[프라임경제] 개인정보보호위원회(이하 개인정보위)는 개인정보 유출 사고를 낸 루이비통·디올·티파니 등 명품 브랜드 판매 사업자 3곳에 총 360억3300만원의 과징금과 1080만원의 과태료를 부과했다고 12일 밝혔다.
개인정보위는 전날 전체회의를 열어 이같은 제재를 의결하고, 이들 사업자에 처분 사실을 각 사 누리집(홈페이지)에 공표하도록 명령했다.
이들 3개 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생한 것으로 파악됐다.
루이비통코리아는 직원 기기가 악성코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취돼 약 360만명의 △이름 △성별 △국가 △전화번호 △이메일 주소 △생년월일 등이 세 차례에 걸쳐 유출됐다.
회사는 2013년부터 SaaS를 도입·운영하면서 접근 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고, 외부 접속 시 안전한 인증수단도 적용하지 않은 것으로 확인됐다.
이에 개인정보위는 루이비통코리아에 과징금 213억8500만원을 부과했다.
크리스챤디올꾸뛰르코리아와 티파니코리아는 직원이 보이스피싱에 속아 해커에게 SaaS 접근 권한을 부여하면서 각각 약 195만명, 4600명의 개인정보가 유출됐다.
유출된 정보는 디올의 경우 이름·성별·생년월일·나이·이메일·전화번호이며, 티파니는 이름·주소·이메일·내부 고객기록번호 등이다.
두 회사 모두 IP 제한과 대량 데이터 다운로드 통제를 하지 않은 것으로 드러났다.
디올은 심지어 월 1회 이상 접속기록을 점검하지 않아 유출 사실을 3개월 넘게 파악하지 못한 것으로 나타났다.
또 두 회사 모두 유출 인지 후 72시간을 넘겨 이용자 통지를 했고, 티파니코리아는 신고도 지연했다.
개인정보위는 디올에 과징금 122억3600만원과 과태료 360만원을, 티파니에 과징금 24억1200만원과 과태료 720만원을 각각 부과했다.
개인정보위는 최근 많은 기업이 비용 절감과 유지관리 효율성을 이유로 SaaS를 도입하고 있으나, 보안 조치가 미흡할 경우 개인정보 유출 위험이 커질 수 있다고 꼬집었다.
고객관리 등을 위해 SaaS를 활용하는 경우에도 이는 개인정보처리시스템에 해당하는 만큼 접근 권한 최소화, IP 제한 등 안전한 인증수단 적용이 필요하다고 강조했다.
개인정보위는 "서비스형 소프트웨어를 도입하더라도 기업의 개인정보 보호책임이 면제되거나 전가되지 않는다"며 "해당 서비스가 제공하는 보호 기능을 충분히 적용해 개인정보 유출 사고를 예방해야 한다"고 전했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기