[더퍼블릭=이유정 기자] 명품 브랜드 디올과 티파니에서 고객 개인정보 유출 사고가 발생한 가운데, 해당 사실을 인지하고도 법정 기한 내 신고하지 않아 늑장 대응 논란이 일고 있다. 정부는 관련 법 위반 여부를 확인하기 위한 전방위 조사에 착수했다.
2일 업계에 따르면, 개인정보보호위원회는 전날 LVMH(루이비통모에헤네시) 산하의 디올과 티파니에서 발생한 개인정보 유출 사고와 관련해 공식 조사를 진행 중이라고 발표했다.
이번 조사는 유출된 개인정보의 정확한 범위와 대상을 파악하고, 유출 방지를 위한 기술적·관리적 조치가 적절히 이행됐는지를 중점적으로 살필 예정이다.
특히 두 기업 모두 사고 발생 후 상당한 시간이 지난 뒤에야 신고한 것으로 확인돼, '개인정보보호법' 위반 여부가 쟁점으로 떠오르고 있다.
개인정보보호법 시행령에 따르면, 개인정보처리자는 1천명 이상 또는 민감정보 등이 유출된 사실을 인지한 시점부터 72시간 이내에 개인정보위에 신고해야 한다.
디올은 올해 1월 유출 사고가 발생했으나, 5월 7일에서야 이를 인지했고, 3일 뒤인 5월 10일에 신고했다. 티파니는 4월 유출 사고 발생 후 5월 9일에서야 이를 알았으며, 신고는 5월 22일에 이뤄졌다. 두 기업 모두 법정 기한을 초과해 신고한 셈이다.
사고의 원인은 직원 계정을 악용한 외부 접속으로 드러났다. 두 회사는 모두 서비스형 소프트웨어(SaaS) 기반의 고객관리 시스템을 사용하고 있으며, 이 시스템에 접속 가능한 직원 계정이 해킹돼 개인정보가 유출된 것으로 파악됐다. 개인정보위는 해당 SaaS 업체에 대해서도 조사에 착수할 방침이다.
개인정보위는 이번 사고를 계기로 SaaS 기반 시스템을 활용하는 기업들이 필수적으로 이중 인증을 적용하고, 접속 가능한 IP를 제한하는 등 접근 통제 강화 조치를 도입해야 한다고 지적했다.
또한, 피싱 등을 통한 계정 탈취를 방지하기 위한 직원 교육과 상시적인 관리·감독도 강화할 필요가 있다고 강조했다.
디올과 티파니는 세계적으로 명성이 높은 명품 브랜드로, 이번 유출 사고와 미흡한 사후 조치가 브랜드 신뢰도에 치명적 영향을 줄 수 있다는 우려도 나온다.
개인정보위는 관련 법에 따라 과징금 및 시정명령 등 필요한 행정조치를 검토 중이며, 유출된 고객들에게는 개별 통지를 완료하라고 지시한 상태다.
이번 사태는 개인정보 보호의 중요성과 함께, 기업의 신속하고 투명한 대응 체계 마련의 필요성을 다시 한 번 각인시켰다. 당국은 디올과 티파니 외에도 유사 시스템을 운영 중인 국내외 기업에 대한 전반적인 보안 점검을 예고했다.
[사진=연합뉴스]
더퍼블릭 / 이유정 기자 leelyjwo@thepublic.kr