[단독]해킹 당한 명품업체들, 고객정보 보호할 한국 총책임자 없었다

동아일보
입력 2025년 7월 8일 16시 56분

코멘트: 개

좋아요: 개

코멘트: 개

디올-까르띠에-티파니-루이비통, 국내 대리인 지정 안해

디올, 까르띠에, 티파니에 이어 4일 루이비통에서도 개인정보 유출 사고가 발생한 가운데 이들 모두 국내에 개인정보 총책임자를 별도로 지정하지 않은 것으로 8일 파악됐다. 명품 업체들이 한국의 개인정보보호법을 지키지 않으면서 정보보호에도 소홀한 것이다.

이날 동아일보가 개인정보 유출로 논란을 빚은 명품업체 4곳의 개인정보보호 처리방침을 확인한 결과 4사 모두 국내 대리인을 지정하지 않았다. 개인정보보호법에 따라 전년도 본사 매출액이 1조 원 이상이거나 이용자가 일 평균 100만 명 이상인 외국계 기업인 경우 국내 대리인을 지정하고 이를 공개해야 한다.

금융감독원 전자공시시스템에 따르면 지난해 루이비통코리아는 매출 1조7484억 원으로 개인정보총책임자를 지정해야 하는 업장에 해당한다. 디올의 경우 지난해 매출은 9453억 원으로 소폭 하락했지만 2023년에 1조456억 원으로 1조 원을 넘은 바 있다. 까르띠에를 보유한 리치몬드사의 국내 매출은 1조7952억 원(2024년 4월~2025년 3월 기준)이었다.

염흥열 순천향대 정보보호학과 명예교수는 “국내 대리인은 국내법 개정 사항을 모니터링해 글로벌 본사에 전달하고, 유출 사고 발생 시에도 본사와 직접 소통하며 실질적인 대응과 행정 처분 절차를 원활히 진행할 수 있도록 돕는 역할”이라며 “대리인이 없으면 이런 대응이 어렵고 국내법을 준수하는 데도 한계가 생긴다”고 지적했다.

이들은 개인정보보호 책임자 지정도 소홀히 한 것으로 드러났다. 개인정보보호위원회에 따르면 개인정보보호 책임자는 부서가 아닌 담당 직원을 명시해야 한다. 티파니는 담당 부서만 적시했고, 루이비통은 개인정보 유출 직후인 지난달 10일에서야 개인정보 보호방침을 수정하고 개인정보보호 책임자를 뒤늦게 지정한 것으로 파악됐다.

보안업계에 따르면 유출 사고가 발생한 명품 업체들은 모두 클라우드 기반의 글로벌 CRM(고객 관계 관리) 서비스 업체 한 곳을 이용한 것으로 알려졌다. 개인정보보호위원회 관계자는 “이번 정보유출이 서비스 업체의 문제인지, 명품 업체들의 관리 소홀 문제인지 등을 살펴보고 있다”고 말했다.

해외 명품 업체들과 달리 국내 주요 패션 업체들은 개인정보보호 책임자를 명확하게 공개하고 있다. LF는 정보보호실장을 책임자로 규정하고 자체 시스템을 구축해 개인정보를 관리하고 있다.

전문가들은 구매력이 높은 명품 업체의 고객 정보가 해커들의 공격 대상인 만큼 이들 업체에 대한 개인정보보호 감독 기능을 강화해야 한다고 지적한다. 임종인 고려대 정보보호대학원 명예교수는 “글로벌 명품업체 국내 지사의 보안 인식 부족이 고객의 개인정보 유출로 이어지고 있는 만큼 국내법을 따를 수 있도록 관리 책임을 강화해야 한다”고 말했다. 본보는 디올과 루이비통 측에 개인정보 관리 등에 관한 입장을 요청했지만 회신을 받지 못했다.