“서비스형 소프트웨어 기반 고객관리 서비스 이용 과정서 개인정보 유출 사고 발생”
이들 3개 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생했다.
루이비통코리아는 직원 기기가 악성코드에 감염돼 서비스형 소프트웨어 계정 정보를 해커에게 탈취당했고, 이에 약 360만 명의 개인정보가 총 세 차례에 걸쳐 유출됐다.
루이비통은 2013년부터 구매 고객 등 관리를 위해 서비스형 소프트웨어를 도입·운영하면서 접근할 수 있는 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고 개인정보취급자가 외부에서 접숙할 때 안전한 인증수단을 적용하지 않은 것으로 확인됐다.
이에 개인정보위는 루이비통코리아에 과징금 213억 8500만 원을 부과했다.
크리스챤디올꾸뛰르코리아는 직원이 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여함에 따라 약 195만 명의 개인정보가 유출됐다.
디올은 IP 제한과 대량 데이터 다운로드 통제를 하지 않았고, 심지어 월 1회 이상 접속기록을 점검하지 않아 유출 사실을 3개월 넘게 파악하지 못했다. 또 유출 인지 후 72시간을 넘겨 이용자 통지를 했다.
이에 개인정보위는 디올에 과징금 122억 3600만 원과 과태료 369만 원을 부과했다.
티파니도 디올과 마찬가지로 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여해 약 4600여 명의 개인정보가 유출됐다.
개인정보 유출 후 정당한 사유 없이 72시간을 경과해 유출 신고 및 통지를 한 사실도 확인됐다.
개인정보위는 티파니에 과징금 24억 1200만 원과 과태료 720만 원을 부과했다.
개인정보위는 최근 많은 기업이 초기 구축 비용 절감과 유지관리 효율성을 이유로 글로벌 대기업의 서비스형 소프트웨어를 도입하고 있으나, 소프트웨어에 대한 신뢰를 토대로 비용·편의 측면만 고려한다면 개인정보 안전성 확보에 소홀이 할 우려가 있어서 주의가 요구된다고 밝혔다.
이어 고객관리 등을 위해 서비스형 소프트웨어를 활용하는 경우에도 이는 개인정보처리시스템에 해당하기 때문에 접근 권한 최소화하고 인가받지 않은 접근은 통제하는 등 개인정보 유출사고를 예방해야 한다고 강조했다.
김정아 기자 ja.kim@ilyo.co.kr