개인정보위, 디올ㆍ티파니 개인정보 유출 사고 조사

▲고학수 개인정보보호위원장 (사진제공=개인정보보호위원회)

개인정보보호위원회는 루이비통모에헤네시(LVMH) 산하 디올과 티파니의 개인정보 유출 사고 조사에 착수했다고 1일 밝혔다.

디올과 티파니는 각각 지난달 국내 소비자의 이름, 휴대전화 번호, 이메일, 판매 데이터를 포함한 고객 정보가 유출됐다고 알린 바 있다. 디올은 1월경 발생한 유출 사고를 5월 7일 신고했으며, 티파니는 4월경 발생한 유출 사고를 5월 9일 신고했다.

이들 기업에 대해 개인정보위는 정확한 유출 대상·규모 파악, 기술적·관리적 안전조치 이행 등 개인정보 보호법 위반 여부를 조사한다. 사고 이후 유출 신고와 개별 정보 주체에게 통지까지 상당 시일이 소요된 부분에 대해서도 집중적으로 들여다보고 있다. 개인정보위는 법 위반 발견 시 관련 법에 따라 처분할 예정이다.

한편, 두 회사는 서비스형 소프트웨어(SaaS) 방식의 고객관리 서비스를 사용 중이었다. SaaS는 별도의 설치 없이, 인터넷을 통해 클라우드로 제공되는 소프트웨어다. 이번 사고는 두 회사 직원의 계정 정보가 유출되면서 고객관리 시스템을 통해 개인정보가 빠져나간 것으로 확인됐다. 이에 따라, 해당 SaaS 서비스에 대해서도 조사가 이뤄질 예정이다.

개인정보보호위원회는 SaaS를 이용하는 기업은 대규모 개인정보 유출을 막기 위해 보안 조치를 취해야 한다고 강조했다. 특히 직원 계정에는 이중 인증 등 추가 보안수단을 적용하고, 접속 가능한 IP(아이피) 주소를 제한하는 등 접근 통제를 강화해야 한다. 또한, 피싱 등으로 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육과 관리·감독도 철저히 이뤄져야 한다.