대량 발송 시 이메일 주소와 이름 노출도 엄연한 개인정보 유출 사고
보내는 대상 다시 확인하고, 중요한 파일은 압축해 암호 걸어야
특히, 암호는 이메일 본문이 아닌 문자 메시지 등으로 전달해 유출되지 않도록 주의
[보안뉴스 이상우 기자] 회사에서 이메일을 보낼 때는 누구에게 어떻게 보내는지 언제나 신경 써야 한다. 가령, 직접 업무를 진행하는 담당자의 주소는 받는 사람(to) 칸에, 직접 연관은 없지만 보고해야 하거나 주고받은 내용을 알려야 하는 사람이라면 참조(cc)에 넣는 것이 일반적이다.
[이미지=utoimage]
이와 달리 회사 외부의 불특정 다수에게 이메일을 보낼 때는 일반적으로 숨은 참조(bcc)를 사용한다. 받는 사람이나 참조와는 달리, 숨은 참조에 넣은 이메일 주소는 오직 메일을 보낸 자신에게만 보인다. 이렇게 보내면 이메일 수신자는 불필요한 이메일 주소 대신 이메일 발신자의 주소만 명확하게 파악할 수 있다.
하지만, 대량 메일 발송 시 받는 사람 전체 이메일 주소와 이름이 노출되는 실수를 종종 보게 된다. 가벼운 실수처럼 취급할 수 있지만, 이는 개인정보 유출 사고로 분류된다. 이메일 주소는 해당 정보만으로는 특정 개인을 알아보기 어렵지만, 이름이나 생년월일 등 간단한 개인정보와 조합하는 것만으로도 특정 개인을 알아볼 수 있는 정보이기 때문이다.
실제로 지난 2019년 발간된 개인정보 보호 상담 사례집에서는 불합격자 이름과 이메일 주소를 알 수 있게 대량 발송한 사례에 대해 개인정보 유출에 해당할 수 있다고 설명한 바 있다. 만약 이러한 사고가 발생했다면 서면 등의 방법으로 당사자에게 유출된 정보, 시점과 경위, 피해 발생 최소화를 위한 방안 등을 알려야 하며, 1,000명 이상일 경우에는 이를 한국인터넷진흥원 등에 신고해야 한다.
또 다른 사례를 들어보자. 회원 명부나 이벤트 당첨 안내 혹은 업무용 파일을 이메일로 보낼 때 받는 사람 주소를 잘못 입력하는 경우다. 다행히 입력한 이메일이 없는 주소라 반송되는 경우도 있지만, 알파벳 뒤에 숫자 몇 개를 잘못 입력하거나 다른 알파벳으로 착각해 주소를 입력할 경우 의도하지 않은 상대방에게 개인정보 등이 담긴 파일이 전송될 수 있다. 실제로 이와 유사한 사이버 공격 중 인터넷 주소나 오픈소스 이름을 착각하게 하는 ‘타이포스쿼팅’ 기법도 존재하는 만큼 흔히 발생할 수 있는 사고다.
이처럼 개인정보 유출 사고는 사이버 공격자의 침입으로만 발생하는 것이 아니라, 내부 직원의 사소한 실수, 즉 휴먼 에러로도 발생할 수 있다. 이 때문에 기업은 보안 솔루션을 도입하는 것 외에도 주기적인 교육을 통해 이러한 보안사고가 발생하지 않도록 해야 한다.
우선, 대량 이메일 발송 시에는 개인별 발송 혹은 숨은 참조를 제대로 설정했는지 확인하는 프로세스를 추가해야 한다. 또한, 업무와 관련한 메시지는 네이버, 다음, 지메일 등 개인용 이메일로 주고받는 것을 지양해야 실수로 인한 정보 유출을 예방할 수 있다.
파일을 전송할 때는 암호를 설정하는 것이 좋다. MS 오피스 등 문서 자체에 암호를 거는 기능을 이용할 수도 있고, 여러 파일을 압축한 뒤 ‘알집’ 등에서 암호를 설정하는 방법도 선택할 수 있다. 이 경우 파일이 외부로 유출되더라도 타인이 쉽게 내용을 알아볼 수 없다. 당연히 1111 같은 암호는 지양해야 한다.
중요한 것은 메일을 받는 상대방에게 암호를 알려주는 방식이다. 간혹 이메일 본문에 압축파일 비밀번호 등을 함께 기재하는 경우가 있는데, 이러한 방식은 암호를 설정한 의미가 없다. 받는 상대방에게 암호를 알려줄 때는 전화 혹은 문자 메시지 등 다른 수단을 이용해 알려야 한다.
파일을 직접 첨부하는 것보다는 클라우드 저장소 링크로 전달하는 방법 역시 유용하다. 만약 오발송된 사실을 인지했다면, 그 즉시 링크를 비활성화하고 접근 권한을 해제할 수 있기 때문이다. 뿐만 아니라 발송 시 파일을 내려받는 횟수나 기간을 함께 설정한다면 대량으로 유포되는 사고를 줄일 수 있다.
이메일을 발송하기 직전이나 발송한 후에 받는 상대방에게 전화나 문자 메시지로 함께 연락하는 것도 좋은 방법이다. 이 경우 메일이 제대로 발송됐는지, 이메일 주소가 틀리지는 않았는지 등을 한 번 더 확인할 수 있기 때문이다.
