SaaS 기반 고객관리 서비스가 뚫렸다…개인정보위, 유출경위·법 위반 여부 확인 중
김 훈 기자
명품 브랜드 디올과 티파니가 개인정보 유출 사고에 휘말렸다. 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 LVMH(루이비통모에헤네시) 산하의 이들 두 브랜드를 대상으로 정식 조사를 착수했다고 6월 1일 밝혔다.
디올은 지난 1월 사고를 인지해 5월 10일 신고했으며, 티파니는 4월 인지 후 5월 22일에 유출 사실을 신고한 것으로 전해졌다. 개인정보위는 신고까지 상당한 시일이 소요된 점도 중점적으로 조사 중이다.
서비스형 소프트웨어(SaaS) 기반 고객관리 시스템이 원인
두 회사 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 솔루션을 사용 중이며, 사내 직원 계정이 해킹당해 개인정보가 유출된 것으로 파악됐다. 이에 따라 개인정보위는 사고 원인을 제공한 소프트웨어 서비스 자체에 대해서도 별도의 조사를 진행할 계획이다.
SaaS란 인터넷을 통해 클라우드 형태로 제공되는 소프트웨어로, 최근 많은 기업들이 고객 데이터를 SaaS 플랫폼에 저장·관리하면서 보안 문제가 자주 발생하고 있다.
개인정보위 “직원 계정 보안 조치 미흡…이중 인증·접근 제한 필요”
개인정보위는 이번 사고와 관련해 기업들에게 다음과 같은 보안 조치를 강조했다.
- 이중 인증 수단 적용
- 허가된 IP로만 접속 가능하도록 접근통제 설정
- 피싱 공격 대비 개인정보 취급자 대상 정기 교육 및 관리·감독 강화
특히, 고급 브랜드를 포함한 대규모 고객정보를 다루는 기업들이 SaaS 기반 시스템을 사용할 경우 더욱 철저한 계정 보안과 내부 통제가 필수라고 지적했다.
이번 조사는 개인정보보호위원회 조사1과 및 한국인터넷진흥원(KISA)의 유출조사팀이 공동으로 참여하고 있으며, 법 위반 사실이 확인될 경우 관련 법에 따라 엄정히 처분될 예정이다.