[Career history]
- There will be no updates
during the project period
from June to November.
- Information security consultant : 1 Year
> Penetration testing
> Infrastructure diagnosis
> Personal information
- Cyber security monitoring : 1.5 Year
- Symantec Engineer : 1.9 Year
디올은 2025년 1월 26일에 발생한 고객 정보 유출 사고를 5월 7일에 인지하고, 5월 10일에 한국인터넷진흥원(KISA)에 보고하였습니다.이러한 지연된 보고는 정보통신망법상 24시간 이내 보고 의무를 위반한 것으로 지적받았습니다.티파니앤코 역시 사고 인지 후 공식적인 웹사이트 공지가 없고, 일부 고객에게만 통지한 점에서 유사한 비판을 받고 있습니다.
⚠️ 소비자 및 보안 전문가의 우려
LVMH 그룹 산하 브랜드에서 연이어 발생한 개인정보 유출 사고는 그룹 전체의 데이터 보안 체계에 대한 신뢰를 저하시켰습니다.특히, 여러 브랜드가 동일한 제3자 플랫폼을 통해 고객 데이터를 관리하고 있을 가능성이 제기되면서, 다른 브랜드에서도 유사한 사고가 발생할 수 있다는 우려가 커지고 있습니다.
[보안뉴스 강현주 기자] 최근 명품 브랜드 디올이 개인정보 유출 사고를 당하고도 관련 기관 신고 의무를 제대로 하지 않았다는 지적이 나왔다.
최수진 국민의힘 의원은 14일 “디올이 고객 정보 유출 사실을 한국인터넷진흥원(KISA)에 신고하지 않았다”며 “이는 침해사고 발생 사실을 즉시 신고할 것을 규정한 정보통신법 위반으로 3000만원 이하 과태료 처벌 대상”이라고 주장했다.
[자료: 연합]
최수진 의원실에 따르면, 디올은 이번 해킹 발생 후 개인정보보호위원회 신고는 마쳤지만 KISA에는 아무 조처를 하지 않았다.
디올은 13일 홈페이지 고지를 통해 “외부의 권한 없는 제3자가 디올 고객의 일부 데이터에 접근한 사실을 지난 7일 발견했다. 영향을 받은 데이터에는 고객의 연락처 정보와 구매·선호 데이터가 포함된다”며 해킹 사실을 밝힌 바 있다.
이번 사건은 디올 본사에서 공격이 발생해 국내 이용자들의 정보가 누출된 사고다. 디올 본사는 해외 법인으로 국내 법인인 디올코리아와는 다르다. 하지만 현행법상 국내 이용자 피해가 발생하면 KISA 신고 대상에 해당한다.
정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 그 사실을 과학기술정보통신부장관이나 KISA에 즉시 신고해야 한다. 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시하고 있다. 해킹이 발생했는데도 신고하지 않을 경우 3000만원 이하 과태료를 물 수 있다.
최 의원은 앞서 SKT에 대해서도 유심 해킹 관련해 늦장 신고를 했다고 지적한 바 있다. 정보통신망법에 따르면 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 사고 발생 일시와 원인, 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 하지만 SKT는 해킹 이틀 후에야 신고를 했다는 게 최 의원측 설명이다.
최 의원은 “KISA는 신고 업무와 관련해 업계에 정책 홍보를 강화할 필요가 있다”며 “해킹 사건이 빈번해지는 가운데 KISA의 적극적 진상 파악과 협력을 통해 정부가 적극적으로 문제 해결에 나서야 한다”고 밝혔다.
한편 KISA는 SKT 침해 사고 신고 관련 “일부 혼선이 있었다”며 “신고 과정에서의 혼선과 오류, 설명 부족 등이 재발하지 않도록 보완하고, 정보보호·디지털 전문기관으로서 신속한 대응과 투명한 정보 공유를 약속한다”고 입장을 밝힌 바 있다.
프랑스 명품 브랜드 디올에서 한국 고객의 정보가 누출됐다. 해킹 사실을 인지한 건 무려 4개월 만이다. 특히 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA(한국인터넷진흥원)에는 조처를 하지 않은 것으로 알려졌다.
디올은 전날 공지를 통해 "당사는 2025년 5월 7일, 외부의 권한 없는 제3자가 당사가 보유한 일부 고객 데이터에 접근한 사실을 발견했음을 알려드린다"며 "2025년 1월 26일에 발생한 이 침해사고를 제한하기 위한 조치를 즉시 취했다"고 밝혔다.
이어 "당사는 관련 규제 당국에 이 사실을 통보했으며, 사이버 보안 전문가들과 함께 계속해서 이 사건을 조사하고 대응하고 있다"고 전했다.
14일 국회 과학기술정보방송통신위 국민의힘 최수진 의원실에 따르면, 디올은 해킹 발생과 관련해 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA에는 조처를 하지 않은 것으로 확인됐다.
이번 사건의 경우 디올 본사에서 해킹이 발생해 국내 이용자의 정보가 누출된 것이다. 디올 본사는 해외법인이고 국내 법인인 디올코리아와는 다르지만 현행법상 국내 이용자 피해가 발생하면 엄연히 KISA 신고 대상에 해당한다고 의원실은 지적했다.
정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 또 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시했다.