555만명 정보 털린 루이비통 그룹… 시스템 접근 권한까지 해커에 넘겨
김중래 기자
수정 2026-02-13 00:18
입력 2026-02-13 00:18
루이비통·디올·티파니 관리 부실
외부 접속 때 안전 인증수단 없어
고객들 “값 올리고 이름값 못해”
3개사에 과징금 총 360억 부과
루이비통·디올·티파니 등 글로벌 명품 브랜드 3사가 고객 개인 정보를 허술하게 관리하다 해킹당해 360억원대 과징금을 부과받았다. 비용을 줄이고 편리하게 고객 관리를 하려고 서버 대신 클라우드 기반 서비스형 소프트웨어(SaaS)를 도입했지만 보안 관리가 미흡해 개인정보 유출을 막지 못했다.
개인정보보호위원회는 지난 11일 전체 회의를 열어 개인정보보호 법규를 위반한 이들 3개 사에 과징금 360억 3300만원과 과태료 1080만원을 부과했다고 12일 밝혔다. 업체별 과징금은 루이비통코리아 213억 8500만원, 크리스챤디올꾸뛰르코리아 122억 3600만원(과태료 360만원), 티파니코리아 24억 1200만원(과태료 720만원)이다. 세 브랜드는 모두 프랑스 명품 그룹 루이비통모에헤네시(LVMH) 소속이다.
조사 결과 루이비통은 지난해 6월 9~13일 세 차례에 걸쳐 약 360만명의 개인정보를 유출했다. 직원의 기기가 악성코드에 감염된 것이 발단이었다. 해커는 이 기기에서 서비스형 소프트웨어 계정 정보를 탈취해 고객관리 시스템에 침입했고 등록 고객의 개인정보를 빼냈다. 루이비통은 시스템 접근 권한에 인터넷프로토콜(IP) 주소 제한을 두지 않았고, 외부 접속 시 안전한 인증수단도 적용하지 않은 것으로 드러났다.
디올과 티파니도 보안 관리가 허술했다. 고객센터 직원이 보이스피싱에 속아 서비스형 소프트웨어 접근 권한을 해커에게 넘기면서 지난해 1월과 4월 각각 디올 고객 195만명, 티파니 4600여명의 개인정보가 유출됐다. 두 회사 모두 IP 주소 제한이나 대량 데이터 다운로드 통제 장치가 없었다.
디올은 접속 기록 점검도 부실했다. 개인정보 다운로드 여부 등을 월 1회 이상 점검해야 했지만 이를 지키지 않아 유출 사실을 3개월 이상 지난 5월에야 파악했다. 유출 사실을 인지한 뒤에도 신고 기한(72시간)을 넘겨 관계 기관에 알린 것으로 확인됐다.
개인정보위는 세 업체에 처분 사실을 홈페이지에 공개하도록 명령했다. 개인정보위 관계자는 “기업들이 비용·편익만 고려해 서비스형 소프트웨어를 도입한 뒤 개인정보 보호 조치를 소홀히 했다”고 지적했다. 일부 소비자들은 “해마다 가격을 올리면서 정작 고객 개인 정보 관리 비용은 아끼고 싶었던 모양”이라며 “허술한 관리 형태가 ‘이름값’을 못한다”고 분통을 터뜨렸다.
김중래 기자
2026-02-13 8면
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
Q.
기사를 다 읽으셨나요? AI 퀴즈로 핵심 점검!
LVMH 3개 브랜드가 부과받은 총 과징금은?
