서울 시내 한 루이비통 매장의 모습. 2025.4.16 ⓒ 뉴스1
12일 개인정보보호위원회(개인정보위)는 전날 전체회의를 열어 이들 명품 브랜드 3곳에 대한 제재를 의결했다고 밝혔다. 조사 결과 이들 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템을 사용하는 과정에서 적절한 보안 대책을 갖추지 않아 개인정보 유출 사고를 겪은 것으로 나타났다. SaaS는 기업이 자체 서버를 두지 않고 외부 클라우드 사업자가 제공하는 프로그램을 인터넷으로 접속해 이용하는 방식이다.
루이비통코리아는 직원 기기가 악성코드에 감염되며 SaaS 계정 정보가 탈취돼 약 360만 명의 개인정보가 세 차례에 걸쳐 유출됐다. 크리스챤디올꾸뛰르코리아(디올)와 티파니코리아는 직원이 보이스피싱에 속아 SaaS 접근 권한을 넘기는 과정에서 각각 약 195만 명과 4600명의 개인정보가 유출된 것으로 조사됐다. 디올과 티파니는 유출 사실을 인지한 뒤 법정 통지 기한인 72시간을 넘겨 이용자에게 알렸고, 티파니는 개인정보위 신고도 지연했다.
개인정보위는 이에 따라 루이비통에 213억8500만 원, 디올에 122억3600만 원, 티파니에 24억1200만 원의 과징금을 각각 부과했다. 과징금은 회사 매출, 피해 규모, 민감 정보 유출 여부, 고의성 등을 종합 판단해 매겨진다.
개인정보위는 또 식음료 분야 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억6600만 원의 과징금과 1억1130만 원의 과태료를 결정했다. 보유 기간이 지났거나 처리 목적이 달성된 개인정보를 파기하지 않은 점이 주요 위반 사유다. 특히 버거킹 운영사 비케이알(BKR)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용한 사실이 드러나 9억2400만 원의 과징금을 부과받았다.
한재희 기자 hee@donga.com