‘디올부터 아디다스·테무까지’ 유통업계로 번진 해킹 주의보

SK텔레콤(SKT) 유심(USIM) 정보 해킹 사건 이후 테무, 디올, 아디다스 등 개인정보 유출 사태가 잇따르면서 소비자들의 불안이 확산되고 있다.ⓒ아디다스 홈페이지 갈무리

SK텔레콤(SKT) 유심(USIM) 정보 해킹 사건으로 개인정보 보호에 대한 소비자들의 관심이 높아지고 있는 가운데 테무, 디올, 아디다스 등 개인정보 유출 사태가 잇따르면서 소비자들의 불안이 확산되고 있다. 이들 브랜드들 대부분이 해외 기업들인 만큼 해외 기업들의 개인정보 보호에 대한 책임 의식이 필요하다는 지적이 나온다.

20일 업계에 따르면 최근 SKT 해킹 사건으로 시작된 개인정보 유출 사태가 유통업계 전반으로 번지고 있다.

우선 C커머스 업체 테무가 도마 위에 올랐다.

테무는 개인정보를 해외 사업자에게 위탁하면서도 이를 고지하지 않은 것으로 드러났다. 또 한국 내 판매자의 신분증과 얼굴 동영상을 수집하면서, 신분증에 적힌 주민등록번호를 법적 근거 없이 처리한 것으로도 밝혀졌다.

이에 개인정보위원회는 지난 14일 제11회 전체회의에서 테무 운영사에 총 13억6900만원의 과징금과 1760만원의 과태료를 부과하고 시정명령 및 개선권고를 의결했다.

테무는 개인정보위 조사가 시작된 이후에야 개인정보 처리 방침을 수정했고, 한국 판매자에 대한 신원 확인 정보 수집도 중단하겠다고 밝혔다.

글로벌 패션·뷰티 브랜드들도 해킹 피해를 입었다.

세계 최대 명품 그룹 루이비통모에헤네시(LVMH)의 대표 브랜드인 디올의 국내 고객 정보도 유출됐다.

크리스챤 디올 꾸뛰르 코리아(이하 디올)는 이달 13일 홈페이지에 “외부의 권한 없는 제3자가 디올 패션&액세서리 고객들의 일부 데이터에 접근한 사실을 발견했다”며 “영향을 받은 데이터에는 성함, 휴대폰 번호, 이메일 주소, 구매 데이터 등이 포함된 것으로 파악된다”고 공지했다.

디올은 은행 정보나 신용카드 정보, 국제은행계좌번호(IBAN) 등 금융 정보는 포함되지 않았다고 강조했다. 하지만 디올은 사고를 인지했다고 주장하는 지난 7일부터 6일이 지난 13일에야 소비자들에게 안내를 해 논란이 일고 있다.

또 디올은 해킹 관련 업무를 담당하는 한국인터넷진흥원(KISA)에는 신고를 하지 않은 것으로 확인돼 법적 책임 문제가 제기되고 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률' 등에 따라 침해 사고가 발생하면 관련 정보를 과학기술정보통신부 장관이나 KISA에 제공하도록 돼있다.

아디다스도 해킹 피해를 입었다고 시인했다. 아디다스는 16일 일부 고객에 보낸 메일에서 “최근 아디다스 고객과 관련된 일부 데이터가 권한 없는 제3자에게 유출됐다는 사실을 알게 됐다”고 밝혔다.

아디다스는 이번에 확인된 고객 정보는 2024년 또는 그 이전에 고객센터를 통해 문의한 이들의 연락처 데이터라고 밝혔다.

구체적으로는 이름, 이메일 주소, 전화번호, 성별, 생년월일 등이 포함됐을 가능성이 있으며, 비밀번호나 신용카드 등 결제 관련 금융 정보는 포함되지 않았다고 설명했다.

이처럼 최근 해외 기업 및 브랜드를 중심으로 정보 유출 사례가 빈발한 이유에 대해 전문가들은 국내에 진출한 글로벌 브랜드들이 다소 취약한 보안 시스템을 구축하고 있는 점 등을 지적한다.

글로벌 기업 및 브랜드의 경우 질 높은 개인정보를 가진 경우가 많은 만큼 해커들의 타깃이 될 가능성이 커 이들 기업들이 개인정보에 대한 높은 책임 의식을 가질 필요가 있다는 목소리가 나온다.

서용구 숙명여대 경영학부 교수는 "해커들도 해킹을 할 때 기회 비용을 생각하지 않을 수 없다. 그러니 고객 가치가 더 높다고 판단되는 글로벌 기업들의 정보를 노리지 않을 수가 없을 것"이라며 "이제 고객 정보도 최소한의 정보 만을 받는 방식으로의 전환이 이뤄져야 할 것으로 보인다"고 말했다.

장항배 중앙대 정보보호대학원 교수는 "글로벌 기업 본사의 보안은 탄탄하지만 한국 지사의 경우 보안이 취약한 부분이 있다"며 "국내에 진출한 해외 기업들이 최소한 글로벌 본사의 수준과 비슷한 보안 의식과 보안 체계를 갖출 필요가 있다"고 조언했다.

이어 "우리 정부에서도 글로벌 기업들이 그런 보안 의식을 갖출 수 있도록 사례를 전파하거나 규정을 만드는 등의 노력이 필요해 보인다"고 했다.