https://n.news.naver.com/article/138/0002217938?cds=news_media_pc&type=editn

 

(중략)

윤여진 개인정보보호위원회 조사1과장은 12일 정부 서울청사에서 브리핑을 열고 "개인정보보호법을 위반한 명품 브랜드 3사를 대상으로 과징금 총 360억3300만원과 과태료 1080만원을 부과한다"고 밝혔다.

명단에 오른 브랜드는 루이비통코리아, 크리스챤디올꾸뛰르코리아, 주식회사 티파니코리아다. 윤 조사1과장은 "이들 3사는 모두 서비스형소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생했다"고 설명했다.

가장 많은 과징금이 부과된 곳을 루이비통이다. 개인정보위는 루이비통에 과징금 213억8500만원을 부과하기로 했다.

루이비통은 직원 기기가 악성코드에 감염돼 SaaS 계정 정보를 해커에게 탈취당했다. 이에 따라 약 360만명 개인정보가 총 세 차례에 걸쳐 유출됐다. 사고가 발생한 기간은 2025년 6월9일부터 13일까지다.

조사 결과 루이비통은 2013년부터 구매 고객 등 관리를 위해 해당 SaaS를 운영하면서도, 접근할 수 있는 권한은 인터넷프로토콜(IP) 주소 등으로 제한하지 않았다. 개인정보취급자가 외부에서 접속할 때 안전한 인증수단도 적용하지 않을 것으로 나타났다.

디올에게는 과징금 122억3600만원과 과태료 360만원이 부과됐다. 디올은 고객센터 직원이 해커 보이스피싱에 속아 SaaS에 대한 접근권한을 해커에 부여한 것으로 확인됐다. 이에 따라 약 195만명 개인정보가 유출됐다.

디올의 경우 구매 고객 관리를 위해 2020년부터 해당 SaaS를 운영하면서, 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았다. 대량 데이터 다운로드 지원 도구 사용도 제한하지 않았다. 개인정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않아 유출 사실도 3개월 이상 확인하지 못했다.

신고도 지연했다. 개인정보위에 따르면 디올은 개인정보 유출 사실을 2025년 5월7일 인지했지만 정당한 사유 없이 72시간을 경과해 5월12일 통지했다.

티파니에게는 과징금 24억1200만원과 과태료 720만원이 부과됐다. 티파니는 디올과 마찬가지로 고객센터 직원이 해커 보이스피싱에 속아 SaaS에 대한 접근권한을 해커에게 부여했다. 이로 인해 약 4600명 개인정보가 유출됐다.

티파니도 2021년부터 마케팅을 위해 해당 SaaS를 운영했지만 접근 권한을 IP주소 등으로 제한하지 않았다. 대량 데이터 다운로드 지원 도구 사용도 제한하지 않았다. 티파니 또한 사유 없이 72시간을 경과해 유출 신고를 진행했다.

유출 범위는 다양한 것으로 나타났다. 윤 조사1과장은 "루이비통은 이름·성별·국가·전화번호·이메일 주소·생년월일 등이, 디올은 이름·성별·생년월일·나이·이메일·전화번호 등이 유출됐다"며 "티파니의 경우에도 이름·주소·이메일·내부 고객 기록 번호 등이 유출됐다"고 부연했다.

산업군을 가리지 않은 해킹 공격이 거세진 만큼 주의가 필요하다고 강조하기도 했다. 윤 조사1과장은 "최근 많은 기업이 초기 구축 비용을 절감하고 유지 관리 효율성을 위해 글로벌 대기업의 SaaS 기반 솔루션을 도입 및 운영하고 있다"며 "이 경우에도 개인정보를 안전하게 관리할 책임이 개인정보처리자인 기업에 있는 만큼, 해당 솔루션이 제공하는 접근권한 통제와 인증 수단 등 보호법상 기능을 적용해 유출사고를 예방할 것을 당부드린다"고 말했다.