최근에 심각한 개인정보침해 사건이 있었습니다. 저도 그 곳의 피해자(?)였고 이제는 이런 일이 생겨도 별 생각이 없네요. 이 글에서는 최근 발생한 그곳이 아닌 다른 곳에서 생긴 개인정보침해 사건과 그 사건의 신고, 처리 결과를 간략하게 쓰려합니다.

 

시작 전에… 해당 업체의 상호를 밝힐까도 생각했으나 사건이 종결되었으니 밝히지 않겠습니다. 대신 사건의 간단한 이해를 돕기 위해 업체에서 취급하는 상품만 간략히 설명하겠습니다.

 

1. 사건의 개요

a. 이메일로 소프트웨어 홍보 메일이 왔습니다. 프로모션 때 가입하고 잠깐 사용하였지만 이미 사용하지 않는 소프트웨어여서 생각난 김에 탈퇴를 하려고 웹사이트로 갑니다.

b. 로그인을 하려니 비밀번호가 기억나지 않습니다.

c. 비밀번호 찾기에 이메일을 입력하니 메일로 비밀번호를 보냈답니다.

d. 이메일로 제 비밀번호가 도착했습니다.

e. 어!!?? 비밀번호가 도착했습니다.

2. 신고

 

a. 비밀번호는 단방향 암호화해야 하는 것 아닌가?

 

b. 이걸 어쩌지? 옛날 같으면 별로 대수롭지 여기지 않고 넘어갔겠지만 이미 많은 업체에서 개인정보를 유출했고 이로 인해 수 많은 사회적 이슈를 만들었습니다. 아직까지 이런 단순한 보호 조치를 취하지 않은 업체가 있다는 것에 놀랐습니다. 심지어 이 업체는 데이터베이스 관련 소프트웨어를 판매하는 업체였습니다. 다른 어떤 IT 업체보다 보안이나 정보에 민감할 업체조차 이런 식으로 정보를 관리하는 모습을 보았을 때 우리나라가 아직도 개인정보관리에 얼마나 무신경한지 알 수 있었습니다.

 

c. 전화나 메일을 통해 연락을 해볼까도 생각했지만 심각한 문제라 생각하여 한국인터넷진흥원 개인정보침해신고센터에 신고를 하기로 결정했습니다.

 

d. 제 신고 일부분입니다.

 

2015년 3월 30일 11시에 XXXX 홈페이즈에서 비밀번호 찾기 기능을 사용해 비밀번호를 찾았는데 암호화 되지 않은 비밀번호가 이메일로 전송되었습니다. 해당 홈페이지 데이터베이스에 비밀번호가 암호화 없이 저장된 것(.복호화 가능하게.)이라 생각되며, 이는 기술적 보호조치(.개인정보의 안전한 저장,전송을 위한 암호화 또는 이에 상응하는 조치.)를 취하지 않은것으로 보입니다. 위와 같이 신고하오니 법적 조치 바랍니다.

e. 위와 같이 신고하니 좀더 자세한 내용을 요청하여 이메일의 캡쳐 화면과 이메일의 원문을 일부 수정하여(제 패스워드가 적혀있는 부분만 삭제) 보냈습니다.

 

f. 신고를 하게되면 담당 조사관으로부터 신고번호와 함께 접수통보문을 받게됩니다.

 

귀하께서 한국인터넷진흥원 개인정보침해신고센터에 신고한 개인정보침해 신고가 2015.04.01. 자로 접수되었음을 알려 드립니다.

한국인터넷진흥원 개인정보침해신고센터는「개인정보 보호법」제62조, 같은 법 시행령 제59조,「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제52조제3항제9호, 같은 법 시행령 제66조에 따라 개인정보에 관한 권리 또는 이익 침해 사실 신고의 접수, 처리 등에 관한 업무를 담당하고 있습니다.

접수된 신고 건은 고충 해결을 위해 신고 접수 후 30일 이내에 처리하고자 하나, 사안에 따라 관련 전문가의 자문, 관계 기관의 사실 확인 및 의견 조회, 현지 출장 조사 등으로 인하여 사건 처리 기간이 다소 지연될 수 있으며, 해당 사건이 종결되면 결과를 통보하여 드립니다.

