개인정보이용내역을 보내다 회원 개인정보를 유출한 여기어때

*이 글은 2019년 1월 1일에 작성되었습니다.

해킹 피해와 함께 회원 개인정보를 유출했던 여기어때가, 이번엔 회원 개인정보를 직접 유출했다.

• DAU 100만 이상이거나, 매출 100억 이상의 기업은 정보통신망법에 의거 연 1회 모든 회원에게 개인정보 이용내역을 통지해야 함.

• 여기어때가 2018년 12월 31일 개인정보 이용내역을 9-14명 단위로 묶어서 메일 발송하면서 (아마도 세팅/개발 실수로) 수신인 정보가 드러나도록 유출 발송. (시스템상 개별 발송을 하거나, 수신인 숨은참조 형태로 발송해야함)

• 아마 12월 31일에 2018년 통지 의무에 해당하는 분량을 발송하다가 생긴 유출인 걸로 추정해보면, 피해 대상자가 여기어때 전체 회원이거나 적지 않은 규모일 걸로 예상됨

• 심지어 여기어때는 숙박예약정보 300만 건에 회원정보 20만 건이 해킹에 의해 유출돼서 과징금에 집단소송까지 걸려있는 상태인데, 개인정보 이용내역을 통지하면서 또 개인정보를 유출했다는게 아이러니…

• 사실 메일 수신자 노출은 종종 있는 실수인데, 이미 숙박정보까지 유출됐던 ‘숙박’ 서비스가 해서는 안되지…