개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)가 LVMH(루이비통모에헤네시) 산하 디올과 티파니의 개인정보 유출 사고에 대한 조사에 착수해 진행 중이라고 밝혔다.

디올은 지난 1월경 발생한 유출사고를 5월 7일 인지했다고 신고(5.10.)했고, 티파니는 4월경 발생한 유출사고를 5월 9일 인지했다고 신고(5.22.)했다. 

개인정보위는 이번 조사를 통해 정확한 유출 대상·규모 파악, 기술적·관리적 안전조치 이행 등 개인정보 보호법 위반 여부를 확인하고, 사고 이후 유출 신고와 개별 정보주체에게 통지까지 상당 시일이 소요된 부분에 대해서도 집중적으로 확인하고 있다. 

개인정보위는 법 위반 발견 시 관련 법에 따라 처분할 예정이다.

두 회사는 서비스형 소프트웨어(SaaS*) 기반 고객관리 서비스를 이용 중이다.

두 건 모두 고객관리 서비스에 접속하는 직원계정 정보를 이용해 개인정보가 유출된 사고로 확인되어, 해당 서비스형 소프트웨어도 함께 들여다본다는 계획이다.

서비스형 소프트웨어를 이용하는 기업이 대규모 개인정보 유출사고를 예방하기 위해서는 이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP(아이피) 주소 제한 등 접근 통제 조치가 필요하다.

개인정보위는 “피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다”고 강조했다.

[메디컬월드뉴스]

관련기사

• 개인정보위, 7월부터 건강관리앱·생성형 AI 등 개인정보 처리방침 집중 평가
• 개인정보위 ‘머크㈜·㈜디알플러스·㈜온플랫’ 등 보안 취약점 방치로 1억 2천만원 제재
• 개인정보위, 불법 접근통제 미흡 2개 사업자에 7,261만 원 제재
• 개인정보위, 법원행정처 제재…주민등록번호 유출과 안전조치 의무 위반
• 개인정보위 ‘순천향대학교, 경성대학교’ 안전조치 의무 위반 제제