Home > 전체기사

‘리멤버’ 앱 개인정보 유출사고로 살펴본 이메일 동보 발송의 위험성

  |  입력 : 2023-01-30 00:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
고객 이메일 문의에 고객센터 담당자 답장... 이메일 동보 발송이 개인정보 유출 원인
고객센터에 회신한 가입 희망자 메일, 가입 문의 메일 발송자 전체에 전송돼...연봉계약서 등 포함


[보안뉴스 김영명 기자] 지난 1월 13일 발생한 명함관리 앱 ‘리멤버(Remember)’ 애플리케이션의 개인정보 유출사고의 여진이 아직도 계속되고 있다. 연봉 1억원 이상인 고객만 가입할 수 있는 새로운 서비스인 ‘리멤버 블랙’을 출시하고 서비스를 시행하는 과정에서 생긴 사건인 데다가, 가장 사소하지만 기본적인 개인정보 유출사고에 해당되는 이메일 동보 발송이 원인이었기 때문이다.

▲드라마앤컴퍼니 로고와 리멤버 앱 로고(좌부터)[로고=드라마앤컴퍼니]


리멤버 앱을 출시한 드라마앤컴퍼니는 기존의 ‘리멤버’ 앱과는 다르게 ‘억대 연봉 인증 후 이용 가능한 회원제 서비스’라는 귀족 마케팅의 일환으로 ‘리멤버 블랙(Remember Black)’을 내놓았다.

이에 실제 고액 연봉자들은 해당 서비스 가입 방법을 문의하기 위해 리멤버 고객센터에 수많은 메일을 보냈던 것으로 추정된다. <보안뉴스>에 관련 내용이 보도된 이후, 해당 서비스에 가입하려고 했던 한 사람이 개인정보 유출 피해를 당한 과정을 관련 이메일 자료와 함께 상세하게 제보했다.

▲가입 방법 문의에 대해 리멤버 고객센터에서 발송한 안내 동보메일 화면[이미지=보안뉴스]


당시 리멤버 블랙의 가입을 희망하는 사람들은 리멤버 고객센터에 ‘리멤버 블랙 연봉 인증을 위한 제출 서류는 무엇인지’를 질의했던 것으로 알려졌다. 이는 기존의 ‘리멤버’ 홈페이지가 아닌 별도로 생성된 ‘리멤버 블랙’ 홈페이지의 메인화면에서는 회원가입을 위한 상세한 설명을 쉽게 찾아볼 수 없었기 때문으로 보인다. 이렇듯 회원 가입을 위한 제출서류 문의 메일은 최소 350명 이상이 보낸 것으로 추정된다.

가입 방법을 묻는 많은 문의자들의 메일에 리멤버 고객센터 담당자는 “(...) 리멤버 블랙 연봉 인증을 위한 제출 서류 안내드립니다. 국세청 근로소득 인증만으로 리멤버 블랙 가입 가능 여부를 판단하기 어려울 시, 연봉 정보를 확인할 수 있는 서류를 제출해 주시면 확인 후 승인해 드리고 있습니다. 본 메일로 1) 연봉 정보를 확인할 수 있는 서류와 2) 개인정보 수집 및 이용 동의서를 보내 주시면, 담당자 확인 후 영업일 기준 1~2일 이내에 답변 드리겠습니다. 보내 주신 소득 증빙 서류는 확인 후 즉시 파기하도록 하겠습니다”라고 안내했다.

이어 연봉 정보를 확인할 수 있는 필수 제출 서류로 △최근 재직 회사의 최종 연봉 계약서 사본 또는 최근 3개월분 급여명세서 사본 중 택1 △이름, 회사명, 연봉정보 이외의 개인정보는 모두 가린 후 제출할 것 등을 요구했다.

▲한 가입 희망자가 고객센터로 회신한 메일 화면. 메일에 연봉계약서와 개인정보 수집 동의서를 첨부했는데, 최소 350명에게 동시에 발송됐다[이미지=보안뉴스]


고객센터에서 보낸 메일을 받은 한 가입 신청자는 해당 메일에 대한 답장(Re:) 형태로 “연봉계약서와 개인정보 수집 동의서를 첨부드립니다. 연봉계약서에서 아래 내용을 참조하시면, 연봉 금액 확인 가능하십니다”라는 문장과 함께 연봉 금액(기본급, 성과급, 연봉 토탈 등)을 캡처한 이미지를 본문에 넣어 직접 보이게 했다. 또한, 연봉계약서와 개인정보 수집 동의서를 pdf 파일로 추가 첨부했다.

이렇듯 민감한 개인정보가 포함된 메일을 답장 형식으로 발송했는데, 발송 당시 처음 리멤버 고객센터에서 참조한 대부분의 메일 주소에도 함께 발송이 된 것이다. 제보자에 따르면 가입 희망자 한 명의 연봉계약서 및 개인정보 수집 동의서가 리멤버 고객센터는 물론 최소 350명 이상에게 모두 발송된 셈이다.

이번 사건은 리멤버 앱 서비스를 제공하는 드라마앤컴퍼니 측이 동보메일을 노출한 실수로부터 시작됐다. 이어 메일을 받은 가입 희망자는 받는 사람에 대한 확인 없이 메일의 답장 형태로 보냄으로써 자신의 이름, 연락처, 연봉 계약서 등 민감한 개인정보를 많은 사람에게 노출시켜 버린 것이다. 이번 ‘리멤버 블랙’ 가입과정에서의 개인정보 유출사고는 회사(드라마앤컴퍼니) 측과 개인(가입 희망자) 측 양쪽 모두의 실수로 볼 수 있지만, 1차적 책임은 회사 측에 있다.

이와 관련 제보자는 “이번 사건에 대한 보다 자세한 내용이 알려져야 한다고 생각했다”며 “더욱이 이번 유출 사건에 있어 회사(드라마앤컴퍼니)의 책임도 있다고 생각하는데, 현재까지 별다른 조치가 없다. 무엇보다 사소한 실수로 인해 개인정보 유출 피해가 발생할 수 있다는 점에 경각심을 가져야 할 것”이라고 설명했다.

이번 사건에서 보듯 일상생활 또는 직장생활 중에 메일을 사용하면서 전혀 알지 못하는 제3자의 이름이나 이메일 주소가 동보메일로 함께 노출되는 경우가 많다. 이러한 경우도 엄연히 신고해야 하는 개인정보 유출사고로 간주되지만 대부분의 사람들은 이에 대한 심각성을 인식하지 못하고 있는 상황이다. 이러한 사고가 발생하지 않도록 메일 발송시 보다 각별한 주의가 필요하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)