개인정보보호위원회(이하 개인정보위)는 글로벌 명품 브랜드 디올(Dior)과 티파니(Tiffany & Co.)의 개인정보 유출 사고와 관련해 본격적인 조사에 착수했다고 1일 밝혔다.

해당 브랜드들은 모두 프랑스 명품 그룹 LVMH(루이비통모에헤네시) 산하 기업으로, 디올은 올해 1월 유출 사고를 인지한 뒤 5월 10일 신고를, 티파니는 4월 인지 후 5월 22일에 신고한 것으로 알려졌다.

개인정보위는 이번 조사를 통해 개인정보 유출 대상 및 규모, 기술적·관리적 보호조치 이행 여부 등을 집중적으로 들여다볼 예정이다. 

특히 유출 사고 발생 이후 신고와 정보주체 통지까지 상당한 시간이 소요된 점에 대해서도 위법 여부를 철저히 확인하겠다고 밝혔다. 위반 사실이 확인될 경우 관련 법령에 따라 엄정 조치할 계획이다.

두 사건 모두 기업이 이용 중인 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템의 직원 계정 정보가 악용돼 개인정보가 유출된 것으로 조사됐다. 이에 따라 개인정보위는 해당 SaaS 서비스에 대한 보안 관리 실태도 함께 점검할 방침이다.

개인정보위는 SaaS 기반 시스템을 도입한 기업들이 유사 사고를 예방하기 위해서는 ▲직원 계정에 대한 이중 인증 적용 ▲접근 가능한 IP 주소 제한 등 접근통제 강화 ▲피싱 등의 위협으로부터 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독 강화를 반드시 시행해야 한다고 강조했다.

개인정보위는 "SaaS 활용이 확대되는 만큼 기업들의 보안 책임도 중요해지고 있다"며, "앞으로도 유사 사고에 대해 철저히 대응해 나가겠다"고 밝혔다.

[경제엔미디어=박오성 기자]