신종 코로나바이러스 감염증(코로나19) 확산으로 명품 브랜드 판매도 온라인으로 확장되고 있는 가운데, 럭셔리 브랜드 '샤넬코리아'에서 일부 이용자 개인정보가 유출되는 사고가 발생했다. 샤넬코리아는 외부 공격을 인지한 즉시 해당 IP를 차단하고 유관기관과 소통하고 있다면서도, 구체적인 피해규모나 사례는 공개하지 않고 있다.
이번 사고는 럭셔리 브랜드의 보안 인식 부재와 이용자 데이터베이스(DB) 관리 소홀 때문이라는 지적이 나온다.
아울러 유럽연합(EU)이 개인정보보호규정(GDPR)을 위반한 기업에 국적을 불문한 과징금 철퇴를 가하고 있는 상황에서 국내 규제당국도 유사 사고 재발 방지를 위해 더욱 강력한 조치안을 내놔야 한다는 목소리에 힘이 실리고 있다.
샤넬코리아가 외부 공격을 받은 건 지난 5일, 공격자는 샤넬코리아의 뷰티(화장품) 멤버십 이용자 정보가 담긴 데이터베이스를 공격해 일부 이용자의 정보를 탈취했다.
샤넬코리아에 따르면 유출된 정보는 일부 이용자의 이름, 전화번호, 생일, 구매 내역 등이다. 가입 시 선택적으로 기입했을 경우 주소, 성별, 이메일 등도 함께 유출됐다. 다만 신용카드와 결제 정보, 아이디 및 패스워드(비밀번호)는 유출되지 않았다.
샤넬코리아는 공격이 시작된 지 하루가 지난 6일에서야 사고를 인지하고, 해당 IP와 불법 접속경로를 차단했다. 이어 외부 전문 사이버보안 기업과 한국인터넷진흥원(KISA), 개인정보보호위원회(PIPC)에 피해 사실을 신고했다. 이용자를 대상으로 한 피해 사실 고지는 하루가 더 지난 7일 오후 11시에서야 이뤄졌다.
샤넬코리아는 "이번 해킹으로 인한 다른 시스템의 피해는 없다"면서도 해킹 사고에 따른 구체적인 피해규모나 사례를 밝히지 않고 있다. 아울러 이번 유출로 어떤 피해가 우려되는지, 피해보상을 위한 대책은 무엇인지에 대해서도 함구하고 있다.
명품 관련 카페 등에서는 샤넬코리아의 개인정보 유출에 따른 범죄노출 등에 대한 두려움을 호소하는 이용자가 늘고 있는 상황이다.
보안업계는 온라인에 익숙하지 않았던 기업이 보안의 중요성을 인지하지 못한 것이 화를 키웠다는 분석이다. 코로나19 발생 이후 기업의 디지털전환 속도가 가속화되고 있지만, 보안사고 통제능력은 제자리걸음 수준이다.
IBM시큐리티가 포네몬연구소와 지난해 국내·외 기업 500곳을 대상으로 데이터 유출 피해를 조사한 결과, 코로나19 기간 동안 기업들은 급격한 운영 변화로 인해 보안 사고를 통제하기 더욱 어려워졌다. 보안 사고로 인한 관련 비용도 커져 전년(2019년) 대비 약 10% 증가한 것으로 나타났다.
특히 코로나19 확산 기간 동안 운영상의 변화가 컸던 업계(의료, 소매, 소비자 제조·유통)는 전년 대비 데이터 유출 피해 금액이 크게 증가했다.
샤넬코리아와 같은 럭셔리 브랜드는 고가 제품을 취급하는 만큼 온라인 전환이 다소 더뎠다. 그러나 온라인 몰의 보증제 도입과 사후관리(A/S) 보장과 코로나19 확산으로 몇 년 새 빠르게 그 구매장벽이 무너지고 있다.
여기에 가치소비를 중시하는 MZ세대가 명품시장의 '큰 손'으로 떠오르며, 전 세계 온라인 명품 구매는 2019년 330억유로(약 44조9304억원) 규모에서 지난해 48% 증가한 490억유로(약 66조7149억원) 규모까지 성장했다.
일각에선 온라인에 익숙하지 않았던 럭셔리 브랜드가 준비되지 않은 채 온라인 사업 몸집을 키우며 보안에 대한 경각심을 갖는 데 소홀했을 것이란 분석이 나온다.
문종현 이스트시큐리티대응센터(ESRC) 센터장은 "'보안'이라는 것은 도둑이 들기 전까진 경각심과 관심도가 낮게 형성될 수밖에 없다"며 "기업과 해킹조직의 싸움은 창과 방패의 싸움이다. 해킹조직 기술이 크게 발전돼 (공격자가) 자신들이 원하는 표적을 정하면 할(될) 때까지 공격한다. 방어하는 사람이 어려운 것이 사실"이라고 말했다.
개인정보보호위원회는 현재 샤넬코리아의 내부 보호조치와 해킹에 따른 유출 규모를 파악 중이다. 개인정보보호위원회 측은 "조사 (진행) 단계와 피해 규모 등은 조사 중인 관계로 답변할 수 없다"며 말을 아꼈다.
민간 보안업체 역시 현재로선 공격자 정보나 피해규모를 알 수 없는 단계라는 의견이다. 국내 보안업계 관계자는 "해킹 사건이 지난 주말 알려졌고, 조사 초기 단계로 현재 구체적인 피해규모를 단정할 수 없다"면서도 "(공격자의 정체는) 공격자가 금전을 요구하며 협박을 시작해야 추가적으로 파악할 수 있다. 아직까지 그런 행위는 포착되지 않은 것으로 안다"고 밝혔다.
이번 사고에 따라 개인정보보호위원회가 샤넬코리아에 부과할 과징금 규모에도 이목이 쏠린다. 현행법에선 온라인 사업자(정보통신서비스 제공자)의 경우 위반행위와 관련한 매출의 3% 이하까지 과징금을 부과하고, 5년 이하의 징역 또는 5000만원의 벌금형을 내리고 있다.
개인정보보호위원회는 위법 행위와 관련한 매출을 '전체 연 매출의 최대 3%'로 늘리는 법 개정(개인정보보호법 2차 개정안)을 추진하고 있다. 개정안은 국내 매출뿐 아니라 글로벌 시장 전체의 연 매출을 기준으로 하는 내용을 골자로 한다.
개정안은 일각의 반발을 사고 있지만 개인정보보호위원회가 국민의 개인 정보 보호 강화를 위해 여타 국가와 유사한 수준까지 제재를 끌어올리겠다는 의지가 담겼다.
EU의 경우 개인정보보호규정에 따라 회원국의 개인정보 관련 위반행위가 적발된 경우 EU 외 해외사업을 비롯한 전체 매출의 최대 4%까지를 과징금으로 부과하고 있다. EU는 최근 아마존에 대해 개인정보보호규정 위반을 이유로 역대 최고액인 7억4600만유로(약 1조51억원)의 과징금을 부과하기도 했다. 중국 역시 전체 매출액의 최대 5%를 과장금으로 부과하는 개인정보보호법 초안을 지난해 10월 발표한 바 있다.
개인정보보호위원회 관계자는 "샤넬코리아에 대한 과징금 액수는 가늠하기 어렵다. 어떤 혐의인지, 내부 보호 조치는 어떻게 되는지, 유출 규모는 어떤지에 따라 과징금 규모가 달라진다"며 "조사를 거쳐 추후 전체 회의에서 (내용을 상정하고) 심의의결을 거쳐 최종 과태료 행정 처분을 내리게 될 것"이라고 말했다.
[Queen 김정현 기자]
