‘개인정보 유출’ 명품 3사, 과징금 360억원
루이비통·크리스찬디올·티파니 시정·공표명령
버거킹·메가커피 등 식음료 업계도 법위반 적발
개인정보 유출 사고에 늑장 대응했던 명품브랜드 판매 업체들에 대해 총 360억여원의 과징금이 부과됐다. 버거킹·메가커피·캐치테이블 등 식음표 분야 업체들도 개인정보보호법(보호법) 위반이 적발돼 제재를 받았다.
◆‘SaaS’ 방식 보안허점 노출 = 개인정보보호위원회는 11일 전체회의를 열고 루이비통코리아·크리스챤디올꾸뛰르코리아·티파니코리아 등 명품브랜드를 판매하는 3개 사업자에 대해 과징금 총 360억3300만원과 과태료 1080만원을 부과하고 처분사실 공표를 명령했다고 12일 밝혔다.
이들 업체는 모두 ‘서비스형 소프트웨어(SaaS)’ 기반의 고객관리 서비스를 이용하는 과정에서 사고가 발생한 것으로 나타났다. 소프트웨어를 PC나 서버에 직접 설치하지 않고 인터넷을 통해 클라우드 서비스로 이용하는 방식이다.
과징금을 가장 많이 물게 된 업체는 루이비통이었다. 213억8500만원이 부과됐다.
이 회사는 지난해 6월 직원 기기의 악성코드 감염으로 SaaS 계정 정보를 해커에게 탈취당해 약 360만명의 개인정보가 3차례에 걸쳐 유출됐다.
루이비통은 2013년부터 이 서비스를 도입·운영했지만 SaaS 접근권한을 인터넷프로토콜(IP) 주소로 제한하는 보안 조치를 하지 않았다. 외부에서 접속하는 개인정보취급자에 대해서도 안전한 인증수단을 적용하지 않은 것으로 조사됐다.
디올에 대해서는 과징금 122억3600만원, 과태료 360만원이 부과됐다.
2020년부터 SaaS를 도입한 디올은 고객센터 직원이 해커의 보이스피싱에 속아 SaaS 접근권한을 해커에게 부여, 약 195만 명의 개인정보가 유출됐다.
이 회사도 SaaS의 IP주소 제한 조치를 하지 않은 것으로 나타났다. 대량의 데이터 다운로드 지원 도구 사용을 제한하지 않은 점, 정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 확인하지 못한 점도 확인됐다.
개인정보위는 디올이 지난해 5월 개인정보 유출을 인지하고도 정당한 사유 없이 72시간을 경과해 유출사실을 통지한 사실도 확인했다.
마찬가지로 보이스피싱에 속아 4600명 가량의 개인정보가 유출된 티파니에는 과징금 24억1200만원, 과태료 720만원이 부과됐다.
티파니 역시 SaaS IP주소제한, 대량 데이터 다운로드 지원도구 사용 제한 조치를 하지 않은 점, 지난해 9월 개인정보 유출을 인지하고도 정당한 사유 없이 72시간을 경과해 신고·통지한 점이 확인됐다
개인정보위는 이들 업체들에 대해 시정조치 및 각사 홈페이지 공표를 명령했다.
개인정보위는 SaaS를 도입해 개인정보를 처리하는 경우 △접근권한 최소범위 차등부여 △IP주소 제한 △외부 접속 시 인증수단 필수적용이 필요하다고 강조했다.
◆비케이알 ‘14세 미만’ 개인정보 수집 = 한편 개인정보위는 같은 날 전체회의에서 식음료 분야 사업자들에 대해서도 개인정보 처리실태를 점검, 10개 업체의 보호법 위반 행위를 적발했다고 밝혔다. 이들 업체에는 총 15억6600만원의 과징금과 1억1130만 원의 과태료를 부과하고 시정명령 및 공표명령을 하기로 의결했다.
이번 실태조사는 최근 확산되고 있는 원격 예약·대기 및 키오스크(KIOSK) 주문 방식 등 대규모 개인정보 처리서비스를 중심으로 이뤄졌다. 대부분의 사업자들은 대량의 개인정보를 보유기간이 경과하거나 처리목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리하고 있었던 것으로 나타났다.
‘버거킹’ 운영사인 비케이알은 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용한 것으로 나타났다. ‘메가MGC커피’를 운영하는 엠지씨글로벌은 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리가 되도록 설정하여, 미동의 회원에게 마케팅 메시지(앱푸시)를 발송한 것으로 확인됐다.
와드(캐치테이블)와 테이블링(테이블링)·야놀자에프앤비솔루션·한국맥도날드는 응용프로그램 인터페이스(API) 설계·운영을 미흡하게 하는 등 접근통제를 소홀히 한 사실을 확인했다고 개인정보위는 밝혔다.
투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영한 점, 더본코리아(빽다방)는 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의받아야 할 사항을 포괄적으로 동의받은 점 등이 지적됐다.
개인정보위는 비케이알과 엠지씨글로벌에 각각 과징금 9억2400만원, 6억4200만원을 부과했다. 사업자들의 기타 보호법 위반행위에 대해 총 과태료 1억1130만 원을 부과하고 시정명령과 공표명령 처분을 했다.
이재걸 기자 claritas@naeil.com
![[인터뷰 | 국민의힘 6.3 지방선거 공천관리위원장 중용된 이정현 전 의원] “완전히 갈아엎겠다…청년 중심으로 대대적 판갈이”](https://wimg.naeil.com/paper/2026/02/12/20260212_01100104000001_L01.jpg)
![[인터뷰 | 김바다 한국스마트관광협회장] “핵심은 체류-소비-재방문 구조에 있다”](https://wimg.naeil.com/paper/2026/02/12/20260212_01100118000001_S01.jpg)
![[한국농업기술로 식량주권 지키는 국가 2 몽골] 오명규 몽골 코피아센터 소장](https://wimg.naeil.com/paper/2026/02/12/20260212_01100116000006_L01.jpg)
![[한국농업기술로 식량주권 지키는 국가- 파키스탄] 박인태 코피아센터 소장](https://wimg.naeil.com/paper/2026/02/11/20260211_01100115000007_L01.jpg)
![[제약바이오 블록버스터] 의료 미충족 틈새 신약이 ‘블록버스터’ 가능성 높아](https://wimg.naeil.com/paper/2026/02/10/20260210_01100118000001_M01.jpg)
