"이렇게 허술했나" 고객정보 줄줄이 털린 명품

특히 명품 브랜드들의 국내 지사에서 내부 정보보안책임자나 관련 부서 없이 외부 클라우드 서비스에만 의존해 고객정보를 관리해 왔다는 점이 문제로 지적된다.

브랜드들은 금융정보는 유출되지 않았다고 선을 그었지만, 주 고객층인 VIP들의 직업과 구매 제품 고유번호 등 민감한 정보가 다수 유출됐을 것으로 보여 우려가 커지고 있다.

5일 패션업계에 따르면 개인정보보호위원회는 디올, 티파니에 이어 이달 프랑스 명품 브랜드 까르띠에 조사에 착수했다.

정보 유출 규모와 원인 등을 조사해 법 위반 사항이 발견되면 과태료와 과징금 등 처분을 내릴 전망이다.

까르띠에는 지난 3일 고객들에게 '개인정보 관련 중요 공지'란 제목의 메일을 통해 "권한이 없는 제3자가 까르띠에 시스템에 일시적으로 무단 접근해 일부 고객정보를 취득했다"고 밝혔다.

까르띠에 측은 고객 이름, 이메일 주소, 국가 정보 등이 유출됐으며, 신용카드와 기타 은행 정보 등은 영향을 받지 않았다고 설명했다.

앞서 루이비통모에헤네시(LVMH) 그룹 산하 브랜드인 디올과 티파니에서 고객정보 유출 사실을 뒤늦게 알리며 논란이 됐다.

디올은 지난 1월 26일 고객 이름과 휴대전화, 주소, 경칭(사회적 신분), 구매 상품 등이 포함된 개인정보가 유출된 사실을 지난달 13일 홈페이지에 공지했다.

디올은 유출 사고를 지난달 7일에서야 인지하고 같은 달 10일 개인정보위에 신고했다고 밝혔다.

유출 사고 이후 3개월이 넘는 동안 이를 인지하지 못하고 늑장대응한 것이다.

티파니 역시 4월 개인정보 유출 사고가 발생한 뒤 한 달이 넘어서야 해당 사실을 고객 개별 이메일로 안내했다.

문제는 명품 브랜드가 수집하는 고객정보가 일반 유통업체보다 더 민감한 정보를 포함하고 있다는 점이다.

일부 명품은 고객 관리와 맞춤형 서비스를 위해 직업, 직장 등 사회적 신분을 수집하기도 한다.

또 제품마다 '시리얼 넘버(고유번호)'를 부여해 언제 어디서 판매됐는지 파악하기 때문에 구매 이력과 시리얼 넘버도 민감한 개인정보에 포함된다.

김형중 전 고려대 정보보호대학원 교수는 "일반 소비자와 달리 명품 고객층 정보는 비싸게 팔리기 때문에 해커들의 표적이 된다"며 "해킹 방식이 정교했다기보단 명품 업체들이 안이했던 것이 원인"이라고 지적했다.

패션 업계에서는 "거액을 쓰는 VIP 고객이 많은 명품 브랜드의 보안이 이렇게 허술할지 몰랐다"는 반응이 나온다.

삼성물산 패션부문, LF, 신세계인터내셔날 등 국내 패션 대기업은 내부 정보보안책임자와 관련 부서를 갖추고 고객 데이터를 체계적으로 관리한다.

하지만 디올과 티파니는 단순히 외부 서비스형 소프트웨어(SaaS) 기반 고객 관리 서비스에 이를 맡기고 있는 것으로 나타났다.

SaaS는 서버가 아닌 외부 클라우드 인프라에 기업 데이터를 저장하고 운영하기 때문에 해킹 사고에 취약할 수 있다.

이때 기업 내부 보안팀이 데이터를 주기적으로 모니터해야 하는데, 명품 브랜드의 국내 지사 대다수는 이중 보안 체계가 없었던 것으로 추정된다.

개인정보위에 따르면 두 건의 유출 사고는 모두 고객 관리 서비스에 접속하는 직원의 계정정보를 이용해 개인정보가 유출된 사고로 확인됐다.

패션업계 관계자는 "명품의 국내 지사는 기존 직원이 보안 업무를 겸직하는 등 체계가 제대로 갖춰지지 않은 것으로 알고 있다"고 말했다.

[김금이 기자 / 박홍주 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]