 고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 열린 제12회 전체회의에서 발언하고 있다. |
1일 개인정보보호위원회(이하 개인정보위)는 “디올과 티파니의 개인정보 유출 사고에 대해 현재 조사를 진행 중”이라며 “정확한 유출 대상과 규모를 파악하고 있으며, 관련 법 위반 여부도 면밀히 들여다보고 있다”고 밝혔다.
문제는 유출 시점과 신고 시점 사이의 괴리다. 개인정보위에 따르면, 디올은 올해 1월께 유출사고가 발생했지만, 이를 5월 7일이 되어서야 인지했고, 10일에서야 신고했다. 티파니 역시 4월께 사고가 발생했음에도 불구하고 5월 9일에 이를 파악했고, 22일이 되어서야 당국에 알렸다.
현행 개인정보보호법 시행령은 1000명 이상의 개인정보가 유출되거나 민감정보가 포함된 경우, 72시간 이내에 당국에 신고하도록 명시하고 있다. 이를 감안하면 두 기업 모두 규정을 어긴 셈이다.
두 브랜드는 고객 데이터를 관리하기 위해 서비스형 소프트웨어(SaaS) 기반의 시스템을 사용 중인 것으로 알려졌다. 개인정보위는 “직원 계정이 해킹돼 해당 SaaS에 접속, 고객 개인정보가 외부로 빠져나간 것으로 보인다”며 “해당 SaaS 사업자에 대해서도 조사가 진행될 것”이라고 밝혔다.
전문가들은 SaaS 보안 관리의 중요성을 거듭 강조하고 있다. 개인정보위는 “계정 보안을 위해 이중 인증 등 추가 수단을 도입하고, 접근 가능한 IP를 제한하는 등 철저한 통제 조치가 필요하다”고 지적했다. 또 피싱 등으로 인한 계정 탈취를 막기 위해 개인정보 취급자에 대한 교육과 감독 강화 역시 필요하다고 당부했다.
명품 브랜드의 고객정보 유출이라는 민감한 사안이 뒤늦게 공론화되며, 고급 소비자를 중심으로 불안감이 확산되는 분위기다. 디지털 보안이 곧 기업 신뢰를 좌우하는 시대, 글로벌 브랜드들의 안일한 대응에 곱지 않은 시선이 쏠리고 있다.
정유철 기자·연합뉴스
