고객 피해 및 과징금 내역 공개소프트웨어형 서비스(SaaS) 보안 경고루이비통 213억원, 디올 122억원, 티파니 24억원 부과
);)
개인정보보호위원회(개인정보위)는 지난 11일 전체회의를 열고 개인정보보호법을 위반한 루이비통코리아·크리스챤디올꾸뛰르코리아·티파니코리아에 총 360억3300만원의 과징금과 1080만원의 과태료를 부과했다고 12일 밝혔다.
가장 큰 과징금을 부과받은 곳은 루이비통코리아다. 조사 결과 루이비통은 2013년부터 SaaS를 도입·운영하면서 접근 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고, 외부 접속 시 안전한 인증수단도 마련하지 않은 것으로 확인됐다. 이 과정에서 직원 기기가 악성코드에 감염됐고, SaaS 계정 정보가 해커에게 탈취되면서 지난해 6월을 전후해 약 360만명의 개인정보가 세 차례에 걸쳐 유출됐다. 유출 항목에는 이름, 성별, 국가, 전화번호, 이메일 주소, 생년월일 등이 포함됐다. 결국 213억8500만원의 과징금이 부과됐다.
크리스챤디올꾸뛰르코리아는 약 195만명의 개인정보가 유출돼 과징금 122억3600만원과 과태료 360만원을 부과받았다. 고객센터 직원이 보이스피싱에 속아 해커에게 SaaS 접근 권한을 부여한 것이 발단이었다. 디올은 개인정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 인지하지 못했고, 사고를 인지한 뒤에도 정당한 사유 없이 72시간을 넘겨 이용자에게 통지한 것으로 조사됐다.
티파니코리아 역시 직원이 보이스피싱에 속아 접근 권한을 넘겨주면서 약 4600명의 개인정보가 유출됐다. 과징금은 24억1200만원, 과태료는 720만원이다. 티파니는 IP 제한과 대량 다운로드 통제를 하지 않았고, 유출 사실을 인지한 뒤 72시간을 초과해 신고했다. 일부 이용자에게만 이메일로 통지한 점도 문제로 지적됐다.
개인정보위는 최근 많은 기업이 비용 절감과 유지관리 효율성을 이유로 SaaS를 도입하고 있으나, 보안 조치가 미흡할 경우 대규모 유출로 이어질 수 있다고 지적했다. 특히 SaaS를 활용하더라도 이는 개인정보처리시스템에 해당하는 만큼 접근 권한 최소화, IP 기반 접근 통제, 외부 접속 시 안전한 인증수단 적용, 접속기록 정기 점검 등 기본적인 보호조치를 이행해야 한다고 강조했다.
개인정보위 관계자는 "서비스형 소프트웨어를 도입했다고 해서 개인정보 보호 책임이 면제되거나 전가되는 것은 아니다"라며 "기업이 제공되는 보안 기능을 충분히 활용하고 내부 통제 체계를 갖추지 않으면 유사 사고가 반복될 수 있다"고 말했다.
뉴스웨이 양미정 기자
certain@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
);){kind=link}
댓글