엘지유플러스(LGU+) 개인정보 유출 사태로 기업들이 고객 개인정보를 제대로 보호하고 있는지에 관심이 커진 가운데, 씨제이(CJ)올리브영에서 시스템 오류로 회원 1만여명의 개인정보가 노출되는 사고가 발생한 것으로 뒤늦게 드러났다. 씨제이올리브영은 사고 발생 뒤 개인정보 노출 고지와 당국 신고를 일주일 가까이 미루는 등 불법행위를 해 논란이 일고 있다.
23일 관련 업계의 말을 종합하면, 씨제이올리브영은 지난 16일 온라인몰 로그인 시 ‘마이페이지’에 타인의 정보가 보이는 사고가 발생했다. 이 페이지에 접속한 고객에게 자신이 아닌 다른 회원의 이름과 주소, 프로필 사진, 주문내역, 회원등급, 적립금 보유액 등 개인정보가 노출된 것이다. 올리브영 멤버십 회원 수는 지난해 상반기 기준으로 1100만명이 넘는데, 올리브영 쪽은 사고 피해자를 1만여명으로 추정했다.
올리브영 관계자는 <한겨레>에 “앱에 상품 노출 속도 등을 높이는 소프트웨어 업데이트 작업을 16일 새벽 4시부터 진행했는데, 이 과정에서 시스템 오류가 발생해 타 고객의 정보가 노출되는 사고가 발생했다”며 “해킹 등의 문제는 아니다”라고 설명했다.
씨제이올리브영은 사고 발생 후 7일이나 지난 23일에서야 피해 고객에게 통보하고, 누리집에 사과문을 올렸다. 하지만 사과문 또한 팝업 형태가 아닌 고객센터 공지사항에 올려 사고를 숨기기에 급급했던 것 아니냐는 비판이 일고 있다. 씨제이올리브영 누리집 갈무리
문제는 사고가 발생한 이후 올리브영의 사후 처리 과정이다. 16일 마이페이지에 접속했다가 타인의 정보를 발견한 고객의 신고로 사고 발생 사실을 인지한 올리브영은 6일이나 지난 22일에서야 한국인터넷진흥원에 신고했다.
또한 23일 오전에야 1만여명의 피해 고객에게 개인정보 노출 사실을 알렸다. 올리브영은 같은 날 사고 발생 사실을 누리집에 공지했다고 했지만, 팝업이 아닌 고객센터 섹션의 ‘공지사항’에 들어가야 관련 내용을 볼 수 있도록 해 사고를 숨기기에 급급했던 것 아니냐는 ‘뒷말’을 낳고 있다.
개인정보보호법상, 정보통신서비스 제공자는 개인정보 침해 사고를 인지한 뒤 24시간 안에 개인정보보호위원회(개보위)나 한국인터넷진흥원에 신고하고 유출 당사자들에게 통지하도록 돼 있다.
이에 대해 올리브영 관계자는 “사고 발생 경위와 피해 규모 등을 파악하는 데 시간이 걸렸다”며 “결과적으로 법률을 지키지 못한 점과 개인정보 유출 사고가 발생한 점에 대해서 고객에게 사과드린다”고 밝혔다.
씨제이올리브영 매장 모습. 씨제이올리브영 제공
이번 사고에 대해 개보위는 23일 공식 조사에 착수했다. 개보위는 보도자료를 내어 “씨제이올리브영에 대해 이용자에게 유출 통지·신고 기한 준수가 적법하게 이뤄졌는지, 유출 경위·규모, 기술적·관리적 보호조치 의무 위반 여부 등 ‘개인정보보호법’ 위반에 대해 조사할 계획”이라며 “위반사항이 확인되면 행정처분하고 재발방지 대책을 마련하도록 할 예정”이라고 밝혔다.
유선희 기자
duck@hani.co.kr 정인선 기자
ren@hani.co.kr
![[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가](http://flexible.img.hani.co.kr/flexible/normal/300/180/imgdb/child/2024/0116/53_17053980971276_20240116503438.jpg "[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서](http://flexible.img.hani.co.kr/flexible/normal/800/320/imgdb/original/2023/1228/20231228503768.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서](http://flexible.img.hani.co.kr/flexible/normal/500/300/imgdb/original/2023/1228/20231228503807.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서")
