루이비통·디올·티파니, 개인정보 유출에 총 360억원대 과징금

고객 관리 서비스형 소프트웨어 해킹
접속 IP 제한·인증 수단 등 조치 필요

루이비통 등 명품 브랜드 3곳이 개인정보 유출 사고로 총 360억원대 과징금을 부과받았다.

이정렬 개인정보보호위원회 부위원장이 11일 오후 정부서울청사에서 열린 제3회 전체회의에서 모두발언을 하고 있다. 개인정보위 제공

개인정보보호위원회는 전날 제3회 전체회의를 열고 '개인정보보호법'을 위반한 명품브랜드 판매 사업자 3곳에 총 360억3300만원의 과징금과 1080만원의 과태료를 부과하고, 처분 사실을 각 홈페이지에 공표하도록 명령했다고 12일 밝혔다.

해당 사업자는 루이비통코리아, 크리스찬디올꾸뒤르코리아, 티파니코리아 등이다.

루이비통이 처분받은 과징금은 213억8500만원이다. 직원 기기가 악성코드에 감염돼 서비스형 소프트웨어 계정 정보를 해커에게 탈취당했고, 이로 인해 360만명의 개인정보가 총 3차례에 걸쳐 유출됐다.

개인정보위 조사 결과 루이비통은 2013년 고객 관리를 위해 도입한 해당 서비스형 소프트웨어의 접근 권한을 인터넷프로토콜 주소 등으로 제한하지 않은 것으로 나타났다. 개인정보 취급자가 외부에서 접속할 때 안전한 인증수단도 적용하지 않았다.

디올에서는 지난해 고객센터 직원이 보이스피싱에 속아 서비스형 소프트웨어 접근 권한을 해커에게 부여, 약 195만명의 개인정보가 유출됐다. 디올은 2000년부터 서비스형 소프트웨어를 운영했는데, 접근 권한을 IP 주소 등으로 제한하지 않은 것은 물론 대량의 데이터 다운로드 지원 도구 사용도 막지 않았다.

또 접속 기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 넘게 알지 못했다. 유출 인지 후에는 정당한 사유 없이 72시간이 지난 뒤 통지한 사실도 확인됐다. 이에 개인정보위는 디올에 과징금 122억3600만원과 과태료 360만원을 부과했다.

티파니에서는 4600여명의 개인정보가 유출됐는데, 사고 경위와 유출 인지 후 신고·통지에 정당한 사유 없이 72시간이 경과한 것까지 디올과 같았다. 이에 티파니는 과징금 24억1200만원, 과태료 720만원 처분을 받았다.

최근 많은 기업이 초기 구축 비용 절감과 유지관리 효율성 등을 이유로 서비스형 소프트웨어를 도입해 운영 중이다. 개인정보위는 서비스형 소프트웨어의 안전성 확보를 위해 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하는 등의 조치가 필요하다고 짚었다.

아울러 IP 주소 등을 제한해 인가받지 않은 접근을 통제하고, 외부에서 개인정보처리시스템에 접속할 경우 일회용 비밀번호(OTP), 인증서, 보안토큰 등의 인증 수단을 필수적으로 적용해야 한다고 강조했다.

노경조 기자 felizkj@asiae.co.kr

이 기사 어땠나요?

• 
  쏠쏠 0
• 
  공감 0
• 
  감동 0
• 
  유감 0
• 
  후속 0