디올·티파니 개인정보 유출 조사…"신고까지 상당 시일 걸려"

개인정보보호위원회가 루이비통모에헤네시(LVMH) 산하 디올과 티파니의 개인정보 유출 사고에 대해 조사에 착수했습니다.

개인정보위는 오늘(1일), 이번 조사를 통해 정확한 유출 대상과 규모를 파악하고, 기술적·관리적 안전조치 이행 여부 등 개인정보 보호법 위반 여부를 확인할 계획이라고 밝혔습니다.

특히 유출 사고 발생 이후, 개인정보위에 신고되기까지 상당한 시일이 걸린 점과, 개별 정보 주체에게 통지하는 데 지연이 있었던 부분도 집중 조사할 방침입니다.

개인정보 보호법 시행령에 따르면, 개인정보처리자는 1천 명 이상 또는 민감정보 등의 개인정보가 유출된 사실을 알게 되면 72시간 이내에 개인정보위에 신고해야 합니다.

디올은 올해 1월쯤 발생한 유출 사고를 5월 7일에 인지했고, 같은 달 10일에 신고한 것으로 나타났습니다.

티파니는 4월쯤 발생한 사고를 5월 9일에 알게 돼, 5월 22일에 신고했습니다.

두 회사 모두 서비스형 소프트웨어(SaaS) 기반의 고객관리 서비스를 이용 중이었으며, 해당 서비스에 접속하는 직원 계정 정보가 유출에 악용된 것으로 파악됐습니다.

이에 개인정보위는 유출 경로로 지목된 SaaS 서비스 자체도 함께 조사할 계획입니다.

개인정보위는 SaaS를 이용하는 기업이 대규모 유출 사고를 막기 위해서는 직원 계정에 이중 인증 수단을 적용하고, 접근 가능한 IP(인터넷 주소)를 제한하는 등의 접근 통제 조치를 취해야 한다고 강조했습니다.

또한 피싱 등으로 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육과 관리·감독을 강화할 필요가 있다고 당부했습니다.

(사진=연합뉴스)