저번주는 정보 유출과 관련된 사건, 사고가 많았던 한 주였던거 같은데, 이번주 첫 보안 에세이도 개인정보 유출 사건으로 시작하게 되었습니다. 오늘은 GS25에서 이벤트 당첨자를 발표하면서 이름과 핸드폰 번호를 가리지 않고 게시판에 올려서 문제가 된 사건에 말씀드릴텐데요. 생각보다 이런 사례가 흔한데, 저도 이런 경우가 개인정보보호법에 위배된다는 사실을 알게된지 오래되지 않았기 때문에 이번 사례와 관련된 내용을 함께 짧고 명료하게 설명해보도록 하겠습니다.
GS25뿐만 아니라 여러 기업에서 고객을 끌어들이고 홍보를 위해 이벤트를 하는 경우가 꽤 많은데요. 그러면서 당첨자 정보를 각 기업 홈페이지의 게시판에 올리는 경우가 많습니다. 요즘은 개인정보보호법 때문에 핸드폰 문자로 보내는 추세이지만, 기업 입장에서는 고객이 한 번이라도 더 홈페이지에 들어오는 것이 홍보 차원에서 좋기 때문에 여전히 이런 방법을 사용하고 있죠. 문제는 당첨자 확인을 위해 이름이나 핸드폰 번호를 명시하는데, 이름이 '박명수'면서 핸드폰 번호가 '1234-5678'이면 '박*수, 5678'처럼 개인정보를 가려서 올리지 않고 전부 공개하는 경우가 존재한다는 겁니다.
이번 GS25 개인정보 노출 사례가 이와 같은데, 이름과 휴대폰 번호 또한 개인을 식별할 수 있는 민감 정보에 포함되기 때문에, 반드시 데이터 값 삭제나 데이터 마스킹 등과 같은 비식별화 처리를 거쳐야 합니다. 이와 같은 문제가 발생한 것으로 보아 기업 내부에서 개인정보보호 교육이 전혀 이루어지지 않았다는 것으로 생각되는데요. 개인정보 보호법에 따르면 기업에서는 개인정보를 취급하는 대상으로 정기적으로 개인정보 보호 교육을 받도록 되어있는데, GS25에서 이를 잘 지키지 않았던 것으로 봐야겠죠.
GS25, 이벤트 당첨자 2,000명 발표하며 개인정보 노출... 홈피에 공지 안해
GS25가 고객 대상 이벤트를 진행하면서 2,000명의 당첨자 개인정보를 노출한 것으로 알려져 문제가 되고 있다. 특히, GS25는 해당 문제를 인지하고도 별도의 공지 없이 개인정보가 노출된 피해자에
www.boannews.com
이 사건에서 개인정보 유출과 함께 논란이 되었던 것은 개인정보가 유출된 고객에게만 유출 사실을 통보했다는 점입니다. 개인정보보호법에 따르면 1000명 이상의 개인정보가 유출된 경우에는 반드시 홈페이지에 유출 사실을 게재해야한다고 나와있는데요. 문자로 통보한 것으로 볼 때, 이와 같은 문제가 붉어지면 기업 이미지에 타격을 입을 수도 있으니 언론에 알려지지 않도록 조용히 넘어가려고 했던 것 아닌지 추측해 봅니다. 이번 사례는 해킹과 같이 외부 요인에 의한 사건이 아니라 기업의 내부 직원.. 즉, 내부 요인으로 인한 사건으로 분류할 수 있는데, 이런 문제가 재발하기 않기 위해서는 기업 내부적으로 정보보호 교육을 제대로 해야할 것 같습니다. 그럼 오늘은 여기서 마치도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| SW 취약점으로 인한 모건 스탠리 고객 정보 유출 (0) | 2021.11.29 |
|---|---|
| 서울대학교 병원 개인정보 유출 사례 (0) | 2021.11.26 |
| 코로나 특수 국민비서 사칭 네이버 피싱 메일 사례 (0) | 2021.11.19 |
| 기업 대상 사이버 공격 대비 모의훈련 사례 (0) | 2021.11.17 |
| SK그룹 채용 응시자 개인정보 유출 사례 (0) | 2021.11.10 |
댓글