[서울=뉴시스] 신효령 기자 = 글로벌 명품 브랜드 루이비통·디올·티파니가 고객 개인정보를 허술하게 관리하다 해킹당해 360억원대에 달하는 과징금을 부과받았다. 클라우드 기반 소프트웨어인 사스(SaaS)를 이용하는 과정에서 기본적인 보안 조치를 소홀히 한 것이 사고의 원인으로 드러났다.

개인정보보호위원회는 전날 전체 회의를 열고 개인정보 보호법을 위반한 루이비통·디올·티파니에게 총 360억3300만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 12일 밝혔다.

◆루이비통, 보안 설정 미흡으로 360만명 정보유출…과징금 213억

가장 큰 과징금을 부과받은 곳은 루이비통코리아다. 루이비통은 직원의 기기가 악성코드에 감염돼 사스 계정 정보가 해커에게 탈취됐으며, 이로 인해 약 360만명의 고객 정보가 세 차례에 걸쳐 유출됐다. 조사 결과 루이비통은 2013년부터 해당 시스템을 운영하며 접속 IP 제한이나 안전한 인증 수단을 적용하지 않은 것으로 밝혀졌다. 이에 개인정보위는 루이비통에 과징금 213억8500만원과 처분 사실 공표 명령을 내렸다.
◆보이스피싱에 뚫린 디올·티파니…늑장 대응까지

디올과 티파니는 고객센터 직원이 해커의 보이스피싱에 속아 시스템 접근 권한을 넘겨주면서 정보가 유출됐다. 디올은 약 195만명의 정보가 유출됐으며, 대량 데이터 다운로드 제한 미비와 접속 기록 점검 소홀로 유출 사실을 3개월간 인지하지 못했다. 유출 인지 후 72시간을 넘겨 통지한 사실도 확인돼 과징금 122억3600만원과 과태료 360만원이 부과됐다.

티파니 역시 동일한 수법으로 4600여명의 정보가 유출됐으며, 유출 신고와 통지를 지연한 책임으로 과징금 24억1200만원과 과태료 720만원을 물게 됐다.

◆개인정보위 "사스 도입해도 보안 책임은 기업에"

개인정보위는 최근 많은 기업이 비용 절감과 편의성을 위해 도입하는 사스가 보안의 사각지대가 될 수 있다고 지적했다. 사스 역시 개인정보처리시스템에 해당하는 만큼, 접속 IP 제한, OTP 등 안전한 인증 수단 적용, 접속 기록의 정기적 점검 등 법적 안전 조치를 반드시 준수해야 한다는 취지다.

개인정보위 관계자는 "기업이 서비스형 소프트웨어를 도입하는 경우에도 개인정보를 안전하게 관리하는 책임이 면제 또는 전가되지 않는다"며 "해당 서비스가 제공하는 개인정보 보호 기능을 개인정보처리자가 충분히 적용해 개인정보 유출 사고를 예방해야 할 것"이라고 강조했다.




◎공감언론 뉴시스 snow@newsis.com