팝업창 클릭하면 개인정보 DB 연동돼...

링크된 팝업창 소스코드 수정해 개인정보 획득

함께하는 시민행동(www.privacy.or.kr)은 네티즌의 제보로 정보공유업체 프루나닷컴(pruna.com)이 팝업창 광고주 엔터웨어랩(diyhard.co.kr)에게 회원동의 없이 개인정보를 제공한 것을 발견했다고 지난 10일 밝혔다.

시민행동 관계자는 “프루나에 로그인 한 후 엔터웨어랩 광고 팝업창을 클릭하는 순간 회원정보가 자동으로 엔터웨어랩 DB와 연동된다”며 “이는 개인의 동의를 받지 않고 개인정보를 제3자에게 제공한 것으로 위법한 행위”이라고 말했다.

특히, 관련 광고 팝업창에서 프루나닷컴의 회원 아이디를 알고 있다면 링크된 소스코드를 수정해 타인의 개인정보를 팝업창 소스코드에서 볼 수 있다. 이는 데이터베이스 연동 과정에서 기술적 보호 장치가 없다는 것을 의미하며, 이러한 허점은 또 다른 제3자가 개인정보를 가로챌 수 있다.

이에 대해 시민행동 관계자는 “주민등록번호의 오남용 문제가 사회문제가 되고 있음에도 관련 인터넷 기업들이 무감각한 자세로 일관하고 있는 강도 높은 법적 제재가 없었기 때문”이라며 “프루나닷컴과 엔터웨어랩은 각사의 홈페이지에 관련한 내용에 관한 사과와 더불어 재발방지를 위한 약속을 각사의 회원들에게 알려야 할 것”이라고 밝혔다.

또한 그는 “양사는 위와 같은 방법으로 제3자에게 넘겨준 개인정보의 숫자를 정확히 밝혀야 하고, 정보통신부는 프루나닷컴과 엔터웨어랩의 상행위에 대해 실태조사를 벌여 위법한 행위에 대해서는 법적 제재를 해야 할 것이며, 잘못된 관행에 대한 행정지도를 실시해야 한다”고 강조했다.

한편 프루나닷컴 관계자는 “광고주의 이벤트에 참여하기 위해서는 그 회사의 회원가입이 필요하기 때문에 회원정보를 보내주는 것으로 회원정보를 유출한 것이 아니다”라고 말했다.

또한 엔터웨어랩 관계자도 “이벤트 가입시 회원정보를 입력해야 하는데 다시 회원정보를 입력하는 번거로움을 피하기 위한 것으로 이는 업계의 관행이다”고 말했다.

<정보통신망 이용촉진 및 정보보호에 관한 법률 제24조 (개인정보의 이용 및 제공 등)>

①정보통신서비스제공자는 당해 이용자의 동의가 있거나 다음 각호의 1에 해당하는 경우를 제외하고는 개인정보를 제22조제2항의 규정에 의한 고지의 범위 또는 정보통신서비스이용약관에 명시한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니된다.

1. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

2. 통계작성·학술연구 또는 시장조사를 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우

3. 다른 법률에 특별한 규정이 있는 경우

②정보통신서비스제공자로부터 이용자의 개인정보를 제공받은 자는 당해 이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적외의 용도로 이를 이용하거나 제3자에게 제공하여서는 아니된다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>