‘개인정보 유출’ 명품 브랜드 3곳 과징금 360억

개인정보위 전체회의서 결정
관리 미흡 식음료 분야 10곳
과징금 5억·과태료 1억 부과

지난해 잇따라 고객 개인정보를 유출한 명품 브랜드 루이비통과 디올, 티파니가 과징금 360억3300만원을 물게 됐다.

개인정보보호위원회는 11일 전체회의에서 개인정보 보호법을 위반한 루이비통코리아에 과징금 213억8500만원, 크리스챤디올꾸뛰르코리아에 122억3600만원, 티파니코리아엔 24억1200만원 부과를 의결했다. 디올과 티파니엔 과태료 360만원, 720만원도 부과됐다.

이들 3사는 클라우드 기반의 ‘서비스형 소프트웨어(SaaS)’로 고객 관리를 하다가 해킹 공격을 받아 550여만명의 개인정보를 유출했다. 루이비통이 약 360만명으로 가장 많고, 디올 약 195만명, 티파니 4600여명이다.

개인정보위 조사 결과 이들 3사는 모두 해당 소프트웨어에 접근할 수 있는 권한을 IP(인터넷 프로토콜) 주소 등으로 제한하지 않은 것으로 파악됐다. 루이비통은 개인정보 취급자가 외부에서 접속할 때 일회용 비밀번호(OTP), 인증서 등 안전한 인증 수단을 적용하지 않았다. 디올과 티파니는 대량의 데이터 다운로드 지원 도구 사용을 제한하지 않았다. 여기에 디올은 접속 기록을 월 1회 이상 점검하지 않아 3개월 넘게 유출 사실을 몰랐다.

개인정보위는 이날 원격예약 및 대기, 키오스크 주문 등 개인정보 처리 과정에서 보유기간을 넘기거나 처리 목적 달성 후 파기하지 않은 식음료 분야 플랫폼 사업자 3곳과 프랜차이즈 7곳에 과징금 15억6600만원과 과태료 1억1130만원을 부과하고, 시정명령을 내렸다.

3개 플랫폼은 도도포인트와 나우웨이팅을 운영하는 야놀자에프앤비솔루션, 테이블링, 캐치테이블을 운영하는 와드이다. 7개 프랜차이즈는 버거킹·메가MGC커피·이디야·빽다방·한국맥도날드·투썸플레이스이며, 스타벅스는 시정명령만 받았다.