개인정보보호위원회가 다수의 명품 브랜드와 식음료 업체를 대상으로 개인정보 보호법 위반에 대한 제재를 확정했다.
개인정보위는 지난 11일 제3회 전체회의를 열고 명품 판매 3개사와 식음료 분야 10개사의 '개인정보 보호법' 위반에 대해 총 375억9900만원의 과징금과 1억2210만원의 과태료를 부과했다.
명품 분야에서는 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아가 제재를 받았다. 이들 3개사는 고객관리용 '서비스형 소프트웨어(SaaS)' 운영 과정에서 접근통제와 인증수단 적용을 소홀히 했다.
루이비통코리아는 직원 기기 악성코드 감염으로 계정 정보가 탈취되며 약 360만명의 개인정보가 세 차례 유출됐다. IP 제한과 안전한 인증수단을 적용하지 않아 213억8500만원의 과징금이 부과됐다.
크리스챤디올꾸뛰르코리아는 고객센터 직원이 보이스피싱에 속아 접근권한을 부여해 약 195만명의 정보가 유출됐다. 접근 권한 제한 부재, 접속기록 점검 미흡, 개인정보 유출 통지 지연 등을 이유로 과징금 122억3600만원과 과태료 360만원이 부과됐다.
티파니코리아도 유사한 방식으로 약 4600여명의 정보가 유출됐다. IP 제한 미흡과 신고·통지 지연으로 24억1200만원의 과징금과 720만원의 과태료 처분을 받았다.
식음료 분야에서는 플랫폼 3곳과 프랜차이즈 7곳이 제재 대상이 됐다. 플랫폼은 와드(캐치테이블), 테이블링, 야놀자에프앤비솔루션이다. 프랜차이즈는 에스씨케이컴퍼니(스타벅스), 비케이알(버거킹), 엠지씨글로벌(메가MGC커피), 한국맥도날드, 투썸플레이스, 이디야, 더본코리아(빽다방)다.
다수 사업자가 보유기간이 지난 개인정보를 파기하지 않았다. 일부는 동의 없이 마케팅에 활용했다. 비케이알은 만 14세 미만 아동의 개인정보를 법정대리인 동의 없이 수집·이용해 9억2400만원의 과징금을 부과받았다. 엠지씨글로벌은 마케팅 미동의 회원에게 메시지를 발송해 6억4200만원의 과징금을 내게 됐다. 또한 사업자들의 기타 위반 행위에 대해 총 1억1130만원의 과태료가 부과됐다.
개인정보위는 기업이 SaaS를 도입하는 경우에도 개인정보를 안전하게 관리하는 책임이 면제 또는 전가되지 않는다고 강조했다. 또 식음료 분야를 비롯해 국민 실생활과 직결된 분야를 중심으로, 상시 점검 및 사전 예방 활동을 강화하겠다고 밝혔다.
박진형 기자 jin@etnews.com
