루이비통 360만명, 디올 195만명 유출접근권한 관리 미흡, 인증수단 미적용
  • ▲ ⓒ뉴데일리
    ▲ ⓒ뉴데일리
    유출 규모는 루이비통이 약 360만명, 디올 약 195만명, 티파니 약 4600명으로 총 555만여명이다. 이들 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 계정 탈취나 보이스 피싱으로 개인정보 유출사고가 발생했다.

    루이비통은 직원의 기기가 악성코드에 감염돼 서비스형 소프트웨어 계정 정보를 해커에게 탈취당했다. 2013년부터 구매 고객 등 관리를 위해 해당 서비스형 소프트웨어를 도입·운영하면서 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았다. 개인정보취급자가 외부에서 접속할 때 안전한 인증수단을 적용하지 않은 것으로 나타났다.

    디올은 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여함에 따라 약 195만명의 개인정보가 유출됐다. 구매 고객 등 관리를 위해 2020년부터 소프트웨어를 도입했지만 접근할 수 있는 권한과 더불어 데이터 다운로드 지원 도구 사용을 제한하지 않았다. 또한 개인정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 확인하지 못했다.

    개인정보 유출을 인지한 지난해 5월 7일 이후 정당한 사유 없이 72시간을 경과해 같은 달 12일 유출 통지한 사실도 확인했다.

    티파니는 디올의 유출 경위와 마찬가지로 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여함에 따라 약 4600여명의 개인정보가 유출됐다. 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과해 유출 신고·통지한 사실도 확인했다.

    개보위는 루이비통에 과징금 213억8500만원을, 디올에는 122억3600만원, 티파니에는 24억1200만원을 부과했다.

    개인정보위는 “기업이 서비스형 소프트웨어를 도입하는 경우에도 개인정보를 안전하게 관리하는 책임은 기업에 있다”며 “해당 서비스가 제공하는 개인정보 보호 기능을 개인정보처리자가 충분히 적용해 개인정보 유출사고를 예방해야 할 것”이라고 말했다.