개인정보보호위원회(위원장 송경희)는 2월 11일 제3회 전체회의를 열고 개인정보 보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아에 대해 이 같은 처분을 의결했다고 밝혔다. 세 회사는 모두 SaaS 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출이 발생했다.
서비스형소프트웨어(SaaS)는 소프트웨어를 자체 서버에 설치하지 않고, 인터넷을 통해 클라우드 형태로 제공받아 사용하는 방식이다.
개인정보위는 “SaaS를 도입하더라도 개인정보를 안전하게 관리할 책임이 면제되거나 서비스 제공자에게 전가되지 않는다”며, 기업이 제공되는 보호 기능을 충분히 적용해야 한다고 강조했다.
서울의 한 루이비통 매장. 사진=연합뉴스
루이비통코리아는 직원 기기가 악성코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취됐고, 약 360만명의 개인정보가 2025년 6월 9일부터 13일까지 3차례에 걸쳐 유출됐다.
개인정보위 조사 결과 루이비통은 2013년부터 해당 SaaS를 도입·운영하면서 접근 가능한 권한을 IP 주소 등으로 제한하지 않았고, 개인정보취급자가 외부에서 접속할 때 안전한 인증수단을 적용하지 않은 것으로 나타났다. 개인정보위는 루이비통에 과징금 213억8500만원을 부과하고 공표를 명령했다.
프랑스 명품 브랜드 디올의 아동복 ‘베이비 디올’ 매장. 사진=연합뉴스
크리스챤디올꾸뛰르코리아는 고객센터 직원이 해커의 보이스피싱에 속아 SaaS 접근권한을 부여하면서 약 195만명의 개인정보가 유출됐다.
디올은 2020년부터 해당 SaaS를 운영하면서 IP 제한 등 접근통제를 하지 않았고, 대량 데이터 다운로드 지원 도구의 사용 제한도 미흡했던 것으로 조사됐다. 또한 개인정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 확인하지 못했다.
개인정보위는 디올이 유출을 인지한 시점(2025년 5월 7일) 이후 정당한 사유 없이 72시간을 넘겨 통지(2025년 5월 12일)한 점도 위반으로 판단했다. 이에 디올에는 과징금 122억3600만원과 과태료 360만원을 부과하고 공표를 명령했다.
서울에 있는 보석 매장 티파니. 사진=연합뉴스
티파니코리아도 고객센터 직원이 보이스피싱에 속아 SaaS 접근권한을 해커에게 부여하면서 약 4600여명의 개인정보가 유출됐다.
티파니는 2021년부터 해당 SaaS를 사용하면서 IP 제한 등 접근통제 조치가 부족했고, 대량 데이터 다운로드 지원 도구 사용 제한도 미흡했던 것으로 확인됐다. 유출 인지(2025년 5월 9일) 이후 72시간을 넘겨 신고·통지(2025년 5월 22일)한 점도 위반으로 적시됐다. 개인정보위는 티파니에 과징금 24억1,200만원과 과태료 720만원을 부과하고 공표를 명령했다.
개인정보위 “SaaS도 개인정보처리시스템…접근통제·인증·기록관리 필수”
개인정보위는 이번 처분을 통해 “글로벌 대기업의 SaaS를 도입했다는 이유로 안전성을 안이하게 신뢰해 비용·편의만 고려하면 개인정보 보호가 소홀해질 수 있다”고 지적했다.
특히 고객관리 등 목적으로 SaaS를 도입해 개인정보를 처리하는 경우에도 개인정보처리시스템에 해당하므로, 업무에 필요한 최소 범위로 접근권한을 차등 부여하고, 인가받지 않은 접근을 막기 위해 IP 제한을 적용해야 한다고 강조했다. 외부 접속 시에는 일회용 비밀번호(OTP), 인증서, 보안토큰 등 안전한 인증수단을 필수 적용하고, 접속기록 보관·점검 등 기본 안전조치를 준수해야 한다는 설명이다.
