​'늦장 신고' CJ 올리브영엔 한없이 가벼운 1만여명의 개인정보

[사진=CJ 올리브영]

CJ 올리브영에서 개인정보 유출 사고가 발생했다. 시스템 오류로 일부 가입자에게 타인 정보가 노출된 사고다. 해킹으로 인한 유출은 아니지만, 사고 발생 후 약 일주일이 지나서 관계기관에 신고한 탓에 대처가 미흡했다는 비판은 피할 수 없을 것으로 보인다.

23일 CJ 올리브영은 공지를 통해 "시스템 변경작업 오류로 인해 일부 고객정보가 노출됐다. 일부 고객에게 다른 고객의 이름과 주소가 보이는 상황이 발생했고, 인지 후 정상화와 재발방지 조치를 완료했다"고 밝혔다. 유출 규모는 1만여 명으로 알려졌다.

그러면서 "개인정보 노출이 우려되는 일부 고객에게는 메일이나 문자로 개별 안내했다. 동일한 일이 발생하지 않도록 개인정보 관리에 대해 철저히 점검하고 있으며, 고객이 안심할 수 있도록 최선을 다하겠다"고 덧붙였다.

이번 시스템 변경작업 오류와 관련해 CJ그룹의 시스템 구축을 담당하는 CJ올리브네트웍스는 이번 사고와 관계가 없다는 입장이다. CJ올리브네트웍스 측은 이번 시스템 변경작업 주체를 묻는 질문에 "CJ올리브네트웍스는 아니다"라고 답했다.

공지에 따르면 CJ올리브영이 사고를 인지한 시점은 지난 2월 16일이다. 하지만 개인정보보호위원회 등 관계기관은 CJ올리브영이 해당 사고를 각각 22일과 23일 신고했다고 밝혔다. 상황 인지부터 신고까지 약 일주일이 걸린 셈이다.

개인정보보호법에 따르면 정보통신서비스 제공자는 단 1명의 개인정보 분실, 도난, 유출 등이 발생하더라도 24시간 이내에 신고하도록 돼 있다. 정보주체에 대한 통지 역시 24시간 이내 개별적으로 이뤄져야 한다.

이에 개인정보보호위원회는 이번 사고에 대해 조사에 착수했다고 밝혔다. 개인정보위에 따르면 신고된 유출 내용은 회원 이름, 프로필 사진, 회원 등급, 배송지 주소 등이다. 이번 사고에 대해 CJ올리브영 측이 유출 통지·신고 기한을 준수했는지 조사할 계획이다. 또한 유출 경위와 규모, 기술적·관리적 보호조치 위반 여부 등도 함께 조사한다.

개인정보위 관계자는 "위반사항이 확인되면 행정처분하고, 회사 측이 재발방지 대책 등을 마련하도록 할 예정"이라고 밝혔다.