발렌시아가·구찌 740만 VIP 개인정보 털렸다...케어링 그룹 대규모 해킹에 전 세계 충격, 다크웹에 풀린 고객 정보는?

프랑스 럭셔리 대기업 케어링(Kering) 그룹이 운영하는 발렌시아가, 구찌, 알렉산더 맥퀸 등 명품 브랜드의 고객 개인정보가 대규모로 유출된 사실이 확인됐다. 이 사실을 처음 보도한 영국의 공영 방송사 BBC는 "입수한 샘플 데이터를 통해 어떤 고객이 매장에서 얼마를 지출했는지까지도 확인할 수 있었다."라고 밝혔다. 또한 해커가 탈취한 정보에는 740만 개 이상의 고객 정보(고객 이름, 이메일, 전화번호, 주소, 각 브랜드에서 사용한 금액 등)가 포함됐다. 
해킹 집단 '샤이니헌터스(ShinyHunters)'는 케어링 그룹에서 탈취한 것으로 추정되는 고객 데이터 샘플을 공개했는데, 이 집단은 과거 마이크로소프트, AT&T 등 대기업을 노린 대규모 데이터 유출 사건에도 연루된 것으로 알려졌다.

이러한 보도 내용과 달리, 케어링 그룹은 “승인되지 않은 제3자(unauthorised third party)가 우리의 시스템에 접근했다.”라고만 공식 인정했다. 하지만 일부 하우스의 제한적 고객 데이터”에만 외부 접근이 확인되었다고 밝히며, 유출 규모를 ‘대규모’로 확정하지 않았다. 회사 측은 즉시 조사에 착수했고, 관련 당국에 신고했으며, 피해 고객에게만 개별 이메일을 통해 안내했다.”라고 밝혔다. 또한 케어링 그룹은 해킹 그룹의 어떠한 금전적 협박에도 일절 응하지 않고 있다고 전했다.

유출되었다고 공개된 고객은 대부분 케어링 그룹에서 고가의 소비를 보여준 VIP들로 추정되며, 이들은 노린 2차 공격이나 사기 위험이 우려되는 상황이다. 사이버 보안 매채와 전문가들은 "수백만 원에서 수천만 원대의 명품을 구매한 고객 정보는 피싱, 사기, 심지어 물리적 범죄의 표적이 될 수 있다. 또한 이들의 정보는 다크웹에서 일반 소비자보다 약 10배 높은 가격으로 거래된다."라고 경고했다. 특히 구매 패턴과 금액 정보를 통해 개인의 경제력과 라이프스타일을 파악할 수 있어, 표적형 피싱, 사기, 강도 등 심각한 범죄에 노출될 위험이 있다는 지적이다.

명품 대기업을 향한 해킹 사고는 이번년도에만 수차례 발생해왔다. 명품 그룹 LVMH의 디올, 티파니, 루이비통과 리티몬트 그룹 산하의 까르띠에 역시 개인정보가 유출되는 곤욕을 치른 바 있다. 유럽연합(EU)의 개인정보보호 규정(GDPR)에 따라 케어링 그룹은 강경한 판결과 막대한 과징금을 부과받을 가능성이 있다. 유럽 연합(EU)의 데이터 보호법 GDPR은 데이터 유출 시 72시간 이내 당국 신고를 의무화하고 있으며, 이를 포함한 전체 조항 중 위반 사항이 있을 시 연간 매출액의 최대 4% 또는 2,000만 유로 중 높은 금액을 과징금으로 부과할 수 있다. 2023년 케어링 그룹의 연간 매출이 약 200억 유로(약 28조원)인 점을 고려하면, 최대 8억 유로(약 1조 1,200억원)의 과징금이 부과될 수도 있다.

이번 사건은 럭셔리 패션 업계의 사이버 보안 대비와 인식에 대한 신뢰도 하락을 피하기 어렵다. 전문가들은 "명품 브랜드들이 디지털 전환을 가속화하면서 온라인 판매와 고객 데이터 수집이 늘어났지만, 이에 상응하는 보안 투자는 부족했다"라고 지적했다. 심지어 국내의 몽클레르 코리아는 2022년 해킹으로 약 23만 명의 고객 개인정보를 유출했음에도 보안 강화 조치를 소홀히 했고, 24시간 이내 신고 의무도 지키지 않는 등 법에 저촉되는 대처를 보여, 개인정보위원회가 8101만 원의 과징금과 720만 원의 과태료를 부과한 바 있다. 업계 관계자들은 이번 사건이 전체 럭셔리 산업에 경종을 울렸다며, 각 브랜드들이 보안 인프라 강화에 나설 것으로 전망하고 있다.