반다이남코코리아몰, 동보 메일 실수로 약 1,000여 고객정보 유출
네이버파이낸셜, 마이데이터 서비스 오류로 타인 금융정보 조회 실수

[보안뉴스 원병철 기자] 다사다난했던 2021년이 지나가며 희망찬 임인년(壬寅年)이 시작됐건만 지난해부터 이어온 보안위협들은 2022년도 위태롭게 하고 있다. 비디오게임 전문기업 반다이남코(BANDAI NAMCO)코리아는 지난해 12월 29일 고객에게 개인정보 이용내역 통지 안내메일을 보내면서 약 1,000여명의 고객정보를 고스란히 노출시켰고, 네이버파이낸셜은 12월 30일 마이데이터 전환 중 일부 회원의 정보를 타인에게 노출시켜 고객에게 사과했다.


반다이남코코리아가 운영하는 반다이남코코리아몰은 지난해 12월 29일 오후 2시경 ‘개인정보보호법 제39조의8’에 의거해 개인정보 이용내역 통지 안내 메일을 전 회원에게 발송했다. 이는 이메일 수신동의 여부와 상관없이 연1회 회원에게 발송해야 하는 메일로 당연한 절차지만, 이번에 발송된 메일은 기존 메일과 달랐다. 약 1,000여명의 회원 이름과 메일 주소가 ‘받는 사람’ 란에 고스란히 적혀 있었던 것. 바로 ‘단체 메일(동보 메일)’ 발송 유출이다.

단체 메일을 보낼 때 받는 사람을 ‘숨은 참조’가 아닌 ‘받는 사람’이나 ‘참조’에 지정함으로써 저장해놓은 사람의 이름과 이메일 주소를 노출하는 ‘동보 메일’ 전송 실수는 한국인터넷진흥원(KISA)이 ‘주요 개인정보 침해사고’ 중 하나로 꼽을 만큼 자주 발생하는 사고다. 이러한 실수로 개인정보가 유출되면 5일 이내에 해당 정보 주체에 통지하고, 유출된 개인정보가 1,000건 이상이면 소관부처와 KISA에 신고해야 한다.

이처럼 단체 메일을 보내면서 사용자의 실수로 메일 수신자의 이메일 주소 등 개인정보가 유출되는 사고는 말 그대로 ‘사고’지만, 의외로 많이 발생하고 있다. 게다가 단순한 실수라고 넘어가기에는 그로 인한 피해가 크고 회복하기도 쉽지 않다. 이에 단체 메일을 보낼 때는 메일에서 제공하는 숨은 참조나 개별 발송 등의 기능을 반드시 설정함으로써 개인정보가 유출되는 일이 없도록 해야 한다.

한편, 네이버페이를 운영하는 네이버의 금융자회사 네이버파이낸셜은 마이데이터 서비스를 시행하는 과정에서 타인의 금융정보(은행, 증권, 카드 정보 등)가 조회되는 사고를 일으켰다고 밝혔다. 금융권에 따르면 이번 사고를 통해 약 100여명의 고객정보가 유출된 것으로 추정된다.

네이버페이 회원에게 발송된 메일에 따르면 네이버파이낸셜은 기존 ‘내자산’ 서비스를 ‘마이데이터’ 서비스로 전환하는 과정에서 시스템 오류로 회원의 일부 자산정보가 다른 한 명의 회원에게 자신의 자산정보인 것처럼 잘못 노출되는 일이 발생했다고 공지했다. 다만, 회원의 이름과 연락처 같이 식별할 수 있는 정보가 노출된 것은 아니며, 더 이상의 노출이 발생하지 않도록 필요한 보안조치를 취했다고 강조했다.

한편, 금융당국은 2022년 1월 1일 예정됐던 마이데이터 의무화를 1월 5일로 연기했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>