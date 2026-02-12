지난해 잇따라 고객 개인정보를 유출한 명품 브랜드 루이비통과 디올, 티파니가 과징금 360억3300만원을 물게 됐다.

개인정보보호위원회는 11일 전체 회의에서 개인정보 보호법을 위반한 루이비통코리아에 과징금 213억8500만원, 크리스챤디올꾸뛰르코리아 122억3600만원, 티파니코리아엔 24억1200만원 부과를 의결했다. 디올과 티파니엔 각 과태료 360만원, 720만원도 부과됐다.

이정렬 개인정보보호위원회 부위원장이 2월11일 서울 종로구 정부서울청사에서 열린 개인정보위 전체 회의에서 의사봉을 두드리고 있다. 개인정보위 제공

이들 3사는 클라우드 기반의 ‘서비스형 소프트웨어(SaaS)’로 고객 관리를 하다가 해킹 공격을 받아 개인정보가 유출됐다. 루이비통이 약 360만명으로 가장 많고, 디올 약 195만명, 티파니 4600여명이다.

개인정보위 조사 결과, 모두 해당 소프트웨어에 접근할 수 있는 권한을 IP(인터넷 프로토콜) 주소 등으로 제한하지 않은 것으로 확인됐다. 또 루이비통은 개인정보 취급자가 외부에서 접속할 때 일회용 비밀번호(OTP), 인증서 등 안전한 인증 수단을 적용하지 않았다. 디올과 티파니는 대량의 데이터 다운로드 지원 도구 사용을 제한하지 않았다. 여기에 디올은 접속 기록을 월 1회 이상 점검하지 않아 3개월 넘게 유출 사실을 몰랐다.

아울러 개인정보위는 이날 회의에서 식음료 분야 플랫폼 사업자 3곳과 프랜차이즈 7곳엔 과징금 15억6600만원과 과태료 1억1130만원 부과, 시정 명령을 의결했다. 플랫폼은 도도포인트와 나우웨이팅을 운영하는 야놀자에프앤비솔루션, 테이블링, 캐치테이블을 운영하는 와드, 프랜차이즈는 버거킹·메가MGC커피·이디야·빽다방·한국맥도날드·투썸플레이스다. 스타벅스는 시정 명령만 받았다.

개인정보위는 원격 예약 및 대기, 키오스크 주문 등 개인정보 처리를 수반하는 서비스 확산에 따라 식음료 분야 실태를 조사했는데, 대부분 사업자가 대량의 개인정보를 보유 기간이 경과하거나 처리 목적을 달성한 뒤에도 파기하지 않는 등 관리가 미흡했다. 특히 버거킹은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집하고 이용해 가장 많은 9억2400만원의 과징금과 과태료 1530만원, 메가커피는 수신을 동의하지 않은 회원에게 마케팅 메시지를 발송해 과징금 6억4200만원, 과태료 1530만원을 부과받았다.

개인정보위 관계자는 “최근 많은 기업이 초기 구축 비용 절감, 유지·관리 효율성 등을 이유로 SaaS를 도입해 운영 중인데, SaaS로 개인정보를 처리할 경우 개인정보 처리 시스템에 해당해 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여해야 한다”며 “디지털 환경에서 처리 목적 등을 달성한 개인정보 미파기는 잠재적 유출 사고의 핵심 변수로 작용할 수 있는 만큼 즉시 파기해야 한다”고 강조했다.

