유출 공지 단체 메일 발송하면서 받는 사람 이메일 고스란히 노출... 개인정보 침해사고 중 하나

[보안뉴스 원병철 기자] 지난 5월 14일 해킹으로 회원정보가 유출됐다고 밝힌 온라인 인테리어 플랫폼 ‘집꾸미기’가 해킹과 관련한 안내메일을 발송하는 과정에서 회원들의 이메일 주소를 그대로 노출하는 실수를 저질러 또 다시 문제가 되고 있다.


▲해킹 피해 및 단체메일 발송시 이메일 주소 유출 사고를 공지한 집꾸미기[자료=홈페이지 캡처]

집꾸미기는 5월 11일 해킹사실을 인지하고, 14일 저녁 8시 50분경 정보가 유출된 회원들을 대상으로 ‘[집꾸미기] 개인정보 침해 사고에 대한 안내 및 사과의 말씀’이란 이름의 단체메일을 발송했다.

문제는 단체메일을 발송하면서 메일 받는 회원들을 별도의 ‘숨은 참조’나 ‘개별발송’ 기능으로 숨기지 못했다는 것. 이 때문에 단체메일을 받은 회원들은 고스란히 다른 회원들의 메일주소를 볼 수 있었다.

이러한 사고는 ‘동보 메일’이라 부르는 단체 메일 발송시 흔하게 발생하는 사고로 대표적인 개인정보 침해사고 중 하나다. 특히, 한국인터넷진흥원(KISA)이 ‘2018년 주요 개인정보 침해사고’ 중 하나로 ‘관리자 실수로 인한 동보 메일 발송시 이메일 유출’을 꼽을 정도였다. 단체 메일은 대부분의 이메일에서 간단한 세팅만으로 설정할 수 있다. 이에 따라 KISA에서도 이러한 유형의 개인정보 유출을 ‘사용자 실수’라고 설명하고 있다.

이와 관련 KISA에서는 “이메일 동보발송 시 사용자 실수로 다른 사람의 이메일 주소가 노출되면 개인정보 유출”이라면서, “이러한 실수로 개인정보가 유출되면 5일 이내에 해당 정보 주체에게 통지하고, 유출된 개인정보가 1,000건 이상이면 소관부처와 KISA에 신고해야 한다”고 설명했다.

한편, 집꾸미기는 100만 회원을 자랑하는 인테리어 플랫폼으로 지난 5월 14일 홈페이지 해킹으로 이름, 아이디, 이메일, 주소, 전화번호 등이 유출됐으며, 결제정보 및 비밀번호는 암호화되어 있어 안전하다는 입장을 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>