본문 바로가기
정보보안/보안뉴스

네이버 애드포스트 사용자 개인정보 유출사례

by 우동이 2022. 10. 9.
300x250

안녕하세요 오늘은 2019년 4월 30일경에 발생한 네이버의 광고 서비스 애드포스트에서

이용자 2,200명의 개인정보가 유출된 사건에 대해 알아보겠습니다.

 

1. 사건개요

그림 1 - 네이버 애드포스트

 

19년도 4월 30일경 네이버 측에서 애드포스트 서비스 이용자 2,200명의 개인정보가 담긴 메일이 잘못 전송되는 사고가 있었습니다.

원인인 즉 네이버 블로그의 광고수익에 대한 서비스를 제공하는 애드포스트에서 블로그 수익에 대한 원천징수 영수증을 발행하면서 이용자의 개인정보를 다른 이용자들에게도 한꺼번에 발송한 것입니다.

 

당시 애드포스트의 전체 사용자수는 약 17만 명이었으며 이 중 일부인 2,200명의 개인정보가 유출된 

상대적으로 미미한 규모의 사건이라고 할 수 있으나 이후 네이버의 대응 행보에 대한 논란이 다시금 불거지고 있습니다.

 

2. 네이버의 개인정보 유출에 대한 대응

그림 2 - 네이버 메일

이번 개인정보 유출 사례는 외부 공격에 의한 피해 사례는 아니지만

내부 관리자의 처리 실수에 속하는 예시라고 볼 수 있습니다.

이런 유형의 개인정보 유출은 관리자의 실수가 외부 공격을 허용하는 실수가 아닌

단순 내부 관리자의 실수로 인해 벌어진 유출 사건이므로 흔치는 않다고 볼 수 있습니다.

 

하지만 이어지는 네이버의 대응이 사건의 여론을 악화시켰습니다.

바로 아직 읽지 않은 메일을 발송 취소하여 회수함과 동시에

열람되어 개인 보관함에 저장되어 있던 메일까지 한꺼번에 삭제 조치를 취한 것입니다.

 

내부 관리자의 실수로 특정 서비스의 일부 사용자의 개인정보가 유출된 것도 모자라

개인 보관함의 파일까지 접근해 무단 열람/삭제가 가능하다는 이 사실은

서비스 이용자에게는 너무나 두려운 일이 아닐 수 없습니다.

 

3. 개인정보유출 대한 처벌

그림 3 - 네이버 사옥

방통위(방송통신위원회)의 조사 결과로 네이버 측의 기술 및 관리적 부분에서 정보보안 위반사항이 발견되었으며

이에 따른 행정처분이 20년 2월경으로 예정되어 있습니다.

 

행정처분의 결과로는 방통위가 네이버에 대해 2,720만 원의 과징금과 1,300만 원의 과태료를 부과하는 것으로

마무리되었습니다.

 

당시 방통위원은 국내 최대의 포털사이트인 네이버의 규모에 걸맞은 책임감이 필요하다는 말을 거들었습니다.

혹여나 애드포스트 서비스가 아닌 네이버 자체 서비스였다면 전 국민 규모의 개인정보 유출 사건이 발생했을 것이라고 말이죠

4. 또 다른 문제점 제기

 

하지만 끝마무리가 좀 애매합니다.

내부 관리자의 실책으로 인한 개인정보 유출 문제도 납득될만한 문제가 아님에도 불구하고

네이버 애드포스트 사용자들의 개인 메일이 아무런 통보 없이 일괄 삭제된 일이 발생합니다.

 

이는 메일로 발송된 개인정보 파일을 삭제하기 위한 네이버의 조치였다고 밝혀졌습니다만

이를 통해 네이버 측에서 서비스 사용자 개인의 메일을 무단으로 열람하고 편집할 수 있지 않은가의 가능성이 제기되었습니다.

 

 

네이버 애드포스트 개인정보유출 사과문

 

이 문제에 대해서 네이버 측에서는 개인 메일을 열람할 수 있는 방법이 전혀 없고 

문제가 발생한 메일을 삭제할 수 있는 스크립트를 통해 전체 서버의 메일 파일을 삭제했다고 주장했습니다만,,

 

이 주장이 사실인지에 대한 여부는 일반인들은 알 수 없습니다.

복잡한 서버 구조 내부를 보여준다 해도 아는 게 없으니 뭐가 뭔지 모를 것이기 때문이죠

 

마치며

 

해외건 국내건 수많은 개인정보 유출 사건이 발생하고 있지만

이번 네이버 애드포스트 서비스의 개인정보 유출 사례는 조금 더 심각하게 다가옵니다.

 

그 이유는 네이버가 국내에서 거의 최대의 포털 서비스로 수많은 이용자들을 거느리고 있기 때문임과 동시에

개인정보가 유출되는 사고가 내부 관리자의 실수로 인해 벌어질 수도 있다는 가능성

 

그리고 개인 메일파일까지 열람, 편집할 수도 있다는 두려움이 공존하기 때문이 아닐까 싶습니다.

 

이번 사건을 통해 네이버는 약 4,000만 원의 과징금 처분을 받게 되었지만

이런 단발적인 처분만으로는 끊임없이 발생할 개인정보의 유출 문제의 빈도가 줄어들거나 해결되리라고 생각이 들지 않습니다.

 

가장 좋은 해결책은 개개인이 자신의 개인정보 보호에 관심을 가질 수 있어야 한다고 생각합니다.

 

감사합니다.

 

 

 

 

300x250
저작자표시 비영리 변경금지

'정보보안 > 보안뉴스' 카테고리의 다른 글

카카오 데이터센터 화재 사건과 정보보안의 관련성  (0) 2022.10.23
이상한 변호사 우영우 속 해킹사건으로 알아보는 개인정보보호법  (0) 2022.09.26
이상한 변호사 우영우 속 나온 해킹기법 정리와 실제사례 그리고 방지책  (2) 2022.08.27
국방부 인트라넷 해킹사건에 대한 나몰라식 대응과 허술한 보안 - 정보보호 뉴스레터, 보안기사  (0) 2022.08.25
여기어때에서 발생한 개인정보 유출사건 ++ SQL Injection, 여기어때  (0) 2022.04.29

관련글

댓글

티스토리툴바