[아이티데일리] 개인정보보호위원회는 루이비통모에헤네시(LVMH) 산하 명품 브랜드 디올과 티파니앤코(이하 티파니)에 대해 개인정보 유출 사고 조사를 진행 중이라고 2일 밝혔다.

두 회사는 개인정보 유출 사고를 외부에 공지한 바 있다. 디올은 지난달 13일 자사 홈페이지에 “외부의 권한 없는 제3자가 당사가 보유한 일부 고객 데이터에 접근한 사실을 발견했다”고 공지했다. 지난달 26일에는 티파니가 국내 소비자 이름, 주소, 전화번호 등이 담긴 개인정보가 유출된 사실을 이메일로 일부 고객에게 안내한 사실이 알려졌다.

디올과 티파니는 유출 사고가 각각 1월과 4월이 발생했으나 5월 초에 신고가 이뤄져 논란을 빚었다. 디올은 1월경 발생한 사고를 5월 7일에 인지하고 사흘 뒤인 5월 10일에 신고했다. 티파니는 4월경 발생한 사고를 5월 9일에 인지했으나, 열흘인 넘게 지난 5월 22일에서야 신고했다.

개인정보위는 조사를 통해 정확한 유출 대상·규모 파악, 기술적·관리적 안전조치 이행 등 개인정보 보호법 위반 여부를 파악하고 있다. 또 사고 이후 유출 신고와 개별 정보주체에게 통지까지 상당 시일이 소요된 부분에 대해서도 집중적으로 확인하고 있다.

두 회사는 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용 중이며, 두 건 모두 이 서비스에 접속하는 직원계정 정보를 악용한 사고로 확인됐다. 이에 개인정보위는 해당 SaaS도 함께 들여다볼 계획이다.

개인정보위 측은 “SaaS 이용 기업이 대규모 개인정보 유출 사고를 예방하기 위해선 이중 인증수단 등을 지원 계정에 적용하고, 접근할 수 있는 IP 주소를 제한하는 접근 통제 조치가 필요하다”고 강조했다.

이어 “피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다”고 덧붙였다.