가족·친척에 신체사이즈까지…“명품브랜드, 개인정보 수집 과도”

크게보기

서울 시내 한 루이비통 매장의 모습. 뉴스1

소비자 개인정보 유출로 360억 원대 과징금을 부과받은 루이비통 등 명품 브랜드에 대해 수집 정보가 과도하다는 지적이 나왔다.

송경희 개인정보보호위원회(개인정보위) 위원장은 23일 열린 국회 정무위원회 전체회의에 출석해 “(이들 업체의 개인정보) 처리 방침을 살펴봤으며 일부 수집 항목은 너무 과도하다고 판단된다”고 지적했다.

앞서 김승원 더불어민주당 의원은 이들 명품 브랜드의 개인정보처리방침 약관에 따르면 구매자 개인의 각종 정보 외에 배우자 생일, 가족관계 등까지 수집할 수 있도록 해 제도 개선이 필요하다고 지적했다.

실제로 루이비통의 개인정보 취급방침을 보면 루이비통은 관계사가 운영하는 카페와 레스토랑의 소비자 방문 및 이용 이력까지 수집하고 라이브 챗(실시간 온라인 상담 창구)을 통한 각종 상담 및 문의 기록, 라이프 스타일 관련 정보, 신체 사이즈 관련정보, 소비자 가족과 친척 등에 관한 제3자 정보 및 관심 상품까지 수집하고 있다.

티파니 브랜드 역시 소비자 선택 사항으로 소비자의 가족과 친척 등 제3자 정보를 수집하고 있고 소비자가 허용하면 카카오 계정과 관련한 채널 추가 상태 및 내역, 성별, 연령대 등도 수집하고 있다.

송 위원장은 이날 국회 정무위 전체회의에서 “필요한 최소한의 정보를 수집해야 하는 원칙에 어긋나는지 집중적으로 살펴보고 있다”고 했다.

송경희 개인정보보호위원회 위원장. 뉴시스

앞서 루이비통, 디올, 티파니 등 명품 브랜드 3곳은 이달 12일 개인정보위로부터 소비자 개인정보 관리 소홀로 총 360억3300만 원의 과징금을 부과받았다.

개인정보위 조사 결과 이들 사업자는 모두 클라우드 기반 고객 관리 시스템(SaaS)으로 소비자 개인정보를 관리하고 있는데, 이 시스템을 운영하는 과정에서 적절한 보안 대책을 갖추지 않아 개인정보 유출 사고가 발생한 것으로 파악되고 있다.

실제로 루이비통코리아는 직원 기기가 악성 코드에 감염돼 SaaS 계정 정보가 탈취됐고 약 360만 명의 개인 정보가 세 차례에 걸쳐 유출됐다. 디올과 티파니의 경우 담당 직원이 보이스피싱에 속아 SaaS 접근 권한을 넘겨 각각 195만 명과 4600만 명의 개인정보가 유출됐다.

여기에 디올과 티파니는 유출 사실을 인지한 뒤 법정 통지 기한인 72시간을 넘겨 이용자에게 알렸고, 티파니는 개인정보위 신고도 지연했다.