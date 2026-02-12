전화번호 등 고객 정보 해킹 유출

디올·티파니는 보이스피싱에 당해

디올 195만명 등 총 555만명 피해

개인정보위, 3곳에 360억 과징금

서울의 한 백화점에 있는 루이비통 매장 앞으로 행인이 걸어가고 있다. 개인정보보호위원회는 12일 개인정보 유출 사고를 낸 루이비통에 과징금 213억8500만원을 부과했다. 루이비통코리아는 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생한 것으로 조사됐다. 연합뉴스

루이비통과 디올, 티파니 3곳의 명품 브랜드사에서 모두 555만여명의 개인정보가 유출된 것으로 나타났다. 루이비통은 고객관리 계정을 해킹당했으며 디올과 티파니 직원은 동일한 집단으로 추정되는 해커 집단의 보이스피싱 범죄에 속아 각각 관리 계정이 탈취된 것으로 조사됐다. 개인정보보호위원회는 이들 3곳에 총 360억3300만원의 과징금을 부과했다.



개인정보위는 지난 11일 전체회의를 열고 개인정보보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 명품 브랜드 한국 판매 법인 3곳에 대해 이같이 처분했다고 12일 밝혔다.



이들 사업자는 서비스형 소프트웨어(SaaS·Software as a Service) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생했다. 이 시스템은 고객관리 소프트웨어를 자사 서버가 아닌 인터넷 클라우드를 통해 운용하는 방식이다. 해커가 이 체계의 빈틈을 노려 개인정보를 빼간 것이다. 윤여진 개인정보위 조사1과장은 “이번 사고는 휴먼 에러가 결합한 형태지만 안전 조치를 했다면 발생하지 않았을 것”이라고 지적했다.



루이비통은 과징금 213억8500만원을 부과받았다. 루이비통에선 360만명의 개인정보가 해커에게 탈취됐다. 루이비통은 직원의 기기가 악성코드에 감염돼 SaaS 계정 정보를 해커에게 뺏긴 것으로 조사됐다. 해커는 이 계정으로 SaaS에 접근했다. 이를 통해 360만명의 이름, 성별, 국가, 전화번호, 이메일 주소, 생년월일 등 개인정보를 지난해 6월 9~13일 세 차례 빼갔다.



개인정보위는 루이비통의 SaaS 관리 부실을 지적했다. 루이비통은 2013년부터 SaaS를 도입해 운영하면서 접근 권한을 제한하지 않았다. 접근 가능한 인터넷 프로토콜(IP) 주소를 제한하는 식의 관리가 이뤄지지 않았다는 것이다. 또 외부 접속자에게 일회용 비밀번호 등 인증 수단을 적용하지 않았다. 해커의 공격에 대응할 수 있는 방어막을 제대로 구축하지 않은 것이다. 개인정보위는 안전 조치 의무를 위반한 것이라고 봤다.





디올에선 고객센터 직원이 보이스피싱 범죄에 속아 해커에게 SaaS에 대한 권한을 부여했다. 해커는 자신이 IT 부서 직원이라며 고객센터 직원에게 접근해 다운로드 권한을 받아냈다. 이를 통해 SaaS에 접속해 이름, 성별, 생년월일, 나이, 이메일, 전화번호 등 195만명의 개인정보를 빼냈다.



디올에서도 SaaS 관리 부실이 드러났다. 디올은 2020년부터 SaaS를 운영하며 IP 주소 등을 통한 접근 권한 관리를 하지 않았다. 대량의 데이터를 내려받을 수 있게 한 지원 도구에 대한 사용 권한도 풀어놨다. 이 때문에 해커가 단기간 대량의 개인정보를 내려받아 가져갈 수 있었다.



디올은 또 접속 기록을 월 1회 이상 점검하지 않았다. 개인정보 유출 사실을 3개월을 훌쩍 넘긴 지난해 5월 7일에야 파악했다. 유출 사실을 확인한 뒤에도 법적 통지 기한인 72시간을 넘겨 개인정보 주체에게 알렸다. 개인정보위는 과징금 122억3600만원과 과태료 360만원을 디올에 부과했다.



티파니도 고객센터 직원이 디올 사례와 비슷한 수법으로 해커에게 보이스피싱을 당했다. 해커는 SaaS에 대한 권한을 부여받은 뒤 SaaS에 접속해 이름과 주소, 이메일 주소 등 4600명의 개인정보를 가져갔다.



티파니 역시 2021년부터 SaaS를 활용하면서 접근 제한, 다운로드 제한 조치 등을 하지 않았다. 또 지난해 5월 9일 개인정보 유출 사실을 인지하고도 같은 달 22일에야 이를 신고·통지한 것으로 파악됐다. 법적 신고·통지 기한인 72시간을 훌쩍 넘긴 것이다. 개인정보위는 과징금 24억1200만원과 과태료 720만원 부과 처분을 티파니에 내렸다.



개인정보위는 클라우드에 기반한 SaaS를 도입한 기업에도 개인정보 보호책임이 있다고 강조했다. 그러면서 SaaS에 접근할 수 있는 IP 주소를 제한하는 조치를 취해야 한다고 설명했다. 개인정보위는 일회용 비밀번호, 인증서, 보안토크 등 인증 수단을 적용해 안전 조치를 강화해야 한다고 덧붙였다.



김용헌 기자 yong@kmib.co.kr



