“명품 고객 개인정보 털렸다”…구찌·발렌시아가 ‘740만명’ 탈탈

케링·티파니앤코·루이비통 등 명품 브랜드가 해킹 피해를 인정했다. 고객 지출 내역까지 유출돼 2차 범죄 우려가 커지고 있다. 사진은 피츠버그에 위치한 구찌 스토어. (출처=AP/뉴시스)

명품 브랜드를 겨냥한 해킹 범죄가 잇따르면서 고액 소비자들의 지출 내역까지 유출돼 2차 범죄 우려가 커지고 있다. 케링, 티파니앤코, 루이비통 등 글로벌 브랜드들이 잇따라 개인정보 유출 사실을 인정했다.

■ 케링 고객 정보 유출…지출 내역까지 포함

15일(현지 시각) 더 가디언, BBC 등 외신은 프랑스 명품 그룹 케링(Kering)이 일부 고객 개인정보 유출 사실을 확인하고 당국에 보고했다고 보도했다. 케링은 구찌, 발렌시아가, 알렉산더 맥퀸 등을 운영하는 명품 브랜드 그룹이다.

케링 측은 카드·계좌 등 금융 정보는 유출되지 않았다고 강조했지만, BBC가 입수한 데이터에는 이름, 전화번호, 이메일 주소뿐 아니라 고객별 총 지출액까지 포함돼 있었다.

일부 고객은 1만 달러 이상, 많게는 8만6000달러를 사용한 기록도 확인됐다. 이에 따라 고액 소비자를 노린 2차 해킹 및 사기 위험이 제기된다.

■ 해킹 그룹 “740만 건 확보”…케링 “몸값 협상 없었다”

이번 공격을 자행한 해킹 조직은 ‘샤이니 헌터스(Shiny Hunters)’로, 이들은 총 740만 개의 고객 데이터를 확보했다고 주장했다. 또 지난 4월 케링 시스템에 침투해 비트코인 몸값을 요구했다고 밝혔다.

그러나 케링은 “해커와 직접 대화한 적 없다”고 반박했다. 케링 대변인은 성명을 내고 “6월경, 외부인이 시스템에 접근해 일부 고객 데이터에 접근한 사실을 확인했다. 그 이후 IT 시스템 보안을 강화했다”고 밝혔다.

■ 티파니앤코·루이비통도 털렸다

서울 시내 한 백화점의 루이비통 매장. (출처=뉴시스)

명품 브랜드를 겨냥한 해킹은 케링에만 국한되지 않는다.

티파니앤코는 15일 홈페이지 공지를 통해 “개인정보 일부가 유출됐다”고 밝혔다. 유출된 정보는 이름, 주소, 이메일, 전화번호, 판매 데이터 등이었으며, 최초 유출은 5월 13일 발생했으나 회사가 인지한 것은 9월 15일이었다.

루이비통도 지난 7월 초 한국 법인을 통해 개인정보 유출 사실을 알렸다. 이름, 성별, 국가, 전화번호, 이메일 등이 유출됐으며, 사고 발생은 1월이었으나 인지 시점은 5월 7일로, 현재 개인정보보호위원회(개인정보위)가 조사 중이다.

■ 개인정보위 “보안 소홀”…몽클레르에 과징금

고학수 개인정보보호위원회 위원장이 10일 서울 종로구 정부서울청사에서 제20회 개인정보보호위원회(개인정보위) 전체회의에 참석해 개회하며 의사봉을 두드리고 있다.(출처=뉴시스)

개인정보 유출로 과태료 처분까지 내려진 사례도 있다. 개인정보위는 10일 심의회를 열어 몽클레르 코리아에 8101만 원의 과징금과 720만 원의 과태료를 부과했다.

몽클레르는 2022년 1월 해킹으로 약 23만 명의 고객 개인정보를 유출했음에도 보안 강화 조치를 소홀히 했고, 당시 법이 정한 24시간 이내 신고 의무도 지키지 않았다.

개인정보보호법 시행령은 1000명 이상의 개인정보가 유출된 경우 기한 내에 보호 위원회 및 전문 기관에 신고하도록 하고 있다. 기존에는 24시간 이내에 유출 신고·통지를 해야 했으나, 현재는 72시간 내에 이뤄지도록 개정됐다.