개인정보보호위원회가 세계 최대 명품 그룹 루이비통모에헤네시(LVMH) 소속 브랜드 디올과 티파니에서 개인정보가 유출된 사실을 확인하고 관련 조사에 착수했다.
개인정보위는 디올과 티파니를 조사해 정확한 유출 대상과 규모를 파악하고 있다고 1일 밝혔다. 동시에 두 회사가 기술적·관리적 안전조치 이행 등 개인정보 보호법을 위반한 것이 없는지에 대한 여부도 확인하고 있다. 개인정보위는 특히 사고 이후 유출 신고와 개별 정보주체에 통지하기까지 상당 시일이 소요된 부분에 대해서도 집중적으로 조사하고 있다.
정보통신망법에 따르면 정보통신서비스 제공자는 해킹 사실을 처음 인지한 후 24시간 이내에 과학기술정보통신부나 한국인터넷진흥원(KISA)에 신고해야 한다. 해킹과는 별도로 개인정보 유출을 확인하면 72시간 이내에 개인정보위에 피해 사실을 알려야 한다.
하지만 디올은 올해 1월 발생한 유출 사고를 4개월이 지난 5월 7일에 처음 인지했다고 밝혔다. 이에 따라 개인정보위에 유출 사실을 5월 10일 신고했다. 디올의 주장이 사실이라면 유출 사고가 발생하고 100여일이 지날 동안 해킹 사실조차 인지하지 못한 셈이다. 티파니 역시 지난 4월 발생한 유출 사고를 5월 9일에야 인지했고, 같은 달 22일 개인정보위에 신고했다. 지난해 디올과 티파니는 국내에서 각각 9453억 원과 3779억 원의 매출을 올렸다. 국내에서 최근 몇 년간 눈에 띄게 실적이 개선되고 있는 반면 개인정보 유출 현황조차 파악하지 못한 사실이 밝혀지며 논란이 일기도 했다.
개인정보위는 두 회사의 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스에서 직원계정 정보를 통해 개인정보가 유출된 것으로 보고 있다. 개인정보위는 법 위반 발견 시 관련 법에 따라 두 기업을 처분할 방침이다. 개인정보위는 “SaaS를 이용하는 기업이 대규모 개인정보 유출사고를 예방하기 위해서는 이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP 주소 제한 등 접근 통제 조치가 필요하다”며 “피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다”고 강조했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hoje@sedaily.com
