'서버 인력 없고 인증 의무도 없다'…글로벌 플랫폼 개인정보 유출 잦은 이유

잇따른 명품 플랫폼 개인정보 유출…홈페이지 공지마저 '실종'

국내 기업은 ISMS 필수…해외 브랜드는 예외 조항에 빠져

IT 인력도, 보안 의식도 부족…해외 본사 중심 운영의 한계

"매장 영업 중심이라서"…보안은 뒷전, 소비자만 피해

[서울=뉴스핌] 조민교 기자 = SKT텔레콤 해킹 사고로 개인정보 유출에 대한 국민적 관심이 고조된 가운데 유통업계에서는 유독 글로벌 패션 플랫폼의 정보 유출이 빈번하다. 글로벌 플랫폼은 국내 기업과 비교해 IT나 서버 관리 인력이 부족한 실정인데다 대부분 해외 법인을 통해 국내 사업을 운용하기 때문에 개인정보 보호 의무에서 배제되는 경우가 많다. 법의 사각지대에서 국내 소비자의 개인 정보만 유출되는 실정이다.

29일 업계에 따르면 지난 4월 SKT의 개인정보 유출 사태 이후 유통업계에서도 관련 사례가 잇따르고 있다. 5월 중순께 디올과 아디다스의 고객 정보 유출 사태가 일어났고 최근에는 디올과 같은 루이뷔통모에에네시(LVMH)그룹 소속 티파니에서 고객 개인정보 유출이 확인됐다.

이들 기업의 대응 방식도 도마에 올랐다. 통상 개인정보 유출 사태가 일어나면 홈페이지에 공지문을 올리고 고객에게 이메일을 보내는 등 다각도로 고객에게 유출 상황을 알리는 것이 일반적이다. 고객으로서는 자신의 정보가 유출됐음을 깨닫고 개인정보 수정을 통해 2차 피해를 막을 수 있다.

그러나 이들 기업은 공지문은 빼놓고 이메일을 통해 유출 사실을 전달했다. 이마저도 모든 고객에게 전달되지 않았다. 티파니에 가입한 사실이 있다는 한 고객은 "쓰는 메일 주소가 하나인데 그런 이메일은 받아보지 못했다"며 "유출 사실도 잘 전해지지 않아 지금 알게 됐다"고 말했다.

업계에서는 국내 기업과 해외 기업의 개인정보 보호 의무가 기울어진 운동장이라고 지적한다. 국내 기업의 경우 한국인터넷진흥원(KISA)이 주관하는 정보보호 관리체계 ISMS (Information Security Management System)에 가입이 의무적이다.

이 인증을 받더라도, 개인정보 유출이 적발되는 경우 국내 기업은 개인정보보호위원회로부터 막대한 과태료를 부과받는다. 지난 2021년 개인정보보호위는 유통업계를 포함한 7개 기업에 총 4560만원의 과태료를 부과했다.

반면 글로벌 기업은 대부분 법의 사각지대에 있다. 현행 법령상, 해외 기업이 ISMS 인증 대상이 되려면 국내 정보통신서비스 부문 매출액이 100억 원 이상이거나 일일 평균 이용자 수가 100만 명 이상이어야 한다. 그러나 국내에 진출한 해외 명품 브랜드는 대부분 오프라인 중심으로 사업을 운영하고 있어 이러한 요건에 해당하지 않는 경우가 많다.

또 이들 기업은 국내 온라인 고객 데이터를 자체 관리하기보다는 외주에 맡기는 경우가 대부분이다. 국내 기업들이 수십 명의 전담 인력을 두고 서버를 관리하는 것과 달리 글로벌 브랜드는 온라인 서비스가 '정상 작동'만 하면 충분하다는 인식에서다.

이와 관련해 아디다스와 디올, 티파니 측에 ISMS 인증 여부 등에 대해 문의했지만, 별다른 답변을 받지 못했다.

한 업계 관계자는 "글로벌 패션 브랜드들은 국내 고객 데이터나 보안 관련 중요성을 특별히 인지하고 있지 않다"며 "국내 지사에 테크 관련 인력 비중도 매우 적은 것으로 알고 있다"고 전했다.

다른 업계 관계자 또한 "명품이나 해외 유명 기업은 기본적으로 매장 영업이라 온라인에는 신경을 잘 쓰지 않는 것으로 알고 있다"며 "소비자들 또한 명품 온라인 홈페이지에 방문하는 일이 많지 않다 보니 개인 정보 유출 이슈가 있어도 크게 논란이 되지 않아 사태가 반복되는 경향이 있다"고 지적했다.

mkyo@newspim.com