프라이버시 강화 플러그인 업체의 아이러니한 실수
이메일 대량 발송 전에는 반드시 실험 메일 보내야

[보안뉴스 문가용 기자] 프라이버시 강화 플러그인인 고스터리(Ghostery)가 GDPR을 위반했다. GDPR과 관련된 이메일을 지난 주 금요일 사용자들에게 보내면서, 사용자들의 이메일 주소를 대량 노출시킨 것이다.


이에 고스터리 측은 “이메일 전송 툴과 회사 사이에서 기술적인 문제가 발생해 사용자 한 사람에게 개별적으로 보내졌어야 할 GDPR 관련 이메일이 단체 전송 되는 사태가 발생했다”며 “이 때 모든 받는 사람의 이메일 주소가 ‘받는 사람’ 란에 기입되어 이메일 주소가 다량 노출되는 일이 일어났다”고 설명했다. 그러면서 “피해를 입은 모든 고객들에게 사과의 말씀을 올리며 이런 일이 발생한 것에 대해 우리 자신이 끔찍이 창피하다”고 덧붙였다.

고스터리는 GDPR이 발효되는 날 당일인 지난 주 금요일, 고스터리라는 회사가 결정하고 지키고 있는 프라이버시 정책과 표준이 GDPR에 부합한다는 내용의 안내 메일을 발송했다. 그 가운데 약 500명의 이메일 주소가 전부 받는 사람 주소 란에 입력된 상태로 이메일이 발송됐으며, 따라서 이 메일을 받은 사람 전부가 서로의 이메일을 알게 되었다.

당시 메일에는 “2018년 5월 25일부터는 유럽연합이 정한 GDPR이라는 개인정보 보호 정책이 발효된다”며 “고스터리는 사용자의 프라이버시를 지키기 위해 높은 수준의 프라이버시 보호 표준을 지키고 있으며, GDPR 규정을 준수하기 위한 모든 방법들을 갖추고 필요한 도구들을 구축한 상태”라고 쓰여 있었다.

그러나 이렇게 자랑스러운 이메일이 발송되고 얼마 지나지 않아 500명의 주소가 서로에게 노출되었다는 사실을 알게 됐다. 소셜 미디어에 누군가 이러한 현상이 발생했음을 고발한 것이다.

이를 제일 처음 발견한 건 트위터 사용자인 앤드류 스타인(Andrew Stine)이라는 인물로, 트위터 ID는 Linguica이다. 그는 트위터를 통해 “방금 고스터리가 GDPR 관련 이메일을 보내면서 500명의 이메일 주소까지 알려줬다! 고마워, 고스터리!”라고 밝혔다.

이번 사건에 대해 보안 업체 하이테크브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 “인간적인 실수는 사실 아무리 보안이 탄탄하고 꼼꼼한 기업이라도 100% 막을 수는 없다”고 말한다. “물론 고스터리가, GDPR과 관련된 메일을 보내면서 GDPR을 위반했다는 사실 자체는 놀랍긴 하지만 불가항력적인 부분도 있습니다.”

그렇다면 이러한 실수는 어떻게 막을 수 있을까? 코로첸코는 “대량 메일을 발송할 땐 항상 시험 메일을 먼저 보내야 한다”고 말한다. “내부 직원들이나 소수의 사용자들을 대상으로 먼저 실험 메일을 발송한 후에 아무런 잘못이 없나 확인을 해보고 나서 대량 메일을 발송해야죠. 아마 고스터리 내부에서도 이러한 방침이 논의됐을 것으로 예상합니다.”

고스터리는 이번 사건을 “GDPR의 규정 대로 감독 기관에 보고할 예정”이라고 발표했으며, 문제가 된 이메일은 배포 금지시켰다. “고스터리는 이번 GDPR과 관련하여 정책 변경 사항을 사용자들에게 고지할 것이며, 고스터리와 관련된 홍보 및 광고 메일을 원치 않을 때 얼마든지 이를 받지 않도록 설정하는 방법도 사용자들에게 안내할 예정입니다. 또한 이러한 이메일 사건과 유사한 일이 발생하지 않도록 최선을 다하겠습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>