명품 브랜드, 국내 고객 정보 관리 책임자 공석... '소 잃고 외양간 고치기'식 대처 나오기도

세계적인 명품 브랜드 디올, 티파니, 루이비통에서 잇따라 개인정보 유출 사고가 발생했다.

이 가운데 이들 브랜드가 국내에 개인정보 보호 책임자를 지정하지 않은 것이 사고의 배경으로 지목돼 논란이 예상된다.

지난 9일 동아일보의 보도에 따르면 개인정보 유출로 논란이 불거졌던 명품업체 3곳의 개인정보보호 처리 방침을 확인한 결과, 3사 모두 국내 대리인을 지정하지 않았다는 사실이 밝혀졌다.

현행 개인정보보호법에 따르면 전년도 본사 매출액이 1조 원 이상이거나 이용자가 일평균 100만 명 이상인 외국계 기업인 경우 국내 대리인을 별도로 지정하고 이를 공개해야 한다. 이를 위반할 경우 오는 10월부터 5,000만 원 이하의 과태료가 부과된다.

금융감독원 전자공시시스템에 따르면 지난해 루이비통코리아의 매출은 1조 7,484억 원으로 개인정보 보호 책임자를 지정해야 하는 기준 매출액을 훨씬 웃돈다.

기사의 이해를 돕기 위한 자료 사진 / 뉴스1

디올의 경우에도 지난해 매출은 9,453억 원으로 소폭 하락했지만 2023년에는 1조 456억 원으로 1조 원을 넘겼다.

더불어 이들 브랜드는 개인정보 보호 책임자 지정에도 소극적인 태도를 보였다. 개인정보보호위원회는 관련 법령에 따라 '부서'가 아닌 '직원'을 명시해야 한다고 규정하고 있다.

그러나 티파니는 담당 부서만 지정했고, 루이비통은 이미 개인정보가 유출 사고가 발생한 이후인 지난달 10일에야 개인정보 보호 방침을 수정해 책임자를 뒤늦게 내세웠다.

보안업계에 따르면 유출 사고가 발생한 명품 업체들은 모두 클라우드 기반의 글로벌 CRM(고객 관계 관리) 서비스 업체 한 곳을 이용한 것으로 알려졌다.

기사의 이해를 돕기 위한 자료 사진 / gettyimagesBank

개인정보보호위원회 관계자는 동아일보에 "이번 정보 유출이 서비스 업체의 문제인지, 명품 업체들의 관리 소홀 문제인지 등을 살펴보고 있다"고 설명했다.

한편 국내 주요 패션 업체들은 해외 명품 업체들과 달리 개인정보보호 책임자를 명확하게 공개하고 있다. LF는 정보보호실장을 책임자로 규정하고 자체 시스템을 구축해 고객의 개인정보를 관리한다.

이에 명품 업체의 고객 정보를 노리는 해커들의 공격에 대비하기 위해서는 이들이 개인정보보호 감독 기능을 더욱 강화해야 한다는 지적이 나온다.