본 사건의 사실 조사를 위하여 귀하께서 제공하신 개인정보가 해당 개인정보처리자에게 제공될 수 있습니다. 따라서 동의하지 않고자 하실 경우, 담당자에게 연락하여 주시기 바랍니다.

본 사건에 대한 문의는 위 연락처로 하여 주시기 바랍니다.  끝.

3. 처리

a. 기다립니다.

b. 30일 이내에 처리한다지만 30일은 넘어가고 잊어버릴때쯤 메일이 도착합니다.

 

4. 결과통보

a. 통보문(일부생략)

우리 원은 귀하께서 XXXX (http://xxxx.xxxx) (이하 피신고인)에 비밀번호 찾기 시 비밀번호가 평문 그대로 이메일로 전송되는 등 피신고인이 비밀번호를 암호화하여 저장하고 있지 않아 이에 대한 사실확인 및 고충해결을 위해 신고하신 것으로 이해하였습니다.

 

이에 피신고인에 대한 사실확인 결과, 피신고인은 홈페이지를 통한 비밀번호 찾기 시 이용자의 전자우편 주소로 비밀번호를 알려주는 방식을 택하고 있었으며, 별도의 암호화 조치를 취하지 않고 있었음을 소명하였습니다.

 

정보통신망법 제28조에 따라 정보통신서비스 제공자는 개인정보를 취급할 때 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치를 하여야 합니다.

 

따라서 우리 원은 피신고인에게 비밀번호를 암호화하여 저장할 것을 안내하였으며, 이에 따라 피신고인은 15년 10월 7일 회원DB에 비밀번호를 모두 암호화하였다고 소명하였습니다.

 

아울러 비밀번호 찾기 시, 이메일로 비밀번호가 평문 그대로 전송되던 기존 절차를 비밀번호를 전송하지 않고 비밀번호 변경 메뉴로 연결되어 이용자가 직접 비밀번호를 변경하여 접속할 수 있도록 절차를 개선하였다고 소명하였습니다.

 

모쪼록 귀하의 고충이 원만히 해결되시기를 기원합니다.

본 사안에 관한 문의는 위 연락처로 하여 주시기 바랍니다.

감사합니다.

 

b. 정말 오래 걸렸지만 문제가 해결된 것처럼 보입니다.

 

5. 느낀 점

 

a. 신고할 때 가장 걱정했던 것은 혹시나 '해코지를 당하지는 않을까?'였습니다. 제 이메일과 비밀번호를 알고 있으면 제 모든걸 알고 있는 것이나 마찬가지 였으니까요.

 

대부분 사람의 경우 모든 사이트에서 사용하는 ID가 동일합니다. 클리앙을 비롯한 대부분 웹사이트에서 아이디를 그냥 노출 시키기 때문에 이렇게 쓴 글을 해당 업체에서 본다면 누가 신고했는지 충분히 유추 가능하리라 봅니다. 인터넷에 비밀은 없으니까요.

 

ID는 인터넷에서 주민등록번호와 같다고 생각하기 때문에 이제 이렇게 ID를 노출 시키는 게시판의 형태는 없어져야 한다고 생각합니다.

 

b. 신고에 대한 처리 과정이 통보되지 않고 처리까지 엄청나게 오래 걸렸습니다. 4월에 신고해서 10월에 처리되었으니 반년이 걸렸네요. 중간에 해당 업체가 공격받았다면 가입자들은 암호화되지 않은 패스워드를 탈취당하는 사고가 발생했을 겁니다. 중간 중간 진행 과정을 알려주기만 해도 덜 불안했을 겁니다.

 

c. 프로모션을 통한 회원 가입은 신중하게 해야겠습니다.

 

d. 신고는 생각보다 쉽습니다. 이러한 경우를 보시면 즉시 신고하셔서 본인의 피해와 다른 사람의 피해를 방지해주세요.

 

6. 마지막

a. 처음 목표였던 해당 웹사이트 탈퇴를 아직 못했습니다. 탈퇴 메뉴를 찾지 못해서요. ㅠㅠ. 이건 정말 연락을 해봐야겠네요.

 

b. 정리되지 않은 긴 글 읽어주셔서 감사합니다.