속보

구찌·발렌시아가·맥퀸 고객 정보 유출…케어링 해킹 피해 확인

Avatar photo 이 수진 0

프랑스 럭셔리 그룹 케어링(Kering)구찌(Gucci), 발렌시아가(Balenciaga), 알렉산더 맥퀸(Alexander McQueen) 등 주요 브랜드의 고객 정보를 해커에게 탈취당했다는 사실이 알려졌다.

2025년 9월 15일, BBC 보도에 따르면 케어링은 6월 자사 시스템에 “무단 제3자가 일시적으로 침입해 일부 하우스(Houses)의 제한된 고객 데이터를 열람했다“고 밝혔다. 회사 측은 브랜드명을 명시하지 않았으나, BBC는 이번 공격으로 최소 수백만 명의 구찌·발렌시아가·알렉산더 맥퀸 고객 정보가 노출됐다고 전했다.

이번 해킹은 2024년 이후 명품 업계를 강타하고 있는 연쇄 사이버 범죄의 연장선으로 평가된다. 올해만 해도 스위스 리치몬트(Richemont)의 카르티에(Cartier)와 프랑스 LVMH(Moët Hennessy Louis Vuitton) 그룹의 일부 브랜드가 유사 공격을 받았다. 홍콩 프라이버시위원회는 7월, LVMH의 루이비통 고객 약 41만9,000명의 정보 유출 사건을 조사 중이라고 발표한 바 있다.

주목

유출 범위와 피해 규모

“이번에 유출된 정보에는 고객 이름·이메일·전화번호·주소·매장 결제 총액 등이 포함됐으며, 신용카드·은행 계좌 등 금융 정보는 탈취되지 않았다” — 케어링 공식 성명

BBC가 접촉한 해커 그룹 “Shiny Hunters”1) 7.4 백만 개의 고유 이메일 주소와 관련된 데이터를 보유하고 있다고 주장했다. 이들이 과거 다크웹에서 여러 글로벌 기업의 고객 정보를 판매해 온 전력으로 미루어볼 때, 실제 유출 규모가 공식 확인치보다 더 클 가능성도 배제할 수 없다.

케어링은 사건 발생 직후 관계 당국에 즉시 사고를 신고하고, 각 지역 규정에 따라 고객에게 개별 통지했다고 설명했다. 다만 어떤 국가의 소비자가 구체적으로 영향을 받았는지에 대해서는 로이터 통신의 질의에도 “논평 불가” 입장을 고수했다.

해커 그룹 Shiny Hunters란?

Shiny Hunters는 2020년부터 활동을 시작한 것으로 알려진 국제 해킹 조직이다. 기술 전문 매체들에 따르면 이들은 공격 대상을 주로 클라우드 스토리지·개발자 저장소·취약한 공급망 등으로 한정하지 않고, 기업 내부망을 통째로 장악해 대규모 고객 DB를 빼내는 수법을 구사한다. 이번 케어링 사태 역시 내부 시스템 API 취약점을 이용했을 가능성이 제기된다.

전문가 의견에 따르면 명품 산업은 VIP 고객 데이터를 세밀하게 관리하기 위해 자체 CRM(Customer Relationship Management) 플랫폼을 활용하지만, 그만큼 대량의 고가 결제 정보를 집중 보유한다는 점에서 해커들의 표적이 되기 쉽다.

주목

보안·규제·소비자 신뢰의 삼중 과제

유럽연합(EU)은 2024년 10월부터 시행되는 디지털 운영 탄력성법(DORA)으로 금융기관뿐 아니라 대형 소매 기업에도 사이버 리스크 평가 및 보고 의무를 강화할 예정이어서, 케어링 같은 글로벌 그룹에는 법적 부담이 더욱 커질 전망이다. 특히 GDPR(일반개인정보보호규정) 위반이 확정될 경우, 전 세계 매출액의 최대 4%에 달하는 과징금을 부과받을 수 있다.

이번 사고가 공개되자 업계에서는 브랜드 이미지와 고객 로열티에 미칠 장기적 영향을 우려하는 목소리가 나온다. 명품 시장은 단순 제품 구매를 넘어 심리적 친밀도와 신뢰를 기반으로 움직이기 때문에, 개인정보 침해는 곧 브랜드 가치 하락으로 이어질 위험이 있다.

한편, 케어링은 최근 몇 년 동안 디지털 전환옴니채널 전략을 강화해 왔으나, “클라우드 이전 이후 계열사 간 시스템 통합이 빠르게 진행되면서 세부 보안 점검이 소홀해졌을 가능성”도 거론된다. IT 거버넌스 전문가는 “대규모 브랜드 포트폴리오를 운영하는 그룹일수록 각 브랜드별 보안 규정 차이를 최소화하고, 침투 테스트·모의해킹 등 사전 점검을 상시화해야 한다”고 조언했다.

해킹 사고가 소비자에게 주는 실질적 조언

전문가들은 구찌·발렌시아가·알렉산더 맥퀸 고객에게 아래와 같은 기본 수칙을 권고한다.2)

  • 의심스러운 이메일 링크·첨부 파일 클릭 자제
  • 브랜드를 사칭한 전화·문자 피싱 경계
  • 비밀번호 주기적 변경 및 2단계 인증 설정
  • 신용카드 명세서·포인트 사용 내역 정기 확인

이와 함께, 고객이 본인 정보가 유출됐는지 여부를 확인할 수 있도록 전용 포털이나 무료 신용 모니터링 서비스 제공을 의무화하는 법안이 유럽·아시아 일부 국가에서 검토 중이다.

전망과 함의

케어링의 데이터 침해 사건은 명품 시장뿐 아니라 글로벌 리테일 섹터 전반에 사이버보안 투자의 필요성을 재확인시킨다. 업계 관계자들은 향후 12개월간 ▲AI 기반 위협 탐지 솔루션 도입제로 트러스트(Zero Trust) 네트워크 구축 ▲사이버 보험 계약 확대가 가속화될 것으로 내다본다.

궁극적으로, 고가 럭셔리 브랜드가 소비자 경험을 디지털화하는 과정에서
개인정보 보호 체계프리미엄 서비스 가치와 동일 선상에 놓아야 한다는 인식이 자리 잡을지 주목된다.

1) Shiny Hunters: 2020년 포켓몬 게임에서 영감을 얻은 조직명으로, 여러 글로벌 기업의 데이터베이스를 해킹해 다크웹에서 판매한 전력이 있다.
2) 개인정보보호위원회·영국 ICO(Information Commissioner’s Office) 가이드라인 종합.

Avatar photo
이 수진

Website:

Related Story