디올·티파니 개인정보 유출…개인정보위, SaaS 보안 실태 조사 착수

개인정보위, 고객관리 SaaS 통한 유출 사고에 본격 조사 착수

개인정보보호위원회(위원장 고학수)는 디올과 티파니에서 발생한 개인정보 유출 사고와 관련해 해당 기업뿐 아니라 이들이 사용하는 서비스형 소프트웨어(SaaS)까지 포함해 본격적인 조사에 나섰다고 1일 밝혔다.

개인정보위에 따르면 두 브랜드 모두 SaaS 기반 고객관리 서비스를 사용 중이며, 유출 사고는 해당 서비스에 접속 가능한 직원 계정이 외부에 노출되면서 발생했다. 위원회는 이 과정에서 해당 SaaS의 보안관리 체계까지 들여다보겠다는 입장이다.

SaaS(Software as a Service)는 소프트웨어를 클라우드 형태로 제공하는 방식으로, 사용자는 별도의 설치 없이 인터넷을 통해 접근이 가능하다. 최근 기업의 고객정보 관리나 마케팅, 전자상거래 분야에서 널리 활용되고 있다.

디올은 지난 1월경 발생한 유출사고를 5월 7일 인지하고 5월 10일 신고했으며, 티파니는 4월경 발생한 유출사고를 5월 9일 인지하고 5월 22일 신고했다. 이에 개인정보위는 유출된 개인정보의 범위와 규모, 관련 안전조치 이행 여부, 신고와 통지 지연 사유 등에 대해 집중 조사 중이다.

고학수 위원장은 “사고 발생 이후 유출 사실을 인지하고 신고 및 정보주체에게 통지하기까지 상당한 시일이 소요된 점도 위법 여부 판단의 중요한 요소가 될 것”이라며 “위법 사항이 확인되면 관련 법령에 따라 엄정히 조치하겠다”고 밝혔다.

개보위는 이번 사고를 계기로 SaaS 기반 서비스를 이용하는 기업에 대해 다음과 같은 보안 수칙을 강조했다. 우선, 직원 계정에는 반드시 이중 인증 등의 보안장치를 적용해야 하며, 허용된 IP 주소만 접근할 수 있도록 제한하는 등 철저한 접근 통제가 필요하다는 점이다. 또한 피싱을 통한 계정 탈취에 대비해 개인정보 취급자에 대한 교육과 관리·감독을 강화해야 한다고 권고했다.