아마존, 이용자 이메일 유출 사고…내용은 함구

아마존이 가입자들에게 계정의 실명과 이메일 주소가 유출됐다고 통보했다. 피해자 가운데 유럽 지역 거주자가 포함돼 있다면 상반기부터 시행중인 일반개인정보보호법(GDPR)에 따라 개인정보보호 당국의 조사 내지 제재를 받을 수 있지만, 아직 피해 대상이 파악되지 않았다.

미국 지디넷은 21일(현지시간) 아마존이 '기술적 오류(technical error)'로 이용자 이메일을 유출했다고 보도했다. 아마존이 구체적인 설명을 내놓지 않고 있지만, 해킹과 같은 사이버 침해사고가 아니라는 입장이 사실이라면 오류 원인은 내부 버그(internal bug)로 보인다고 추정했다.

아마존은 이용자의 계정에 연결된 실명과 이메일 주소를 유출시킨 배경을 단지 '기술적 오류'라고만 표현했다. 이용자 대상으로 유출 사실을 통보한 이메일과 미국 지디넷이 보낸 취재질의 답변 메일에서 모두 오류의 성질에 관련해 별다른 설명을 보태지 않았다.

아마존 측은 "문제를 수정했으며 영향을 받을 수 있는 이용자들에게 통보했다"고만 밝혔다. 데이터 유출 문제의 영향을 받은 이용자 수는 얼마였는지, 선별된 지역의 이용자에게만 영향이 있었는지, 유출과 기술적 오류가 얼마나 지속됐는지 등 추가 질의에는 답하지 않았다.

미국 지디넷은 이날 이른시간 아마존의 통보 메일을 접한 이용자들이 비슷한 유형의 질문을 던졌다고 묘사했다. 하지만 아마존은 이메일 주소 유출 사건의 여러 세부내용에 대해 함구하면서도 웹사이트와 내부 시스템은 '침해되지 않았다(were not breached)'는 점을 강조했다.

아마존이 사고와 관련된 세부내용을 제공하기를 거부했기 때문에 이메일 주소가 누구에게 유출됐는지, 어떤 이용자가 어떤 유형의 위험에 처했는지 불분명하다. 영향을 받은 이용자 가운데 유럽연합(EU) 지역 거주자가 있다면 아마존은 더 자세한 설명을 내놓아야 할 수도 있다.

미국 지디넷은 "온라인 메시지로 미뤄볼 때 유출 영향을 받은 이들은 세계 각지에 걸쳐 있는 듯하다"며 "아마존은 (통보 메일로) 이용자에게 보낸 세 문장보다 정확하고 자세한 알림을 기대하는 EU 국가 프라이버시 감시기구를 마주하면 비밀을 유지할 수 없을 것"이라고 평했다.

■ 한국 AWS 장애와 직접 연관성은 확인안돼

아마존의 이메일 유출 통보는 회사가 지난달에도 비슷한 알림을 보낸 뒤에 발생했다. 먼젓번 데이터 유출은 이번처럼 기술적 오류에 의한 것이 아니라, 이용자의 데이터를 팔아넘긴 당시 아마존 소속 직원 때문에 일어난 일이었다. 아마존은 해당 직원을 해고했다.

아마존의 통보를 한국어로 옮기면 이렇다. "기술적 오류 때문에 우리 웹사이트가 여러분 이메일 주소를 뜻하지않게 공개했음을 알리려고 연락했습니다. 문제는 해결됐습니다. 이는 뭔가 여러분이 행한 일의 결과가 아니므로, 패스워드를 바꾸거나 다른 조치를 취할 필요가 없습니다."

관련기사

공교롭게도 한국에도 아마존이라는 이름이 걸린 온라인서비스에 문제가 발생했다. 22일 오전 아마존웹서비스(AWS) 서울 리전에서 퍼블릭클라우드서비스인프라의 내부 자원 연결에 쓰이는 도메인네임시스템(DNS)에 장애가 발생, 일부 국내 기업들이 서비스 운영에 차질을 빚었다.

일부 보도는 전자상거래 서비스 아마존 웹사이트 가입자의 이메일 주소 유출을 해킹 사건으로 인식하고 그 여파로 기업용 퍼블릭클라우드서비스 AWS 서울 리전의 장애가 초래됐을 수 있다고 주장하고 있지만 현재까지 두 사건의 연관성은 확인되지 않았다.