명품 샤넬도 개인정보 구멍..8만명 고객정보 노출로 과징금 1.2억원

접근통제 소홀..관리자 계정 비밀번호 쉽게 추측 가능
美 AWS에 정보 보관하면서 국외이전 동의도 안 받아
클라우드 이용 과정서 잇단 문제 발생.."업계 의견 청취 중"

윤종인 개인정보보호위원회 위원장이 27일 오후 서울 종로구 정부청사에서 개최된 제17회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.(사진=개인정보보호위원회 제공)

[이데일리 이후섭 기자] 샤넬코리아가 개인정보 관리 소홀로 8만명이 넘는 고객정보를 유출시켜 1억2000만원이 넘는 과징금 처분을 받았다.

개인정보보호위원회는 27일 전체회의를 열고 샤넬코리아, 천재교과서, 천재교육 등 9개 사업자의 개인정보보호 법규 위반행위에 대해 총 10억3407만원의 과징금과 1억220만원의 과태료 부과, 시정명령, 공표 등 시정조치를 내렸다.

샤넬코리아는 개인정보처리시스템에 접속할 수 있는 관리자 계정의 비밀번호를 누구나 쉽게 추측할 수 있도록 설정했다. 이로 인해 9개 제휴사의 온라인 장터를 통해 화장품을 구매한 이용자 8만1654명의 개인정보가 유출됐다.

또 1년 이상 장기 미이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리해 별도로 저장·관리하지 않았으며, 이용자 개인정보를 미국 아마존웹서비스(AWS)에 보관하면서 국외로 개인정보를 이전한 사실에 대해 이용자 동의를 받거나 개인정보처리방침 등을 알리지도 않았다.

이에 샤넬코리아는 △안전조치의무 △개인정보 파기(유효기간제) △개인정보 국외이전 위반 등으로 인해 1억2616만원의 과징금과 1860만원의 과태료를 부과받았다. 시정명령과 결과 공표 등의 처분도 받았다.

윤정태 개인정보위 조사2과장은 “국외로 이전된 개인정보에 대해서는 보안 조치들은 다 이뤄졌다”며 “샤넬코리아의 전체 매출액은 약 1조원 가량인데, 9개 제휴사 온라인 쇼핑몰에 개인정보가 유출된 것이기에 관련 매출액은 100억원으로 집계돼 그에 대한 과징금을 산출했다”고 설명했다.

앞서 야놀자 등 4곳도 AWS 클라우드를 사용하는 과정에서 개인정보가 유출돼 클라우드 서비스 이용 우려도 나오고 있다. 윤 과장은 “법적으로는 클라우드 사업자의 위법행위가 있다고 단정하기는 어려우나, 클라우드 서비스 제공자가 서비스를 이용하는 기업들에게 적절한 수준의 서비스를 제공하고 있냐에 대해서는 논란의 소지가 있을 수 있다”며 “AWS, 마이크로소프트(MS) 등 국내외 클라우드 사업자를 포함해 업계의 의견을 청취 중이며, 이를 반영해서 대응 방안을 마련할 것”이라고 했다.

이후섭 (dlgntjq@edaily.co.kr)