연합뉴스개인정보를 유출한 명품 브랜드 3곳에 대해 총 360억 원이 넘는 과징금이 부과됐다. 글로벌 SaaS(서비스형 소프트웨어)를 사용하더라도 개인정보 보호 책임은 사업자에게 있다는 점을 분명히 한 조치다.
개인정보보호위원회는 12일 전체회의를 열고 루이비통코리아, 크리스챤디올꾸뛰르코리아, 그리고 티파니코리아에 과징금 총 360억3300만 원과 과태료 1080만 원을 부과하고, 처분 사실을 홈페이지에 공표하도록 명령했다.
조사 결과 세 업체는 모두 글로벌 SaaS 기반 고객관리 시스템을 사용하는 과정에서 해킹 피해를 입은 것으로 나타났다.
개인정보보호위원회 제공루이비통코리아는 직원 PC가 악성코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취됐다. 이로 인해 약 360만 명의 고객 개인정보가 외부로 유출됐다.
조사 과정에서 외부 IP 주소 접근 제한을 설정하지 않았고, 다중 인증 등 안전한 인증수단을 적용하지 않은 사실이 확인됐다. 이에 따라 213억 8500만 원의 과징금이 부과됐다.
디올은 고객센터 직원이 보이스피싱에 속아 해커에게 접근 권한을 부여하면서 약 195만 명의 개인정보가 유출됐다.
IP 제한 및 대량 다운로드 통제 조치가 없었고, 접속기록을 월 1회 이상 점검하지 않아 장기간 유출 사실을 인지하지 못한 점도 드러났다. 유출 사실을 인지한 뒤 72시간을 넘겨 통지한 점까지 확인되면서 122억 3600만 원의 과징금과 360만 원의 과태료가 부과됐다.
티파니코리아 역시 유사한 방식으로 약 4600여 명의 개인정보가 유출됐다. 접근통제 미비와 72시간 내 신고·통지 의무 위반이 인정돼 24억 1200만 원의 과징금과 720만 원의 과태료 처분을 받았다.
개인정보위는 SaaS를 도입해 운영하더라도 해당 시스템은 개인정보처리시스템에 해당하며, IP 제한, 안전한 인증수단 적용, 접속기록 점검 등 법에서 요구하는 안전조치를 반드시 이행해야 한다고 강조했다. 글로벌 본사가 제공하는 시스템이라도 국내 법령상 책임은 국내 법인에 있다는 점을 명확히 한 것이다.
개인정보위는 특히 비용과 편의성만을 고려해 글로벌 SaaS를 도입할 경우 보안 설정을 소홀히 할 위험이 있다며, 기업이 제공 기능을 충분히 활용해 접근 통제와 이상 행위 모니터링을 강화해야 한다고 지적했다.