고객 정보 줄줄 샌 티파니, 알고도 늑장 신고

개인정보위, 유출 사고 조사
1월 유출 발생 추정되는 디올
5월에 사실 알았다며 신고

개인정보보호위원회는 명품 브랜드 디올과 티파니의 개인 정보 유출 사고를 조사하고 있다고 1일 밝혔다. 디올과 티파니는 세계 최대 명품 그룹인 LVMH(루이비통모에헤네시)의 대표 브랜드다.

개인정보위는 이번 조사에서 구체적 유출 대상과 규모를 파악하고 개인정보보호법 위반 여부를 가릴 계획이다. 유출 사고가 발생한 이후 디올과 티파니의 조치가 적절했는지에 대해서도 확인하고 있다.

개인정보보호법 시행령에 따르면, 업체는 개인 정보가 유출된 사실을 알면 72시간 이내에 개인정보위에 신고해야 한다.

개인정보위에 따르면 디올의 유출 사고는 지난 1월 발생한 것으로 추정된다. 그런데 디올은 지난달 10일 “5월 7일 유출 사실을 인지했다”고 개인정보위에 신고했다. 이어 지난달 13일 고객들에게 유출 사실을 알렸다. 디올은 당시 홈페이지에 “외부의 권한 없는 제3자가 디올 패션&액세서리 고객들의 일부 데이터에 접근한 사실을 알아냈다”며 “영향을 받은 데이터에는 성함, 휴대폰 번호, 이메일 주소, 구매 데이터 등이 포함된 것으로 파악된다”고 공지했다. 이름, 연락처뿐 아니라 구매 내용까지 유출됐을 가능성이 있다는 것이다.

티파니 또한 지난 4월에 발생한 유출 사고를 지난달 9일에 알았다며 같은 달 22일 신고했다.

두 브랜드 모두 인터넷 고객 관리 사이트에 접속할 수 있는 직원의 계정을 통해 개인 정보가 유출된 것으로 개인정보위는 파악하고 있다. 개인정보위 관계자는 “직원 계정에 이중 인증 절차를 적용하고, 고객 관리 사이트에 접근할 수 있는 IP(인터넷 주소)를 제한하는 등 통제 조치를 해야 하는데 미흡했을 수 있다”고 했다.