개인정보보호위원회는 명품 브랜드 디올과 티파니에서 발생한 개인정보 유출 사고에 대해 조사를 진행 중이라고 1일 밝혔다.
이번 유출 사고는 두 회사가 서비스형 소프트웨어(SaaS) 기반의 고객관리 서비스를 이용 중 발생했으며, 해당 소프트웨어에 접속하는 직원 계정이 유출 경로로 확인됐다. 디올은 올해 1월경 사고가 발생했으며 이를 5월 7일 인지하고 5월 10일 신고했고, 티파니는 4월경 사고 발생 후 5월 9일 인지해 5월 22일 신고했다.
개인정보위는 이번 조사를 통해 유출 대상과 규모, 기술적·관리적 보호조치 이행 여부 등을 확인하고 있으며, 정보주체 통지와 유출 신고가 지연된 경위에 대해서도 집중 점검 중이다. 위법 사항이 확인될 경우 관련 법에 따라 처분할 예정이다.
또한 개인정보위는 SaaS 기반 서비스를 이용하는 기업에 대해 이중 인증, IP 접근 제한, 개인정보 취급자 교육 및 관리·감독 강화를 통해 유사 사고를 예방할 필요가 있다고 강조했다.