[이상우 기자(boan@boannews.com)]
보내는 대상 다시 확인하고, 중요한 파일은 압축해 암호 걸어야
특히, 암호는 이메일 본문이 아닌 문자 메시지 등으로 전달해 유출되지 않도록 주의
[보안뉴스 이상우 기자] 회사에서 이메일을 보낼 때는 누구에게 어떻게 보내는지 언제나 신경 써야 한다. 가령, 직접 업무를 진행하는 담당자의 주소는 받는 사람(to) 칸에, 직접 연관은 없지만 보고해야 하거나 주고받은 내용을 알려야 하는 사람이라면 참조(cc)에 넣는 것이 일반적이다.
[이미지=utoimage]
이와 달리 회사 외부의 불특정 다수에게 이메일을 보낼 때는 일반적으로 숨은 참조(bcc)를 사용한다. 받는 사람이나 참조와는 달리, 숨은 참조에 넣은 이메일 주소는 오직 메일을 보낸 자신에게만 보인다. 이렇게 보내면 이메일 수신자는 불필요한 이메일 주소 대신 이메일 발신자의 주소만 명확하게 파악할 수 있다.
하지만, 대량 메일 발송 시 받는 사람 전체 이메일 주소와 이름이 노출되는 실수를 종종 보게 된다. 가벼운 실수처럼 취급할 수 있지만, 이는 개인정보 유출 사고로 분류된다. 이메일 주소는 해당 정보만으로는 특정 개인을 알아보기 어렵지만, 이름이나 생년월일 등 간단한 개인정보와 조합하는 것만으로도 특정 개인을 알아볼 수 있는 정보이기 때문이다.
실제로 지난 2019년 발간된 개인정보 보호 상담 사례집에서는 불합격자 이름과 이메일 주소를 알 수 있게 대량 발송한 사례에 대해 개인정보 유출에 해당할 수 있다고 설명한 바 있다. 만약 이러한 사고가 발생했다면 서면 등의 방법으로 당사자에게 유출된 정보, 시점과 경위, 피해 발생 최소화를 위한 방안 등을 알려야 하며, 1,000명 이상일 경우에는 이를 한국인터넷진흥원 등에 신고해야 한다.
또 다른 사례를 들어보자. 회원 명부나 이벤트 당첨 안내 혹은 업무용 파일을 이메일로 보낼 때 받는 사람 주소를 잘못 입력하는 경우다. 다행히 입력한 이메일이 없는 주소라 반송되는 경우도 있지만, 알파벳 뒤에 숫자 몇 개를 잘못 입력하거나 다른 알파벳으로 착각해 주소를 입력할 경우 의도하지 않은 상대방에게 개인정보 등이 담긴 파일이 전송될 수 있다. 실제로 이와 유사한 사이버 공격 중 인터넷 주소나 오픈소스 이름을 착각하게 하는 ‘타이포스쿼팅’ 기법도 존재하는 만큼 흔히 발생할 수 있는 사고다.
이처럼 개인정보 유출 사고는 사이버 공격자의 침입으로만 발생하는 것이 아니라, 내부 직원의 사소한 실수, 즉 휴먼 에러로도 발생할 수 있다. 이 때문에 기업은 보안 솔루션을 도입하는 것 외에도 주기적인 교육을 통해 이러한 보안사고가 발생하지 않도록 해야 한다.
우선, 대량 이메일 발송 시에는 개인별 발송 혹은 숨은 참조를 제대로 설정했는지 확인하는 프로세스를 추가해야 한다. 또한, 업무와 관련한 메시지는 네이버, 다음, 지메일 등 개인용 이메일로 주고받는 것을 지양해야 실수로 인한 정보 유출을 예방할 수 있다.
파일을 전송할 때는 암호를 설정하는 것이 좋다. MS 오피스 등 문서 자체에 암호를 거는 기능을 이용할 수도 있고, 여러 파일을 압축한 뒤 ‘알집’ 등에서 암호를 설정하는 방법도 선택할 수 있다. 이 경우 파일이 외부로 유출되더라도 타인이 쉽게 내용을 알아볼 수 없다. 당연히 1111 같은 암호는 지양해야 한다.
중요한 것은 메일을 받는 상대방에게 암호를 알려주는 방식이다. 간혹 이메일 본문에 압축파일 비밀번호 등을 함께 기재하는 경우가 있는데, 이러한 방식은 암호를 설정한 의미가 없다. 받는 상대방에게 암호를 알려줄 때는 전화 혹은 문자 메시지 등 다른 수단을 이용해 알려야 한다.
파일을 직접 첨부하는 것보다는 클라우드 저장소 링크로 전달하는 방법 역시 유용하다. 만약 오발송된 사실을 인지했다면, 그 즉시 링크를 비활성화하고 접근 권한을 해제할 수 있기 때문이다. 뿐만 아니라 발송 시 파일을 내려받는 횟수나 기간을 함께 설정한다면 대량으로 유포되는 사고를 줄일 수 있다.
이메일을 발송하기 직전이나 발송한 후에 받는 상대방에게 전화나 문자 메시지로 함께 연락하는 것도 좋은 방법이다. 이 경우 메일이 제대로 발송됐는지, 이메일 주소가 틀리지는 않았는지 등을 한 번 더 확인할 수 있기 때문이다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
