유출 대상·규모 파악하고 위법 여부 파악 예정…금융정보 없다지만 ‘늑장 대처’ 의혹도 확인할 듯
개인정보위는 이번 조사를 통해 정확한 유출 대상과 규모를 파악하고 기술적·관리적 안전조치 이행 등 개인정보 보호법 위반 여부를 확인할 예정이다.
특히 개인정보위는 사고 이후 유출 신고와 개별 정보주체에게 통지까지 상당 시일이 소요된 부분에 대해서도 집중적으로 확인하고 있다.
디올의 경우 1월쯤 발생한 유출 사고를 5월 7일에 인지했다고 5월 10일 신고했으며, 티파니는 4월쯤 발생한 유출 사고를 5월 9일 인지했다고 5월 22일 신고했다.
디올은 5월 13일 홈페이지 공고문을 통해 "디올 하우스는 외부의 권한 없는 제3자가 저희 디올 패션&액세서리 고객님들의 일부 데이터에 접근한 사실을 발견했다"면서 "저희는 즉시 이 침해사고를 제한하기 위한 조치를 취했다"고 밝혔다.
이어 "접근된 데이터베이스에는 은행 정보 IBAN(국제은행 계좌번호) 또는 신용카드 정보를 포함한 어떠한 금융 정보도 포함돼 있지 않다"고 덧붙였다.
티파니코리아는 별도의 공지 없이 개인정보 유출 대상 고객에게만 이메일로 유출 사실을 안내한 것으로 전해진다.
개인정보위는 두 기업의 위법 사항 발견 시 관련 법에 따라 처분할 예정이다. 개인정보보호법 시행령에 따르면 개인정보가 유출된 사실을 인지한 업체는 72시간 내에 개인정보위에 신고해야 한다.
한편, 두 회사는 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용 중이다. 개인정보위는 "두 건 모두 고객관리 서비스에 접속하는 직원계정 정보를 이용해 개인정보가 유출된 사고로 확인돼, 개인정보위는 해당 서비스형 소프트웨어도 함께 들여다볼 계획"이라고 설명했다.
개인정보위 관계자는 "서비스형 소프트웨어를 이용하는 기업이 대규모 개인정보 유출사고를 예방하기 위해서는 이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP 주소 제한 등 접근 통제 조치가 필요하다"면서 "피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다"고 강조했다.
손우현 기자 woohyeon1996@ilyo.co.kr