SK플래닛 “테스트 과정에서 실수로 발송, 대상자 사과메일 보낼 것” 

[보안뉴스 권 준] SK플래닛에서 서비스하는 SNS 기반 생활정보형 서비스 ‘T맵 핫’  서비스 이용자들의 이메일 정보가 고스란히 노출돼 물의를 빚고 있다.

사건의 발단은 이렇다. 지난 1일 SK플래닛의 ‘T맵 핫(T map HOT)’ 운영자는 T맵 핫 서비스 이용자들에게 오는 11월 15일부로 T맵 핫 서비스가 종료되고, 새로운 서비스로 리뉴얼해 찾아간다는 공지메일을 서비스 사용자 1천여명에게 발송했다.

그런데 공지메일을 받은 회원들의 이메일에 다른 회원들의 이메일 주소가 고스란히 노출된 것이다. 이는 단체 메일 발송 시 회원들의 이메일을 숨은 참조가 아닌 받은 사람 주소란에 회원 이메일을 그대로 등록해서 발생한 것으로 보인다.   

이번 공지메일을 본지에 알려온 제보자는 “‘(공지)T map HOT 서비스 종료 안내’라는 제목의 이메일을 열어보니 나 이외의 다른 사람 이메일 주소가 잔뜩 떠 있어 당황했다“며, “혹시 이렇게 노출된 이메일이 불법마케팅에 악용될 수 있지 않을까?”라고 우려를 나타냈다.

그는 이어 “제 이메일 주소의 첫 글자인 A로 시작하는 이들의 이메일 주소가 노출된 것을 보면 다른 회원들에게는 B나 C로 시작해서 Z까지의 각각 스펠링으로 시작되는 이메일 주소가 고스란히 노출됐을 수도 있다”고 추측했다.

특히, 노출된 이메일 정보는 T맵 핫 서비스 사용자들의 이메일이기 때문에 타깃형 스팸메일이나 심할 경우 악성파일을 첨부한 사회공학적 기법의 APT 공격 등으로 피해를 입을 수도 있다.
  

이번 사건과 관련해 SK플래닛 관계자는 “정식 공지가 나간 것이 아니라 사내 테스트 과정에서 담당자 실수로 발송대상자 일부인 1천여명에게 잘못 발송된 것으로 파악됐다”며, “서비스를 통합해 리뉴얼할 예정이라 이를 사용자들에게 공지하려고 준비하는 과정에서 실수가 발생했다. 메일 발송대상자들에게 사과메일을 발송하는 등 최선의 조치를 다할 것”이라고 말했다.       

SK플래닛 측에서 보낸 이메일 말미엔 “회원정보는 서비스 종료시 복원이 불가능하도록 안전하게 파기됩니다”라는 문구가 기재돼 있었다. 그러나 이러한 문구가 공허하게 들리는 이유는 사소한 부주의 하나가 그간 공들였던 개인정보보호 노력을 한순간에 허물어 뜨릴 수 있기 때문이다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>