개인정보보호위원회가 루이비통모에헤네시(LVMH) 산하 디올과 티파니의 개인정보 유출 사고에 대해 조사에 착수했으며, 사고 경위와 법 위반 여부 등을 집중적으로 확인 중이라고 1일 밝혔다.

개인정보보호위원회

개인정보보호위원회(위원장 고학수)는 1일 디올과 티파니의 개인정보 유출 사고에 대한 조사를 진행 중이라고 공식 발표했다. 두 브랜드는 LVMH 그룹 산하 명품 브랜드로, 각각 1월과 4월에 유출사고를 인지했으며 디올은 5월 10일, 티파니는 5월 22일에 각각 개인정보 유출 사실을 신고했다.

개인정보위는 이번 조사를 통해 정확한 유출 대상 및 규모를 파악하고, 기술적·관리적 보호조치가 개인정보 보호법에 따라 적절히 이행됐는지 여부를 확인하고 있다. 특히 유출 사고 인지 이후 유출 신고와 정보주체 통지까지 시간이 지체된 점에 대해서도 중점적으로 들여다보고 있다.

디올과 티파니는 모두 서비스형 소프트웨어(SaaS) 기반의 고객관리 시스템을 사용 중이었으며, 두 사고 모두 해당 시스템에 접속 가능한 직원 계정이 해킹되면서 개인정보가 유출된 것으로 조사됐다. 개인정보위는 사고 경위뿐 아니라 해당 SaaS 시스템의 보안관리 실태에 대해서도 조사할 계획이다.

개인정보위는 “SaaS 기반 서비스를 이용하는 기업은 대규모 개인정보 유출사고를 예방하기 위해 직원 계정에 이중 인증을 적용하고, 접속 가능한 IP를 제한하는 등 접근 통제를 강화해야 한다”고 강조했다. 이어 “피싱 등에 의한 계정 탈취를 방지하기 위해 개인정보 취급자에 대한 교육과 관리·감독도 필수적”이라고 덧붙였다.

조사 결과 법 위반 사항이 확인될 경우 개인정보위는 관련 법령에 따라 행정처분 등의 조치를 취할 예정이다.