▲ 이정렬 개인정보보호위원회 부위원장이 지난 11일 서울 종로구 정부서울청사에서 열린 제3회 위원회 전체회의에서 발언하고 있다
개인정보보호위원회는 개인정보 유출 사고를 낸 루이비통·디올·티파니 등 명품 브랜드 판매 사업자 3곳에 총 360억 3,300만 원의 과징금과 1,080만 원의 과태료를 부과했다고 오늘(12일) 밝혔습니다.
개인정보위는 어제 전체회의를 열어 이 같은 제재를 의결하고, 이들 사업자에 처분 사실을 각 사 누리집(홈페이지)에 공표하도록 명령했습니다.
이들 3개 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생한 것으로 조사됐습니다.
루이비통코리아는 직원 기기가 악성코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취돼 약 360만 명의 이름, 성별, 국가, 전화번호, 이메일 주소, 생년월일 등이 세 차례에 걸쳐 유출됐습니다.
회사는 2013년부터 SaaS를 도입·운영하면서 접근 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고, 외부 접속 시 안전한 인증수단도 적용하지 않은 것으로 확인됐습니다.
이에 개인정보위는 루이비통코리아에 과징금 213억 8,500만 원을 부과했습니다.
크리스챤디올꾸뛰르코리아와 티파니코리아는 직원이 보이스피싱에 속아 해커에게 SaaS 접근 권한을 부여하면서 각각 약 195만 명, 4,600명의 개인정보가 유출됐습니다.
유출된 정보는 디올의 경우 이름·성별·생년월일·나이·이메일·전화번호이며, 티파니는 이름·주소·이메일·내부 고객기록번호 등입니다.
두 회사 모두 IP 제한과 대량 데이터 다운로드 통제를 하지 않았고, 디올은 심지어 월 1회 이상 접속기록을 점검하지 않아 유출 사실을 3개월 넘게 파악하지 못한 것으로 나타났습니다.
또 두 회사 모두 유출 인지 후 72시간을 넘겨 이용자 통지를 했고, 티파니코리아는 신고도 지연했습니다.
개인정보위는 디올에 과징금 122억 3,600만 원과 과태료 360만 원을, 티파니에 과징금 24억 1,200만 원과 과태료 720만 원을 각각 부과했습니다.
개인정보위는 최근 많은 기업이 비용 절감과 유지관리 효율성을 이유로 SaaS를 도입하고 있으나, 보안 조치가 미흡할 경우 개인정보 유출 위험이 커질 수 있다고 지적했습니다.
고객관리 등을 위해 SaaS를 활용하는 경우에도 이는 개인정보처리시스템에 해당하는 만큼 접근 권한 최소화, IP 제한, 일회용 비밀번호 등 안전한 인증수단 적용이 필요하다고 강조했습니다.
개인정보위는 "서비스형 소프트웨어를 도입하더라도 기업의 개인정보 보호책임이 면제되거나 전가되지 않는다"며 "해당 서비스가 제공하는 보호 기능을 충분히 적용해 개인정보 유출 사고를 예방해야 한다"고 밝혔습니다.
(사진=연합뉴스)
댓글