루이비통, 크리스찬 디올, 티파니의 한국 판매법인이 고객 개인정보를 유출해 개인정보보호위원회로부터 총 360억3300만원의 과징금을 부과받았다. 루이비통에만 213억8500만원의 과징금이 확정됐다. 2023년 이후 개인정보위가 단일 기업에 부과한 제재 중 SK텔레콤에 이어 두 번째로 큰 규모다. 3사는 개인정보 서버에 접근할 수 있는 권한을 제한하는 ‘최소 권한 원칙’ 등 보안을 위한 ‘기본 중의 기본’도 지키지 않은 것으로 드러났다. 이번에 유출된 개인정보는 이름, 전화번호, 이메일, 국가, 생년월일 등 총 555만 명분이다. ◇2023년 이후 두번째 규모
12일 개인정보위 발표에 따르면 ‘명품’을 자처하는 3개 브랜드의 고객정보 관리 실태는 보안의 기본 원칙을 위배할 정도로 심각했다. 해커는 고객관계관리(CRM) 등 서비스형 소프트웨어(SaaS)에 고객 정보가 들어 있다는 점을 노렸다. 루이비통코리아는 지난해 6월 악성코드에 감염된 직원의 기기를 통해 해커가 SaaS 계정 정보를 탈취하면서 3차례에 걸쳐 약 360만 명의 개인정보를 유출했다.
크리스찬디올꾸뛰르코리아와 티파니코리아는 직원이 해커의 보이스피싱에 속아 SaaS 접근 권한을 넘겨준 것으로 밝혀졌다. 유출 규모는 디올이 약 195만 명, 티파니가 약 4600명이다. 이에 대해 개인정보위는 디올에 122억3600만원, 티파니에는 24억1200만원의 과징금을 부과했다. 이정은 개인정보위 조사1과장은 “고객관리 담당 직원이 보이스피싱 공격에 속아 SaaS 계정 권한을 해커에게 넘겼고, 해커가 데이터 다운로드 앱을 설치해 개인정보를 유출했다”고 설명했다. 이어 “기업 차원에서 충분히 방지할 수 있었던 ‘휴먼 에러’로 판단해 과징금 규모를 산정했다”고 말했다.
디올과 티파니는 개인정보 다운로드 여부 등 접속 기록을 월 1회 이상 점검하지 않아 3개월 이상 유출 사실을 확인하지 못한 것으로 드러났다. ◇‘쿠팡 과징금’에 쏠리는 관심업계에서는 이번 과징금 부과와 관련해 산정 방식에 주목하고 있다. 조만간 발표될 쿠팡에 대한 과징금과 관련이 있어서다. 쿠팡 역시 전 직원이 퇴사 후에도 개인정보가 저장된 서버의 ‘루트키’를 갖고 제집 드나들 듯 서버에 접근했다.
개인정보위는 과징금 산정 시 유출 규모, 고의성, 기업의 매출 등을 종합적으로 고려한다. 지난해 SK텔레콤이 2300만 명의 개인정보 유출로 1348억원의 ‘역대급 과징금’을 부과받은 것도 이 같은 기준에 따른 결과다.
10일 과학기술정보통신부는 쿠팡에서 개인정보 3367만 건이 유출됐으며, 개인정보 유출의 범인으로 지목된 전 직원이 웹을 통해 배송지 정보 페이지를 1억4800만 회 이상 조회했다는 내용의 민관합동조사단 조사 결과를 발표했다.
당시 최우혁 과기정통부 정보보호네트워크정책실장은 “개인정보보호법은 공격자가 정보를 조회했다는 사실만으로도 정보의 유출로 간주한다”고 설명했다. 업계 관계자는 “만일 조회수를 과징금 산정에 적용한다면 쿠팡은 SK텔레콤의 최대 10배에 달하는 과징금을 받을 수도 있을 것”이라고 예상했다.
최지희 기자 mymasaki@hankyung.com