[프라임경제]  개인정보보호위원회가 세계 최대 명품 그룹 루이비통모에헤네시(LVMH) 소속 브랜드 디올과 티파니앤코의 개인정보유출 사고에 대한 조사에 착수했다.

개인정보위는 이번 조사를 통해 정확한 유출 대상·규모를 파악하고 개인정보 보호법 위반 여부를 확인할 예정이다.

사고 이후 유출 신고와 개별 정보 주체에게 통지까지 상당 시일이 소요된 부분에 관해서도 확인하고 있다. 디올은 지난 1월 개인정보유출 사고가 발생했고 이로부터 약 4개월 뒤인 5월7일 사고를 인지했다. 티파니앤코는 지난 4월 사고 발생, 5월9일 사고 인지했다. 신고 시점은 각각 5월10일, 5월22일이다. 

정보통신망법에 따르면 정보통신서비스 제공자는 해킹 사실을 처음 인지한 후 24시간 이내에 과학기술정보통신부나 한국인터넷진흥원(KISA)에 신고해야 한다. 해킹과는 별도로 개인정보 유출을 확인하면 72시간 이내에 개인정보위에 피해 사실을 알려야 한다.

하지만 디올은 사고 인지 후 3일 뒤 신고했다. 최수진 국민의힘 의원실에 따르면, 디올은 개인정보위에 신고는 시간 내 마쳤으나, 해킹 신고 대상인 KISA에는 아무런 조치를 하지 않은 것으로 확인됐다. 티파니앤코는 사고 인지 후 13일 뒤 신고했고, 개인정보 유출 사고와 관련해서는 홈페이지에 어떠한 공지도 하지 않았다.

두 브랜드 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용했다. 두 사고 모두 고객관리 서비스에 접속하는 직원계정 정보를 이용해 개인정보가 유출된 것으로 개인정보위는 확인했다. 이에 해당 서비스형 소프트웨어도 함께 조사할 방침이다.

개인정보위는 "서비스형 소프트웨어를 이용하는 기업이 이러한 개인정보 유출 사고를 예방하기 위해서는 이중 인증수단 등을 직원 계정에 적용하고, IP주소 제한 등 접근 통제 조치가 필요하다"며 "피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화해야 한다"고 조언했다.