개인정보보호위원회가 개인정보 유출 사고를 낸 루이비통과 디올·티파니 등 명품 브랜드 판매 사업자 3곳에 총 360억 3천300만 원의 과징금과 1천80만 원의 과태료를 부과했다고 밝혔습니다.

개인정보위는 어제(11일) 전체 회의를 열어 이 같은 제재를 의결하고, 이들 사업자에 처분 사실을 각 회사 누리집에 공표하도록 명령했습니다.

이들 3개 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생한 것으로 조사됐습니다.

루이비통코리아는 직원 기기가 악성코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취돼 약 360만 명의 이름과 성별, 국가, 전화번호, 이메일 주소, 생년월일 등이 세 차례에 걸쳐 유출됐습니다.

회사는 2013년부터 SaaS를 도입·운영하면서 접근 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고, 외부 접속 시 안전한 인증수단도 적용하지 않은 것으로 확인됐습니다.

이에 개인정보위는 루이비통코리아에 과징금 213억 8천500만 원을 부과했습니다.

크리스챤디올꾸뛰르코리아와 티파니코리아는 직원이 보이스피싱에 속아 해커에게 SaaS 접근 권한을 부여하면서 각각 약 195만 명, 4,600명의 개인정보가 유출됐습니다.

유출된 정보는 디올의 경우 이름·성별·생년월일·나이·이메일·전화번호이며, 티파니는 이름·주소·이메일·내부 고객기록번호 등입니다.

두 회사 모두 IP 제한과 대량 데이터 다운로드 통제를 하지 않았고, 디올은 심지어 월 1회 이상 접속기록을 점검하지 않아 유출 사실을 3개월 넘게 파악하지 못한 것으로 조사 결과 드러났습니다.

두 회사 모두 유출 인지 후 72시간을 넘겨 이용자 통지를 했고, 티파니코리아는 신고도 지연한 것으로 파악됐습니다.

개인정보위는 디올에 과징금 122억 3천600만 원과 과태료 360만 원을, 티파니에 과징금 24억 1천200만 원과 과태료 720만 원을 각각 부과했습니다.

개인정보위는 "서비스형 소프트웨어를 도입하더라도 기업의 개인정보 보호책임이 면제되거나 전가되지 않는다"며 "해당 서비스가 제공하는 보호 기능을 충분히 적용해 개인정보 유출 사고를 예방해야 한다"고 밝혔다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

이재경(jack0@yna.co.kr)