[디지털데일리 이안나 기자] #. A씨는 지난달 상품 구매를 위해 명품 플랫폼 발란에 가입했다. 얼마 지나지 않아 A씨는 발란 측으로부터 ‘개인정보의 안전한 관리를 위한 추가 조치 안내’라는 메일을 받았다. 지난 3월16일 고객 개인정보가 유출된 후, 발란이 추가적인 해킹 시도 ‘가능성’을 확인했다며 비밀번호 변경을 권유하는 내용이었다.

발란 개인정보유출 논란이 발생한 후 가입을 진행한 A씨는 이같은 안내 메일을 받고 이상한 느낌을 감지, 개인정보유출 조회를 했다. 그 결과 지난 4월 발란에서 A씨 개인정보가 유출됐다는 걸 확인했다.

11일 개인정보보호위원회에 따르면 발란은 지난 3월과 4월 두 차례 한국인터넷진흥원(KISA)에 개인정보유출 사실을 신고했다. 지난 두 달 새 고객정보가 두 차례나 유출된 셈이다. 더 큰 문제는 발란이 두 번째 개인정보유출 후 피해자들에게 명확한 사실을 알리지 않고 ‘두루뭉술’한 문장으로 안내해, 일부 고객은 자신의 정보가 유출됐는지 조차 모르고 있을 수 있다는 사실이다.

발란은 지난 3월16일 한차례 개인정보 유출 사태를 겪고 사과문과 함께 향후 조치 계획을 알렸다. 당시 발란은 “3월16일 15시 10분 허가받지 않은 외부 접속자가 회원 정보에 비정상적인 방식(의도된 해킹)으로 접근한 정황을 발견하고, 즉각적으로 모든 서비스에 대한 유출 의심 경로(해당 IP 및 우회접속 IP 포함)을 차단, 웹사이트 보안점검과 보완조치를 완료했다”고 전했다.

그러나 약 한 달 뒤 발란은 또 한 번 KISA에 개인정보 유출 사실을 자진 신고했다. 사과문엔 모든 서비스에 대한 유출 의심경로를 차단했다고 밝혔지만, 보안상 여전히 취약점이 존재했던 것으로 보인다.

두 번째 개인정보유출 후 발란은 3월과 마찬가지로 피해 고객에 메일을 보내고 회사 홈페이지에 공지문을 올렸다. 하지만 첫 번째 사태와 달라진 점은 명확한 고객정보 유출 사실에 대한 언급을 피하고, 보안을 위한 주기적 비밀번호 변경 등 고객 자발적 참여를 권유하는 식으로 안내했다는 점이다.

처음 유출 후 고객들에게 보낸 안내 메일에서의 제목은 ‘개인정보 유출에 대한 안내 및 사과말씀’이었지만 두 번째는 ‘개인정보의 안전한 관리를 위한 추가 조치 안내’였다.

이 메일에서 발란은 “지난 3월16일 고객님의 소중한 개인정보와 관련해 불미스러운 일이 발생해 심려를 끼쳐 드린 점 다시 한 번 사과의 말씀 드린다”며 “현재 발란은 추가적인 해킹 시도 가능성을 확인하고 유사 침해가 재발하지 않도록 기술적 보호 조치를 취하고 있으며, 근본적인 문제 해결 및 2차 피해 예방을 위해 고객님 참여를 정중히 요청한다”고 전했다.

이어 “고객님께 주기적인 비밀번호 변경을 권유 드리며, 주민등록번호, 생일 등 개인정보 관련성이 높은 문자와 숫자 사용을 자제해 주길 바란다”고 덧붙였다.

실제 고객 정보 유출이 이뤄졌음에도 불구 추가적인 해킹 시도 ‘가능성’을 언급해, 대다수 고객들은 자신 개인정보유출 피해자인지조차 알지 못한 채 넘어갔을 가능성이 높다. 당시 발란은 앱 하단 공지사항에도 메일과 동일한 내용을 담았다. 다만 개인정보유출을 조회할 수 있는 경로를 공지 하단에 덧붙였을 뿐이다.

즉 안내 메일을 받고 발란 앱에 접속해 개인정보유출을 직접 조회한 고객만 자신의 정보유출 사실을 알 수 있었다는 의미다.

이에 대해 발란 측은 “해당 사안은 단건으로 조사를 진행 중에 있다”며 “오히려 추가적인 가능성에 대한 피해를 최소화로 막기 위해 후속으로 KISA에 신고한 뒤 고객 고지 절차를 진행했다”고 말했다.