360억 과징금 폭탄 맞은 명품업계, ‘정보보호’는 명품 아니었다

개인정보위, 루이비통·디올·티파니에 총 360억 3,300만 원 과징금 부과
해커, 임직원 계정 탈취해 SaaS 접근... IP 제한·2차 인증 부재가 화근

[보안뉴스 조재호 기자] 글로벌 명품 브랜드들이 고객관리를 위해 도입한 클라우드 기반 서비스에서 보안 허점을 드러내며 과징금을 물게 됐다. 서비스형 소프트웨어(SaaS)를 이용하더라도 접근통제와 인증 등 보안 관리의 중요성이 재확인됐다.

[출처: gettyimagesbank]

개인정보보호위원회는 11일 제3회 전체회의를 열고 개인정보보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 3개사에 총 360억3300만 원의 과징금과 1080만 원의 과태료를 부과했다고 12일 밝혔다.

이번 제재는 3사 모두 글로벌 본사 차원에서 도입한 SaaS 기반 고객관리 서비스를 운영하는 과정에서 발생했다. 조사 결과, 이들 기업은 인터넷을 통해 어디서든 접속할 수 있는 SaaS의 특성을 고려하지 않은 채, 접근권한에 대한 IP 주소 제한이나 안전한 인증수단(2FA) 적용을 소홀히 한 것으로 드러났다.

가장 큰 규모의 제재를 받은 곳은 루이비통코리아다. 개인정보위는 루이비통에 과징금 213억8500만원을 부과하고 공표 명령을 내렸다. 루이비통은 직원의 기기가 악성코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취당했고, 약 360만명의 고객 정보가 3차례에 걸쳐 유출됐다.

루이비통코리아는 2013년부터 해당 시스템을 운영했는데, 외부 접속 시 IP 제한이나 2단계 인증 등 필수적인 접근통제 조치를 적용하지 않은 것으로 확인됐다.

크리스챤디올꾸뛰르코리아와 티파니코리아는 고객센터 직원을 노린 해커의 사회공학적 기법(보이스피싱)에 무너졌다. 디올은 195만명, 티파니는 4600명의 개인정보가 유출됐으며, 각각 122억3600만원과 24억1200만 원의 과징금을 부과받았다.

두 기업 역시 IP 주소 제한을 하지 않았을 뿐만 아니라, 대량의 데이터를 다운로드할 수 있는 도구 사용을 통제하지 않아 피해를 키웠다. 디올의 경우 접속 기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 넘게 인지하지 못한 것으로 밝혀졌다. 또, 유출 인지 후 정당한 사유 없이 72시간을 넘겨 관계 당국에 신고·통지해 보호법상 통지 의무도 위반한 것으로 나타났다.

이번 사건은 기업들이 비용 절감과 효율성을 이유로 SaaS를 대거 도입하고 있지만, 정작 보안 설정에는 소홀했던 것에서 시작됐다. 개인정보위는 SaaS 역시 ‘개인정보처리시스템’에 해당하므로, 기업이 반드시 업무 수행에 필요한 최소한의 범위로 접근권한을 차등 부여해야 한다고 강조했다.

개인정보위 관계자는 “기업이 SaaS를 도입하더라도 개인정보를 안전하게 관리하는 책임이 면제되거나 전가되지 않는다”며 “외부에서 접속 시 일회용 비밀번호(OTP), 보안토큰 등 안전한 인증 수단을 필수적으로 적용해야 한다”고 말했다.