"URL 속 아이디, 스팸메일 표적"…개인정보위, 네이버 개선권고 조치

5개 블로그 중 네이버가 유일…12일 제1회 전체회의

윤종인 개인정보보호위원회 위원장이 1월 12일 정부청사에서 개최된 2022년도 제1회 개인정보위 전체회의에서 의사봉을 두드리고 있다.[사진=개인정보위]

개인정보보호위원회는 12일 제1회 전체회의를 열고 네이버 블로그 URL 상에서 이용자 아이디가 노출하지 않도록 개선 권고하기로 심의·의결했다.

이번 사례는 국민신문고에 민원이 접수되면서 개인정보위가 조사에 착수한 건이다. 당시 민원 접수자는 네이버 블로그 주소에 개인 아이디가 입력돼 있어 공격자가 이를 악용해 스팸메일을 전송한다고 주장했다.

이에 개인정보위는 네이버 블로그·네이버 포스트·다음 블로그·티스토리·브런치 등 다수 사용자를 보유한 국내 5개 웹사이트 대상으로 점검을 실시했다. 그 결과 네이버만이 블로그 주소에 이용자 아이디를 그대로 노출했다는 설명이다. 네이버 블로그 주소를 무작위로 생성하거나 이용자가 직접 주소를 입력하도록 하는 개선권고안을 마련했다.

개인정보위는 "네이버는 사용자 계정 생성 시 개인정보 수집·이용 동의를 얻었으나, 개인정보 보호를 고려하지 않은 채 서비스를 설계·구현했다"면서 "노출된 계정이 스팸메일 발송과 해킹 등 공격에 악용될 수 있어 개선이 필요하다고 봤다"고 강조했다.

양청삼 개인정보위 조사조정국장은 "정보통신 기반 서비스에서 개인정보를 안전하게 처리하기 위해서는 서비스 기획·설계 단계에서부터 개인정보 보호를 면밀히 고려해야 한다"며 "이번 개선권고를 통해 개인정보보호 중심 설계(PbD)가 보편적으로 정착될 수 있도록 지속 노력해 나갈 것"이라고 말했다.