한 벌의 가방을 사면서 여권을 낸 적이 있는가. 면세 환급 서류라고 안내받은 그 종이 한 장이 12년치 데이터베이스에 남았고, 2025년 7월 다크웹 게시판에 419,000명의 목록으로 다시 나타났다.
카드번호는 하나도 없었다. 대신 이름, 생년월일, 주소, 전화번호, 이메일, 쇼핑 이력, 그리고 여권번호가 있었다. 프랑스 파리 LVMH 본사가 이상 접근을 감지한 6월 13일에서 브랜드가 공식 인정한 7월 2일까지, 그리고 세계 최초로 공개한 한국의 7월 7일까지 정확히 24일이 걸렸다. 그동안 각국에서 확인된 명단은 한국·튀르키예·영국·홍콩·이탈리아·스웨덴에서 동시에 수면 위로 올라왔다.
배경: 명품이 여권을 받는 진짜 이유
명품 매장이 신분증을 요구하는 것은 겉으로 3가지 이유다. 면세 환급, 해외 배송, VIP 프로파일링. 실제로는 4번째가 더 크다. 여권번호는 국가에서 발급한 영구 식별자다. 이름이 바뀌어도, 주소가 바뀌어도, 결혼해서 성이 바뀌어도 여권번호는 유지된다. 브랜드가 12년 전 자기 매장에 온 손님이 오늘 홍콩 지점에 와서 같은 사람이라는 것을 확인할 수 있는 유일한 키가 여권번호다.
Louis Vuitton 코리아는 2013년부터 Salesforce라는 미국의 고객관리(CRM) 클라우드 서비스를 그 저장소로 써 왔다. 한국 매장의 결제 단말, 홍콩 공항의 면세 카운터, 파리 본사의 VIP 매니저가 같은 화면을 본다. 419,000명의 목록이 나온 것은 매장 서버가 뚫려서가 아니라, 12년치가 쌓인 그 계정 하나가 뚫려서였다.
공격 전개: 매장이 아니라 헤드셋에서 뚫렸다
Google Threat Intelligence Group이 UNC6040이라고 이름 붙인 공격 그룹은 2025년 상반기 91개 조직을 같은 방식으로 공격했다. 명품 브랜드만 놓고 봐도 Dior, Tiffany, Cartier, Chanel, Pandora가 명단에 겹친다. 명품 밖으로 나가면 Google 자신과 Cisco, Qantas, Air France-KLM도 이름을 올렸다. 이들의 공통점은 하나였다. 같은 CRM에 수년치 고객 데이터를 쌓아 두었다는 것. 유출 자료 일부는 뒤에 ShinyHunters를 자칭하는 판매자가 다크웹에 올렸으나, 실제로 같은 조직인지 수사기관은 아직 확정하지 않았다.
수법은 기술이 아니라 전화였다. 공격자는 Louis Vuitton IT 지원팀을 사칭하는 목소리로 Salesforce 관리자에게 전화를 걸었다. 사내 헬프데스크가 매장 관리자에게 원격 지원을 요청하는 상황은 명품 매장에서 드문 일이 아니다. "보안 업데이트로 새 앱을 승인해 달라"는 말 한마디에 관리자가 악성 "connected app"을 승인하면, 다중인증(MFA)을 우회하는 OAuth 토큰이 발급됐다. 전화 한 통이 12년치 CRM을 여는 열쇠였다.
한국 개인정보보호위원회가 2026년 2월 발표한 결정문에 따르면, 실제 침입 경로는 두 단계였다. 첫째, LV 코리아 직원 단말이 악성코드에 감염돼 Salesforce 자격증명이 유출됐다. 둘째, 그렇게 확보한 계정으로 대량 다운로드 제한 없이 데이터베이스가 통째로 빠져나갔다. 위원회는 이를 "IP 기반 접근 제한 부재, 인증 방식 부실, 대용량 다운로드 제한 부재"로 요약했다.
