한국 명품 시장에서 고객 개인정보 유출 사고가 잇따르고 있다. 올해 들어서만 디올, 까르띠에, 루이비통에 이어 티파니에서 고객 개인정보가 유출됐다. 구매력 높은 소비자들이 많은 한국 시장의 특성을 노리고 금전적 이득을 취하려는 해킹 시도가 반복적으로 이어지고 있기 때문이다. 명품 업체들의 안이한 대응도 개선돼야 한다는 지적이 나온다.
16일 관련 업계에 따르면 티파니코리아는 지난 15일 공식 홈페이지를 통해 "권한 없는 제3자의 접근으로 일부 고객의 개인정보가 유출된 것을 확인했다"라며 "성명, 우편 주소, 이메일 주소, 전화번호, 판매 데이터, 내부 고객번호 등이 포함됐을 수 있다"라고 밝혔다. 다만 구체적인 피해 규모나 대상 고객 수는 공개하지 않았다. 티파니는 지난 4월에도 유사한 개인정보 유출 사고가 있었다. 올해 들어서만 두 번째다.
최근 명품 브랜드에서는 개인정보 유출 사고가 잇따라 발생하고 있다. 문제는 개인정보가 유출된 사실을 뒤늦게 확인하고 늑장 대응한다는 것이다.
개인정보보호위원회에 따르면 디올은 1월에 발생한 유출 사고를 5월에 인지했다고 개보위에 신고했으며, 티파니는 4월에 발생한 사고를 5월 인지하고 신고했다. 티파니는 이번에도 5월에 사고가 발생한 것을 지난 15일에서야 확인했다. 루이비통도 6월에 발생한 정보 유출 사고를 7월에 발견, 신고했다. 디올, 티파니, 루이비통은 모두 세계 최대 명품 그룹 프랑스 LVMH(루이비통모에헤네시) 소속 브랜드다. 올해 들어 LVMH 소속 브랜드에서만 4번의 해킹 사고가 있었다.
리치몬트그룹 산하 브랜드인 까르띠에는 6월 고객들에게 메일을 보내 정보 유출 사실을 알렸다. 까르띠에는 이 메일에서 언제 정보가 유출됐는지 공개하지 않았다.
해당 사고들은 개보위가 조사하고 있다고 밝혔다. 개보위 관계자는 "올해 발생한 명품 업체들의 개인정보 유출 사고를 모두 조사하고 있다"라며 "티파니코리아는 이미 조사를 진행 중인 건이 있기 때문에 이번 사고도 같은 맥락에서 포괄적으로 볼 것"이라고 말했다.
명품 업체들에 대한 해킹 사고가 잇따르는 이유는 명품 고객들 정보는 해커들이 거래하는 다크웹에서 비싼 값에 팔리기 때문이다. 명품 브랜드가 수집하는 고객정보가 일반 유통업체들이 보유하는 정보보다 더 민감한 정보를 포함하고 있다. 일부 명품 브랜드의 경우 맞춤형 서비스를 제공하기 위해 직업, 직장 등의 구체적인 정보를 수집하기도 한다. 또 제품마다 시리얼 넘버가 있는데 이 번호로 제품이 언제 어디서 판매됐는지, 구매 이력에 대한 정보도 관리하고 있다. 이 같은 정보가 유출되면 보이스피싱·맞춤형 스미싱 등 2차 피해로 이어질 가능성이 크다.
개보위에 따르면 올해 상반기 디올·티파니의 개인정보 유출 사고는 고객관리 서비스에 접속하는 직원 계정 정보가 탈취돼 발생한 것으로 확인됐다. 사고를 빨리 인지했다면 피해 확산을 줄일 수 있었던 셈이다. 업계 관계자는 "명품 브랜드가 글로벌 본사와 한국 지사 간 정보기술(IT) 시스템을 분리·연동해 운영하고 있다면 사고 발생 시 탐지·대응이 늦어지는 구조적 문제가 있다"라고 지적했다.
개보위는 "두 회사는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용 중이었다"라며 서비스형 소프트웨어를 이용하는 기업이 대규모 개인정보 유출 사고를 예방하기 위해서는, 이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP(아이피) 주소 제한 등 접근 통제 조치가 필요하다. 피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다"라고 강조했다. 서비스형 소프트웨어는 소프트웨어를 서버 등에 설치하지 않고 인터넷을 통해 클라우드 형태로 제공하는 방식이다.
업계 관계자는 "최근의 사고들은 첨단 해킹 기술이 이용됐다기보다 계정 보안 관리 부실, 내부 모니터링 시스템 미비 등 기본적인 보안 태세가 허술해 발생한 것"이라며 "명품 브랜드에 대한 소비자들의 충성도는 신뢰와 희소성이 근간인데 고객 데이터 관리를 부실하게 하면 소비자 불안을 키우게 될 것이다. 브랜드 이미지 보호뿐 아니라 글로벌 고객 신뢰 확보를 위해 보안 투자를 마케팅만큼 전략적 과제로 삼아야 한다"라고 말했다.