‘고객은 봉’ 해외명품 브랜드… 안이한 보안 인식에 해커들의 ‘봉’됐다[Who, What, Why]

전 세계적으로 인지도와 인기가 높은 디올과 티파니, 까르띠에 등 해외 고가 브랜드(이른바 명품)에서 최근 잇따라 국내 고객 개인정보 유출 사고가 발생해 논란이 일고 있다. 특히 세계 최대 명품 그룹으로 꼽히는 프랑스 루이비통모에헤네시(LVMH)와 스위스 리치몬트가 각각 디올과 티파니, 까르띠에를 소유하고 있다는 점에서 “도저히 이해할 수 없다”는 반응이 나오고 있다. 앞서 지난해도 LVMH 산하 스위스 시계 브랜드 태그호이어에서 개인정보 유출 사태가 발생해 국내 소비자들의 우려를 자아낸 바 있다. 이에 따라 매년 수차례씩 가격 인상에만 몰두하고 있다는 지적을 받아온 이들 명품 업체들이 보다 책임감을 갖고 고객 개인정보 보호에 신경을 써야 한다는 목소리도 높아지고 있다.

◇이름만 명품?… 고객 보안은 뒷전= 지난 1월 가장 먼저 개인정보 유출 사고가 터진 디올은 LVMH 대표 브랜드로 국내에서 많은 애호가층을 형성하고 있다. 디올은 지난달 13일 한국 홈페이지에 “외부의 권한 없는 제3자가 디올 패션·액세서리 고객들의 일부 데이터에 접근한 사실을 발견했다. 영향을 받은 데이터에는 성함, 휴대전화 번호, 이메일 주소, 구매 데이터 등이 포함된 것으로 파악됐다”고 공지했다. 특히 국내 소비자들은 밖으로 알려질 경우 민감할 수밖에 없는 구매 내역까지 유출된 데 대해 큰 충격을 받았다. 이어 4월에는 역시 LVMH 소속으로 세계 3대 보석 브랜드로 꼽히는 티파니에서도 개인정보 유출 사태가 벌어졌다. 유출된 정보에는 이름과 주소, 전화번호, 이메일, 내부 고객 번호, 판매 데이터 등이 포함된 것으로 전해졌다. 티파니는 일부 고객에게 해킹 사실을 알리는 이메일을 보냈을 뿐 홈페이지 등에 별도 공지는 하지 않아 논란에 휩싸였다. 고가 시계·보석 등으로 유명한 리치몬트 산하 까르띠에도 이달 초 개인정보 유출 사실을 공개했다. 까르띠에는 “권한이 없는 제3자가 내부 시스템에 일시적으로 무단 접근해 일부 고객 정보를 취득하는 문제가 발생했다”고 밝혔다. 이름과 이메일 주소, 국가 등 정보가 유출됐지만, 비밀번호와 신용카드·은행 정보 등은 영향을 받지 않았다고 회사 측은 설명했다. 이에 업계와 소비자들 사이에선 “거액을 쓰는 부유층을 주요 고객으로 확보하고 있는 콧대 높은 명품 브랜드들의 보안 관리가 이렇게 허술할지는 몰랐다”는 반응이 나오고 있다. 특히 세 브랜드 모두 올해 많게는 6%가량 가격 인상을 단행하는 등 매년 수차례씩 ‘N차 인상’에 나서고 있어 국내 소비자들을 봉으로 보는 것 아니냐는 비판도 고조되고 있다.

