가 연달아 유출된 루이비통모에헤네시 그룹 산하 명품 브랜드 3사에 과징금 360억원이 부과됐다. 이들은 고객관리를 편리하게 할 목적으로 서비스형 소프트웨어를 도입했는데, 관리 부실 등으로 개인정보 유출을 막지 못했다.

개인정보보호위원회는 지난 11일 전체회의를 열고 개인정보보호 법규를 위반한 루이비통코리아 등 3개 사에 과징금 360억 3300만원과 과태료 1080만원을 부과했다고 12일 밝혔다. 각각 루이비통코리아 과징금 213억 8500만원, 크리스챤디올꾸뛰르코리아 과징금 122억 3600만원·과태료 360만원, 티파니코리아 과징금 24억 1200만원·과태료 720만원이다. 이들 브랜드는 모두 프랑스에 본사를 둔 럭셔리 복합 기업 루이비통모에헤네시(LVMH) 그룹에 속해 있다.


조사결과 루이비통은 지난해 6월 9일부터 13일까지 세 차례에 걸쳐 약 360만명의 개인정보를 유출했다. 유출은 직원의 기기가 악성코드에 감염되며 시작됐다. 해커는 이 기기에서 루이비통이 2013년부터 구매 고객 등 관리를 위해 도입한 서비스형 소프트웨어 계정 정보를 탈취해 등록된 고객들의 개인정보를 빼갔다.

루이비통은 소프트웨어에 접근할 수 있는 권한에 인터넷프로토콜(IP) 주소 제한 등을 걸지 않았고, 개인정보취급자가 외부에서 접속할 때 안전한 인증수단을 적용하지도 않은 것으로 조사됐다.

디올과 티파니는 각각 지난해 1월 26일과 4월 8일 개인정보를 유출했다. 이들의 고객센터 직원은 보이스피싱에 속아 서비스형 소프트웨어 접근권한을 해커에게 줬다. 유출된 개인정보는 디올 195만여명, 티파니 4600여명이다. 이들 역시 소프트웨어 접근 권한에 인터넷프로토콜 주소 제한을 두지 않았을 뿐더라 대량의 데이터 다운로드 지원 도구 사용에도 제한을 두지 않았다. 디올의 경우 개인정보 다운로드 여부 등 접속 기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 지난 5월에야 인지했다. 또 유출 사실을 인지한 후에도 정당한 이유 없이 신고 기한인 72시간을 넘겨 관계 기관에 알린 점도 확인됐다.



개인정보위는 3개 업체에 처분 사실을 홈페이지에 공개하라고 명령했다. 개인정보위 관계자는 “최근 기업이 초기 구축 비용 절감 및 유지관리 효율성 등을 이유로 서비스형 소프트웨어를 도입해 운영하고 있으나, 비용·편익 측면만 고려시 개인정보 안전성 확보에 소홀히 할 우려가 있다”며 “개인정보를 안전하게 관리하는 책임은 기업이 가지므로, 개인정보 유출 사고를 예방해야 한다”고 설명했다.

김중래 기자