루이비통·디올·티파니 등 명품 브랜드 3곳에서 555만여 명의 고객 개인정보가 유출됐다. 개인정보보호위원회는 이들 회사에 총 360억 원대 과징금을 부과하고, 처분 사실을 홈페이지에 공개하라고 명령했다.
개인정보보호위원회는 지난 11일 제3차 전체회의를 열고 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아의 개인정보 보호법 위반에 대해 과징금 360억3300만원과 과태료 1080만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 명령했다고 12일 밝혔다.
유출 규모는 루이비통 약 360만 명, 디올 약 195만 명, 티파니 약 4600명으로 총 555만여 명이다. 세 회사는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템을 운영하는 과정에서 계정 탈취나 보이스피싱 등으로 개인정보가 외부에 노출됐다.
루이비통은 직원 기기가 악성코드에 감염되면서 소프트웨어 계정 정보를 해커에 탈취당해 지난해 6월 약 360만명의 개인정보가 유출됐다. 유출된 정보에는 이름, 성별, 국가, 전화번호, 이메일주소, 생년월일이 포함됐다.
루이비통은 외부 접속 시 IP 주소 제한을 두지 않았고, 일회용 비밀번호(OTP) 등 안전한 인증수단도 적용하지 않았다. 개보위는 루이비통에 과징금 213억8500만원을 부과했다.
디올은 고객센터 직원이 보이스피싱에 속아 해커에게 소프트웨어 접근 권한을 넘겨주면서 약 195만 명의 정보가 유출됐다. 특히 디올은 개인정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않으면서 유출 사고를 3개월 이상 인지하지 못했던 것으로 나타났다. 또한 지난해 5월 유출 사실을 인지한 후에도 정당한 사유 없이 72시간을 넘겨 유출을 통지했다. 개보위는 디올에 과징금 122억3600만원과 과태료 360만원을 부과했다.
티파니 역시 고객센터 직원이 보이스피싱에 속아 해커에게 소프트웨어 접근 권한을 넘겨주면서 약 4600명의 정보가 외부로 유출됐다. 티파니는 지난해 5월 9일 유출 사실을 인지하고도 같은 달 22일에야 신고·통지해 법정 기한을 넘겼다. 개보위는 티파니에 과징금 24억1200만원과 과태료 720만원을 부과했다.
개보위 관계자는 “서비스형 소프트웨어를 도입하더라도 개인정보를 안전하게 관리할 책임은 기업에 있다”며 “IP 제한, 안전한 인증수단 적용, 접속기록 점검 등 기본적인 보호조치를 철저히 해야 한다”고 밝혔다.