◇부실한 대응도 도마= 디올과 티파니, 까르띠에 모두 사고 인지와 공지, 관계 당국 신고 등이 뒤늦었던 것으로 확인돼 국내 소비자들의 원성을 사고 있다. 디올은 1월 26일 발생한 유출 사고를 약 100일이 지난 지난달 7일에서야 인지하고 ‘늑장 대응’에 나섰다. 3일 뒤인 같은 달 10일 개인정보 유출 피해 사실을 개인정보보호위원회(개보위)에 신고했지만, 13일에야 홈페이지에 해당 내용을 공지하고 피해자들에게 알렸다. 해킹 피해 사실에 대한 신고도 늦었던 것으로 알려졌다. 티파니 역시 4월 8일 개인정보 유출 사고가 발생했지만 한 달이 넘어서야 해당 사실을 인지하고 고객 개별 이메일로 안내했다. 개보위 신고는 사고 발생 후 44일이 지난 5월 22일에나 이뤄졌다. 사고 발생 시점이 정확히 알려지지 않은 까르띠에는 이달 3일 일부 대상 고객들에게만 이메일로 피해 사실을 전달하고 5일에 개보위 신고를 마쳤다. 관계 당국에 따르면 해킹 사실을 인지한 민간 기업은 현행 정보통신망법에 따라 추가 피해를 막기 위해 인지 후 24시간 이내 과학기술정보통신부나 한국인터넷진흥원(KISA)에 신고해야 한다. 이와 별개로 개인정보 유출도 확인됐을 경우, 72시간 이내 개보위나 KISA에 피해 사실을 알려야 한다. 개보위 관계자는 “정확한 유출 대상과 규모, 개인정보 보호법 위반 여부 등에 대한 조사에 들어간 상황”이라고 설명했다. 조사 결과 법 위반 사항이 발견될 경우, 과태료와 과징금 등 처분이 내려질 전망이다. 과기정통부도 해킹 보호조치를 안내하고 자료 보존 요청 등 관련 절차에 나섰다. 세 브랜드는 불거지는 책임론 가운데서도 ‘무대응 전략’을 취하고 있다. 한 브랜드 국내 관계자는 “본사에 대응 방안을 문의했으나 별다른 답을 듣지 못해 드릴 말씀이 없다”고 응대했다.

◇반복되는 유출 사고 원인은= 명품 브랜드에서 개인정보 유출 사고가 반복되는 주요 원인으로 취약한 보안 체계와 정보 보호에 대한 부족한 인식, 해커들의 집중 공격 등이 꼽힌다. 이번 사례들뿐 아니라 지난해에도 LVMH 산하 스위스 시계 브랜드 태그호이어에서 국내 이용자 개인정보만 2900여 건이 탈취당한 사실이 확인돼 논란을 빚은 바 있다. 태그호이어는 약 2년 6개월간 이 같은 사실을 모르고 있다가 해커가 협박을 해온 지난해 5월에서야 이를 인지하고 뒤늦게 고객 개인정보 유출 사실을 개보위에 신고했다.

이 같은 문제는 우선 명품 브랜드들이 국내 지사에서 내부 정보 보안 책임자나 관련 부서 없이 외부 클라우드 서비스에만 의존해 고객 정보를 관리해온 관행에서 비롯됐다는 지적이다. 실제 다수 브랜드들이 해킹 사고에 취약할 수 있는 외부 서비스형 소프트웨어(SaaS) 기반 고객 관리 서비스에 정보 관리를 맡기고 있다. SaaS는 서버가 아닌 외부 클라우드 인프라에 기업 데이터를 저장·운영한다. 또 기업 내부 보안팀이 데이터를 주기적으로 모니터링하고 사고를 통제해야 하는데, 명품 브랜드 국내 지사 대다수는 이중 보안 체계가 없었던 것으로 추정되고 있다. 제품 판매 뒤 수선 서비스와 주요 고객 관리 등을 명목으로 개인 정보 수집이 활성화된 점도 이번 사태의 한 원인으로 거론된다. 구매자들이 정품 인증 카드를 받기 위해선 브랜드 측에 이름과 전화번호, 주소, 이메일 등 주요 정보를 넘겨야 한다. 사고가 발생한 브랜드들은 금융정보는 유출되지 않았다고 선을 그었지만, 이른바 VIP 고객들의 직업과 구매 제품 고유번호 등 민감한 정보들도 다수 유출됐을 것으로 추정되고 있다. 보안 전문가들은 “해커들의 탈취 방식이 정교했다기보단 명품 브랜드들의 정보 보호 인식이 안이했다”고 지적했다. 이 외 일반 소비자와 달리 구매력 높은 명품 고객층 정보가 비싸게 팔려 해커들의 집중 표적이 됐다는 분석도 나온다.

최준영 기자