‘개인정보 유출’ 루이비통·디올·티파니에 과징금 360억원 작성일 02-12 43 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">보이스피싱·악성코드에 뚫린 명품 브랜드 <br> SaaS 관리 부실로 개인정보 대거 유출</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="8ffztLmjA0"> <figure class="figure_frm origin_fig" contents-hash="3fcf8e7345eaf2cac5cd56d1a405f401eff97b44f335329efab6c58cfb080a0c" dmcf-pid="644qFosAN3" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 시내 한 루이비통 매장의 모습. /뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/12/chosunbiz/20260212111840133nnwn.jpg" data-org-width="2546" dmcf-mid="4mSrN3V7jp" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/12/chosunbiz/20260212111840133nnwn.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 시내 한 루이비통 매장의 모습. /뉴스1 </figcaption> </figure> <p contents-hash="825c30241ff94f4083d4a771b1e5066aa30ddb3627d09a9d804c4c8d37baadfb" dmcf-pid="P88B3gOcjF" dmcf-ptype="general">회원 개인정보를 대거 유출한 명품 브랜드 루이비통·디올·티파니가 360억원이 넘는 과징금을 부과받았다.</p> <p contents-hash="828256d4b1c2b9c4b5e6111126d55912cce4b18602b995e4dd612f99de87afa6" dmcf-pid="Qxx2uAlwgt" dmcf-ptype="general">개인정보보호위원회는 지난 11일 전체 회의를 열고 개인정보보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 명품 브랜드 3개사에 360억3300만원의 과징금과 1080만원의 과태료를 부과하고, 처분 사실의 공표를 명령했다고 12일 밝혔다.</p> <p contents-hash="d2f00d97cec4085799708391e51e46a24d2db0d39146433d95f69e664ba74fca" dmcf-pid="xMMV7cSrc1" dmcf-ptype="general">이들 명품 브랜드 3사는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출사고가 발생한 것으로 조사됐다.</p> <p contents-hash="e8a17f323b7040572a1dbbf61566695df4b6e19a84db3c50dd97211181d4432d" dmcf-pid="yWWIku6ba5" dmcf-ptype="general">루이비통은 직원의 기기가 악성코드에 감염돼 서비스형 소프트웨어 계정 정보를 해커에게 탈취당했다. 이로 인해 약 360만명의 개인정보가 지난해 6월 9일부터 13일까지 총 3차례에 걸쳐 유출됐다.</p> <p contents-hash="9042be8f473b8c82ef957ac63aa236b536c962e735b25179261eb050628823ab" dmcf-pid="WYYCE7PKkZ" dmcf-ptype="general">루이비통은 2013년부터 구매 고객 등 관리를 위해 해당 서비스형 소프트웨어를 도입·운영했다. 그러나 접근할 수 있는 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고, 개인정보취급자가 외부에서 접속할 때 안전한 인증수단을 적용하지 않은 것으로 나타났다.</p> <p contents-hash="23f84d8d2bea7688efeac51478de60ad2055014652f496c4c7c7811523c5bb46" dmcf-pid="YGGhDzQ9oX" dmcf-ptype="general">이에 개인정보위는 국립항공박물관에 과징금 213억8500만원을 부과하고, 처분받은 사실을 사업자 누리집(홈페이지)에 공표하도록 명령했다.</p> <p contents-hash="64dbee3489c1383b844c51c1a8c9f80c0d7a4f10ddde4714211202825a3888c8" dmcf-pid="GHHlwqx2NH" dmcf-ptype="general">디올은 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여했다. 이 과정에서 약 195만명의 개인정보가 유출됐다.