피해와 결과: 220억 원, 그리고 재발급 못 하는 것들
한국 개인정보보호위원회는 2026년 2월 13일 결정에서 LV 코리아에 164억 원, Dior 코리아에 94억 원, Tiffany 코리아에 18억 5,000만 원 등 총 220억 원 규모의 과징금을 부과했다. 3사 모두 LVMH 계열이고, 세 건 모두 Salesforce 계정이 매개였다.
이 금액은 3사 매출의 몇 퍼센트 문제가 아니다. 홍콩 프라이버시 담당관실(PCPD)이 발표한 총 유출 인원 419,000명 가운데 이름·주소·이메일 같은 항목은 유출 즉시 스팸·피싱 재료가 된다. 그러나 여권번호는 다르다. 카드번호는 은행에 신고하면 24시간 안에 재발급된다. 여권번호는 새 여권을 발급받아도 예전 번호가 사라지지 않는다. 국가 시스템에는 이전 번호가 발급 이력으로 남고, 명품 브랜드 CRM에도 이력으로 남는다.
한국 소비자에게 이 사건이 특히 무거운 이유가 여기 있다. 2024년 한 해 동안 한국 국가기관에서만 391만 건의 개인정보 도난이 신고됐다는 개인정보보호위원회 통계가 있다. 그 위에 명품 브랜드 CRM 유출이 겹치면, 부유층 프로파일링에 필요한 마지막 필드가 완성된다. 이름·생년월일·주소·구매력·여권번호 조합은 SIM 스와핑, 은행 계좌 개설 사기, 위조 여권을 이용한 국경 통과 시도의 재료가 된다. 홍콩 PCPD가 이 사건을 "고위험 침해"로 분류한 이유이기도 하다.
Louis Vuitton은 공식 성명에서 "결제 정보는 유출되지 않았다"고 강조했다. 이 문장이 이번 사건의 반전 지점이다. 소비자가 브랜드에 넘긴 정보 중 재발급이 되는 것이 카드번호였고, 재발급이 안 되는 것이 여권번호였다.
왜 이 사건이 중요한가
첫째, 매장이 아니라 브랜드가 12년간 쓰던 SaaS 계정이 명품 데이터의 진짜 저장소라는 사실이 드러났다. Salesforce 자체가 뚫린 것이 아니다. 관리자 계정 하나가 뚫렸을 뿐이고, 그 계정이 12년치를 다운로드할 권한을 가지고 있었다.
둘째, 한국이 세계 최초로 공개했다는 사실이 의미가 있다. 사건을 처음 감지한 파리보다 5일 늦었지만, 유럽·홍콩·튀르키예보다 앞섰다. 이는 한국 개인정보위의 통보 의무 시한(72시간)이 실제로 작동한다는 뜻이고, 동시에 브랜드가 어느 국가에서 가장 빨리 노출되는지 예측 가능하다는 뜻이기도 하다.
셋째, 91개 조직이 같은 6개월 동안 같은 수법으로 뚫렸다. UNC6040은 명품에만 몰린 그룹이 아니다. Google 자신, Cisco, 항공사, 통신사가 같은 명단에 있다. 여러 조직이 동시에 쓰는 CRM·SaaS가 표적이 되면, 관리자 한 명의 전화 응대 실수 하나가 91개 조직을 동시에 뚫었다는 것이 이번 캠페인의 교훈이다.
넷째, 재발급이 안 되는 정보를 왜 그렇게 오래 보관했는가라는 질문이 남는다. 한국 개인정보보호법상 개인정보는 목적이 달성되면 지체 없이 파기해야 한다. 면세 환급이 끝난 여권번호를 12년째 보관해야 하는 사업상 이유는 무엇이었는가. 220억 원 과징금은 그 질문에 대한 규제 당국의 첫 답이었다.
가방을 사면서 냈던 그 여권 한 장이, 실은 브랜드가 아닌 소비자 본인이 지고 있는 12년짜리 위험이었다는 사실 위에 이 사건은 남는다.
참고 자료
안내 및 법적 고지
AI 활용 안내
이 글은 AI(Claude)의 도움을 받아 작성되었습니다.
인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항
본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다.
언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라
처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.