개인정보 털린 루이비통·디올 등 3곳에 총 300억대 과징금 ‘철퇴’

직원 기기 해킹·보이스피싱 등에 유출 개인정보위 “SaaS 관리 미비가 원인” 버거킹·메가커피 등도 줄줄이 과태료 개인정보보호위원회는 11일 오후 서울 종로구 정부서울청사에서 전체회의를 개최했다. 개인정보위 고객정보 유출로 홍역을 치른 해외 명품 브랜드의 한국 법인들이 수십억 원에서 200억 원대에 이르는 과징금을 부과받았다. 보유기간이 지난 이용자의 개인정보를 파기하지 않은 식음료 업체들에도 잇따라 과징금 처분이 내려졌다. 개인정보보호위원회는 11일 전체회의를 열고 개인정보보호 법규를 위반한 루이비통코리아에 과징금 213억8500만 원을 부과했다고 12일 밝혔다. 크리스챤디올꾸뛰르코리아에는 과징금 122억3600만 원과 과태료 360만 원, 티파니코리아에는 과징금 24억1200만 원과 과태료 720만 원이 각각 부과됐다. 개인정보위는 이들 법인에 처분 사실 공표도 명령했다. 개인정보위에 따르면 루이비통은 직원 기기가 악성코드에 감염되면서 서비스형 소프트웨어(SaaS) 계정 정보가 해킹당한 것으로 파악됐다. 그 결과 총 3차례에 걸쳐 약 360만 명의 개인정보가 유출됐다. 디올과 티파니는 고객센터 직원이 해커의 보이스피싱에 속아 SaaS 접근 권한을 부여하면서 각각 약 195만 명, 4600여 명의 개인정보가 유출되는 사고로 이어졌다. 특히 디올은 개인정보 유출 사실을 3개월 이상 인지하지 못한 것으로 조사됐다. 개인정보위는 이번 사고가 비용과 편의만 고려한 명품 브랜드들의 허술한 관리 체계에서 비롯됐다고 판단했다. 이들 기업은 SaaS 접근 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고, 개인정보취급자가 외부에서 접속할 때 일회용 비밀번호(OTP)·인증서·보안토큰 등 안전한 인증수단도 적용하지 않았다. 개인정보위 관계자는 “기업이 SaaS를 도입하더라도 개인정보를 안전하게 관리할 책임이 면제되거나 전가되는 것은 아니다”며 “서비스가 제공하는 개인정보 보호 기능을 개인정보처리자가 충분히 적용해 유출 사고를 예방해야 한다”고 강조했다. 개인정보위는 개인정보보호 법규를 위반한 식음료 분야 10개 사업자에도 총 15억6600만 원의 과징금과 1억1130만 원의 과태료를 부과하고, 시정·공표명령을 의결했다고 밝혔다. 사업자별로 보면 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용해 9억2400만 원의 과징금을 부과받았다. 엠지씨글로벌(메가MGC커피)은 마케팅 활용에 동의하지 않은 회원도 자동으로 동의 처리되도록 설정해 미동의 회원에게 마케팅 메시지를 발송한 사실이 확인돼 6억4200만원의 과징금이 부과됐다. 이외 플랫폼 업체 와드(캐치테이블), 테이블링(테이블링), 야놀자에프앤비솔루션(도도포인트, 나우웨이팅), 프랜차이즈 업체 에스씨케이컴퍼니(스타벅스), 비케이알, 엠지씨글로벌, 한국맥도날드(맥도날드), 투썸플레이스(투썸플레이스), 이디야(이디야), 더본코리아(빽다방) 등에 대해 불필요한 개인정보의 즉시 파기를 당부했다. 이들 사업자는 보유기간이 지났거나 처리 목적을 달성한 개인정보를 파기하지 않은 것으로 확인됐다. 또 동의 없이 개인정보를 홍보·마케팅에 이용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용한 사례도 드러났다. 개인정보위는 “이번 조사·처분은 잠재된 개인정보 침해 요인을 선제적으로 제거하고, 유출 사고로 인한 사회적 비용과 피해를 최소화했다는 점에서 의미가 크다”고 평가했다.