대량 발송 시 이메일 주소와 이름 노출도 엄연한 개인정보 유출 사고
보내는 대상 다시 확인하고, 중요한 파일은 압축해 암호 걸어야
특히, 암호는 이메일 본문이 아닌 문자 메시지 등으로 전달해 유출되지 않도록 주의
회사에서 이메일을 보낼 때는 누구에게 어떻게 보내는지 언제나 신경 써야 합니다. 가령, 직접 업무를 진행하는 담당자의 주소는 받는 사람(to) 칸에, 직접 연관은 없지만 보고해야 하거나 주고받은 내용을 알려야 하는 사람이라면 참조(cc)에 넣는 것이 일반적입니다.
이와 달리 회사 외부의 불특정 다수에게 이메일을 보낼 때는 일반적으로 숨은 참조(bcc)를 사용합니다. 받는 사람이나 참조와는 달리, 숨은 참조에 넣은 이메일 주소는 오직 메일을 보낸 자신에게만 보입니다. 이렇게 보내면 이메일 수신자는 불필요한 이메일 주소 대신 이메일 발신자의 주소만 명확하게 파악할 수 있습니다.
하지만, 대량 메일 발송 시 받는 사람 전체 이메일 주소와 이름이 노출되는 실수를 종종 보게 됩니다. 가벼운 실수처럼 취급할 수 있지만, 이는 개인정보 유출 사고로 분류됩니다. 이메일 주소는 해당 정보만으로는 특정 개인을 알아보기 어렵지만, 이름이나 생년월일 등 간단한 개인정보와 조합하는 것만으로도 특정 개인을 알아볼 수 있는 정보이기 때문입니다.
실제로 지난 2019년 발간된 개인정보 보호 상담 사례집에서는 불합격자 이름과 이메일 주소를 알 수 있게 대량 발송한 사례에 대해 개인정보 유출에 해당할 수 있다고 설명했습니다. 만약 이러한 사고가 발생했다면 서면 등의 방법으로 당사자에게 유출된 정보, 시점과 경위, 피해 발생 최소화를 위한 방안 등을 알려야 하며, 1,000명 이상일 경우에는 이를 한국인터넷진흥원 등에 신고해야 합니다.
또 다른 사례로 회원 명부나 이벤트 당첨 안내 혹은 업무용 파일을 이메일로 보낼 때 받는 사람 주소를 잘못 입력하는 경우입니다. 다행히 입력한 이메일이 없는 주소라 반송되는 경우도 있지만, 알파벳 뒤에 숫자 몇 개를 잘못 입력하거나 다른 알파벳으로 착각해 주소를 입력할 경우 의도하지 않은 상대방에게 개인정보 등이 담긴 파일이 전송될 수 있습니다. 실제로 이와 유사한 사이버 공격 중 인터넷 주소나 오픈소스 이름을 착각하게 하는 ‘타이포스쿼팅’ 기법도 존재하는 만큼 흔히 발생할 수 있는 사고입니다.
이처럼 개인정보 유출 사고는 사이버 공격자의 침입으로만 발생하는 것이 아니라, 내부 직원의 사소한 실수, 즉 휴먼 에러로도 발생할 수 있습니다. 이 때문에 기업은 보안 솔루션을 도입하는 것 외에도 주기적인 교육을 통해 이러한 보안사고가 발생하지 않도록 해야 합니다.
GRADIUS DLP 외부유통 모듈로 개인정보 유출 예방
업무용 PC에 저장되어있는 중요 정보가 자사 직원들에 의해 업무용 혹은 비업무용으로 외부로 유통되는 상황에서 발생하는 문제점에 대해 생각해보신 적이 있나요?
대부분의 기업은 내부에서만 업무를 진행하지 않고, 협력사나 고객사 등 외부 업체와도 협력하여 업무를 진행합니다. 이 때 외부 업체와 견적서나 기술 정보가 담긴 파일, 그 외 중요한 데이터가 담긴 문서를 공유해야 할 상황이 자주 발생합니다. 만약 이렇게 외부 담당자에게 공유한 중요 파일이 전달받은 담당자의 부주의로 인해 유출되었을 때 파일 보호가 되어있지 않았다면 2차 피해로 이어질 수 있습니다. 기업은 이러한 상황을 대비해서 어떤 보안 솔루션을 도입하는 것이 좋을까요?
GRADIUS DLP는 외부유통 모듈을 추가하여 협업이나 기타 상황으로 인해 중요 파일을 외부 업체에 전송할 시, 파일을 암호화하여 전달할 수 있습니다. 예상치 못한 경로로 파일이 유출되어 재배포되는 상황을 막을 수 있으며 처음 외부로 전송되는 파일 경로가 로그에 기록되기 때문에 책임자를 색출할 수 있고 안전한 파일 공유가 가능합니다. 또한 파일 수신자와 발신자간의 이중인증으로 더 안전한 협업을 진행합니다.
DLP를 통해 내부적으로 데이터 분석을 기반으로 하여 실시간 차단 정책을 설정하고, 중요정보의 흐름을 제어하면 더욱 안전한 업무 환경을 구축할 수 있습니다. 반대로 외부적으로 대부분의 기업들이 업무 중 외부 협업을 진행하는 만큼, 외부유통 기능으로 파일 공유 시 문서 암호화하여 어떻게 발생할 지 모를 데이터 유출 및 2차 피해를 예방해야 합니다. 데이터 차단과 암호화, GRADIUS DLP 단 하나의 솔루션으로 더 안전한 이중보안 업무 환경을 경험해보세요.