[디지털데일리 박세아 기자] 협업툴 스윗이 내부 직원 실수로 고객 개인 메일 주소를 대량으로 유출한 사실이 뒤늦게 알려졌다. 이름이나 전화번호에 비해 상대적으로 덜 민감하다고 여겨지지만, 메일 역시 범죄 수단으로 악용될 수 있는 만큼 향후 주의가 요구된다.

20일 업계에 따르면 스윗이 시스템 정기 점검 공지 메일을 발송하는 과정에서 내부 문제로 총 3만39건의 개인정보가 유출됐다.

스윗에 따르면 지난 13일 무료와 스탠다드 요금제를 사용하는 일부 스윗 한국 개인고객들에게 보낸 메일을 숨은 참조가 아닌 수신자로 지정해 메일을 발송했다. 숨은참조로 보낼 경우 본래 메일 수신자 주소만 노출되지만 숨은참조를 수신자로 지정하면서 3만39건에 달하는 사용자 이메일이 노출된 셈이다.

메일 주소 노출은 이름과 전화번호와 같은 개인정보 유출에 비해 실수로 취급할 수 있으나 이메일 역시 이름이나 생년월일 등과 같이 특정 개인을 식별할 수 있는 개인정보로 취급되는 만큼 관리에 주의를 기울여야 한다.

개인정보 유출이 발생할 경우 개인정보보호위원회(이하 개인정보위) 또는 한국인터넷진흥원(KISA)에 신고하도록 법제화돼 있다. 유출된 피해 당사자에게 유출된 정보, 시점과 경위, 피해 발생 최소화를 위한 방안을 알려야 한다.

고객 메일 대량 유출은 기업들에서 종종 일어나는 보안 사고다. 올해 1월 서울신라호텔 역시 업무용 이메일 주소 47건, 개인용 이메일 주소 121건으로 총 168건을 유출해 고객들에게 사과했다. 2021년 가상자산거래소 빗썸 역시 채용 불합격자를 대상으로 단체 메일을 발송하면서 수신자를 숨은 참조로 설정하지 않아 80명 이상 이메일 주소가 노출됐다.

가천대학교 최경진 교수는 "이메일은 금융사기나 스팸 등 온라인 상 이용자 피해의 수단으로 활용되는 만큼, 주요 개인정보로서 개인정보보호법 준수 및 적절한 처리가 요구되는 부분"이라고 지적했다.

또 다른 보안업계 관계자는 "메일 주소 노출 사고는 악성 메일이나 스팸에 대한 피해로 이어질 수 있어 더욱 경각심을 가지고 지켜야 하는 것"이라며 "특히 협업툴은 기업의 업무 자산과 대외비 같은 문서가 공유되는 서비스이기 때문에 보안이 굉장히 중요할 수밖에 없다"라고 설명했다.

이와 관련 스윗 측은 우선 사과 메일 내용이 오류가 있었고, 단순 메일 유출이어서 큰 문제는 아니라는 입장이다. 스윗 관계자는 "노출된 메일이 1000명이 아닌 999명"이라며 "개인고객에게 보내는 공지메일이 모든 수신자에게 전달된 것"이라고 해명했다.

신규 메일 발송 시스템 사용 중 담당자가 숨은 참조(BCC) 발송을 수신(To)으로 일괄 메일을 발송해 생긴 단순 헤프닝이라는 설명이다.

이어 "개인 직원 실수로 일어난 사태지만, 가볍게 치부하지 않고 곧바로 조치를 취하고, 사고 인지 후 관련 법령에 따라 개인정보보호위원회에 자진 신고했다"라며 "모든 고객을 대상으로 메일을 발송할 때 승인자를 시큐리티 리드에서 최고정보보호책임자(CISO)로 승격했다"라고 강조했다.