개인정보위, 명품 3사에 과징금 360억 원 부과…SaaS 관리 부실로 대규모 유출

루이비통·디올·티파니, 고객정보 관리 허점 드러나

"접근 통제·최소 권한 원칙 준수해야" 재발 방지 촉구

개인정보위 로고 [사진=연합뉴스]

개인정보보호위원회(개인정보위)가 개인정보 보호법을 위반한 명품 브랜드 판매사 3곳에 총 360억여 원의 과징금과 과태료를 부과했다.

개인정보위는 전날 전체회의를 열고 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아에 대해 총 360억 3300만 원의 과징금을 의결했다고 12일 밝혔다.

조사 결과, 이들 3개 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템을 운영하는 과정에서 개인정보 유출 사고가 발생한 것으로 확인됐다.

루이비통코리아는 직원 기기가 악성코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취됐다. 이로 인해 약 360만 명의 개인정보가 세 차례에 걸쳐 유출된 것으로 파악됐다.

디올은 2020년부터 구매 고객 관리를 위해 해당 SaaS를 도입·운영해 왔으나, 접속 권한을 지적재산권(IP) 주소 등으로 제한하지 않았고 대량 데이터 다운로드 도구 사용도 통제하지 않은 것으로 조사됐다. 또한 개인정보 다운로드 여부 등 접속 기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 넘게 인지하지 못한 것으로 나타났다.

티파니코리아의 경우 고객센터 직원이 해커의 보이스피싱에 속아 SaaS 접근 권한을 넘겨주면서 약 4600명의 개인정보가 유출됐다. 개인정보위는 티파니에 과징금과 과태료를 부과하는 한편, 처분 사실을 자사 홈페이지에 공표하도록 명령했다.

개인정보위는 이번 조치와 관련해, 최근 많은 기업이 초기 구축 비용 절감과 유지관리 효율성을 이유로 글로벌 기업의 SaaS를 도입하고 있으나, 편의성과 비용 절감만을 고려할 경우 개인정보 안전 조치가 소홀해질 수 있다고 지적했다.

특히 SaaS를 활용해 고객 정보를 처리하는 경우 해당 시스템은 ‘개인정보처리시스템’에 해당하는 만큼, 업무상 필요한 최소 범위 내에서 접근 권한을 차등 부여해야 한다고 강조했다. 아울러 IP 주소 제한을 통해 비인가 접근을 통제하고, 외부 접속 시에는 일회용 비밀번호(OTP), 인증서, 보안토큰 등 안전한 인증 수단을 의무적으로 적용해야 한다고 밝혔다.

개인정보위는 “기업이 서비스형 소프트웨어를 도입하더라도 개인정보를 안전하게 관리해야 할 책임이 면제되거나 전가되는 것은 아니다”라며 “해당 서비스가 제공하는 보안 기능을 충분히 활용해 개인정보 유출 사고를 예방해야 한다”고 강조했다.