</p> <p contents-hash="a08dc38b00c40c38d4a6d7d1ca3443e84ecf00e4b434fc1e7dd8bd9fe4a5b4b1" dmcf-pid="HXXSrBMVjG" dmcf-ptype="general">디올은 구매 고객 등 관리를 위해 2020년부터 해당 서비스형 소프트웨어를 도입·운영했다. 그러나 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았고 대량의 데이터 다운로드 지원 도구의 사용을 제한하지 않았다. 나아가 개인정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 확인하 못한 것으로 조사됐다.</p> <p contents-hash="c5776ec6c63f1ad67546266e8dc925ad9e491af374cc616c5872c525a6bbb186" dmcf-pid="XZZvmbRfjY" dmcf-ptype="general">개인정보위에 따르면 디올은 개인정보 유출을 지난해 5월 7일 인지한 이후에도 정당한 사유 없이 72시간을 경과해 유출 통지를 했다.</p> <p contents-hash="200d8a921df8363548a9ffad90d854724ea88de82f4a9f4b9617781ca5523b28" dmcf-pid="Z55TsKe4AW" dmcf-ptype="general">이에 개인정보위는 디올에 122억3600만원과 과태료 360만원을 부과했다.</p> <p contents-hash="593aeea2fdd8653691baf44ebe601f63e28354c64977aeb476c22c127924315c" dmcf-pid="511yO9d8cy" dmcf-ptype="general">티파니 역시 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여하면서 약 4600여명의 개인정보가 유출됐다. 티파니 역시 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았고 대량의 데이터 다운로드 지원 도구의 사용을 제한하지 않았다. 디올과 마찬가지로 티파니도 유출 인지 후 72시간을 넘겨 이용자 통지를 했고, 신고도 지연했다.</p> <p contents-hash="28358c05f0e791ecfce9e9473e271d0fcc45ed303ecd2363faeddb56ecf6611a" dmcf-pid="1ttWI2J6jT" dmcf-ptype="general">개인정보위는 티파니에 과징금 24억1200만원과 과태료 720만원을 부과했다.</p> <p contents-hash="0d7f263a6f599cb3be07e577bc422e067467f71ded6818c28aa6131e55f2db54" dmcf-pid="tFFYCViPNv" dmcf-ptype="general">개인정보위는 “최근 많은 기업이 초기 구축 비용 절감과 유지관리 효율성 등을 이유로 글로벌 대기업의 서비스형 소프트웨어를 도입하여 운영하고 있다”라며 “그러나 서비스형 소프트웨어에 대한 신뢰를 토대로 비용·편의 측면만 고려했을 때 개인정보 안전성 확보를 소홀히 할 우려가 있어 주의가 요구된다”고 했다.</p> <p contents-hash="52ffaec1fb445725a873e49170ae483501a07d4321f2e0424c3f2d36f194bdf7" dmcf-pid="F33GhfnQkS" dmcf-ptype="general">고객 관리 등을 위해 서비스형 소프트웨어를 활용하는 경우에도 이는 개인정보처리시스템에 해당하기 때문에 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여, IP 주소 제한, 일회용 비밀번호(OTP) 등 안전한 인증수단 적용 등이 필요하다고 강조했다.</p> <p contents-hash="68ee6569562b6d0fe6dd66c17bc0ce27fc07e69e9e3f9095e39d3c71e11ae478" dmcf-pid="300Hl4Lxjl" dmcf-ptype="general">개인정보위는 “기업이 서비스형 소프트웨어를 도입하는 경우에도 개인정보를 안전하게 관리하는 책임이 면제 또는 전가되지 않는 만큼 해당 서비스가 제공하는 개인정보 보호 기능을 개인정보처리자가 충분히 적용해 개인정보 유출사고를 예방해야 한다”고 했다.</p> <p contents-hash="c3a5e60531921493364877b88f4da2e00dc50ffe019aa3d5d2c98a17982eae8e" dmcf-pid="0ppXS8oMoh" dmcf-ptype="general">- Copyright ⓒ 조선비즈 & Chosun.com -</p> </section> </div> <p class="" data-translation="true">Copyright © 조선비즈. 무단전재 및 재배포 금지.</p> 관련자료 이전 '일당 6만 원' 일용직에서 '연 매출 220억' CEO로..'만 39세 백만장자' 박치은, 인테리어 업계 선한 영향력 아이콘 깊은 울림 [SC리뷰] 02-12 다음 버거킹·메가커피에 과징금 15억원…"개인정보 관리 미흡" 02-12 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
