해킹된 '레저' 27만명 고객 개인정보가 인터넷에 올라왔다

logo
코인 말!말!말!

해킹된 '레저' 27만명 고객 개인정보가 인터넷에 올라왔다




암호화폐 하드웨어 지갑

희소식부터 전하자면 지난 7월에 있었던 레저(Ledger) 해킹 사태 때 본인의 개인정보가 유출됐는지를 이제는 고객들이 직접 확인할 수가 있게 됐다.

프랑스 하드웨어 암호화폐 지갑 생산업체 레저 고객들의 이메일 주소 100만개와 27만2천명의 이름, 집 주소, 전화번호가 적힌 목록이 최근 인터넷에 올라왔다. 새로 공개된 목록에는 레저가 이전에 해킹됐다고 공개한 9500명보다 훨씬 많은 27만2천명의 개인정보가 담겼다.

왜 이런 차이가 발생했는지 레저에 물어본 결과, 레저 대변인은 “해킹 발생 당시, 자사 데이터베이스를 관리하는 외부 애플리케이션 로그에서 9500명이 해킹 공격의 영향을 받았다는 사실을 확인했고, 이와 동시에 시행한 외부 보안업체와의 합동 포렌식 분석 결과 역시 9500명이란 결과가 나왔다”고 말했다.

레저는 21일 고객들에게 이메일을 보내 자신들이 분석했던 로그에서는 이 27만2천명의 세부정보를 찾을 수 없었다고 해명하며, 해당 목록에 속한 고객들에게 24시간 내에 공지를 다시 보내겠다고 밝혔다.

레저는 지난 20일 트위터를 통해 “이번 사태와 관련해 진심으로 송구스럽단 말씀을 드리는 것만으론 턱없이 부족하다는 걸 잘 알고 있다. 우리는 개인정보 보호 문제를 매우 심각하게 생각하고 있다. 레저는 이런 사태가 다시는 발생하지 않게 하는 것을 최우선 과제로 생각하며, 이번 일을 계기로 소중한 교훈을 얻었다”고 말했다.

대응 조치의 일환으로 레저는 최고 정보보안 책임자를 새로 영입했으며, 해킹 사건 이후 피싱 사이트 총 170곳을 폐쇄했다.

파일 공유 사이트 가운데 적어도 세군데 이상에서 누구나 두 목록을 내려받을 수 있다. 트위터에서 몇 분만 검색해보면 쉽게 찾을 수 있으니, 굳이 여기에 링크를 공유하진 않겠다.

해당 목록을 다운받으면 본인의 정보를 찾아본 뒤 삭제하길 바란다. 계속 파일을 보관하면서 목록에 나온 이름들을 가십거리 삼아 지인들과 얘기한다면 정말 실망스러울 것이다.

유출된 이메일 주소 중 일부는 피싱 사기 이메일을 받은 코인데스크 독자들의 이메일 주소와도 일치했다.

지난 7월에 보도한 것처럼 피싱 사기단은 코인데스크 뉴스레터의 형식을 베껴, 암호화폐를 무료로 나눠준다는 허위 글과 함께 링크를 붙여 애초에 뉴스레터 가입 신청을 하지 않은 사람들에게 이메일을 전송했다.

지난달, 카사(Casa)의 CTO 제임슨 롭은 레저 고객들이 범죄의 표적이 됐을 수 있다고 말했는데, 20일 공개된 목록을 보면 롭의 주장이 맞았던 것으로 보인다.

 

  그림

안 좋은 소식은(사실 소식은 아니지만) 이번 목록 공개를 계기로 하드웨어 암호화폐 지갑 생산 업체도 민감한 데이터들을 모아놓는 꿀단지(허니팟, honeypot)가 될 수 있다는 사실이 재확인됐다는 점이다. (여기서 꿀단지란 해커를 잡기 위해 설치하는 미끼용 사이트가 아니라, 실제로 해커가 노릴 만한 범죄 대상을 의미한다).

@Ledger 해킹 사태를 보면서 답답했던 이유는 애초에 그 정보들을 레저에서 보관하고 있을 이유가 없었기 때문이다. 배송지 주소만 있으면 됐고, 그마저도 배송 상태 확인을 위해 최대 30일 동안만 보관하면 될 일이다.
@Ledger 해킹 사태를 보면서 답답했던 이유는 애초에 그 정보들을 레저에서 보관하고 있을 이유가 없었기 때문이다. 배송지 주소만 있으면 됐고, 그마저도 배송 상태 확인을 위해 최대 30일 동안만 보관하면 될 일이다.

스타트업이 마케팅 목적으로 반드시 이 정보들을 수집해야 했을 수도 있고, 아니면 법이 정한 요건 때문이었을 수도 있다.

지난 7월, 레저는 자주묻는질문(FAQ)에서 자사 웹사이트에 잘못 구성돼 포함된 외부 API 키를 통해 한 해커가 레저의 마케팅 데이터베이스에 접근했었다고 밝힌 바 있다.

레저는 이 사실을 인지하자마자 문제의 키를 비활성화시켰다고 말했으나, 해커들이 정보를 빼내 피싱 사기단에 팔아넘기는 걸 막기에는 이미 늦은 시점이었다.

왜 API 키를 외부 업체에서 가지고 있냐는 질문에 FAQ는 다음과 같이 설명하고 있다.

“레저의 전자 상거래와 마케팅팀은 외부 솔루션인 이터러블(Iterable)을 사용해 레저홈페이지(ledger.com)에서 상품을 구매하거나 자사 뉴스레터를 받아 보겠다고 신청한 고객들에게 거래나 마케팅 목적의 이메일을 보내고, 또 이를 분석하고 있습니다. …

자사 개인정보 보호 정책에 따라서 데이터 관리 주체인 레저는 해당하는 계약 또는 법적 틀 안에서 결제 서비스 제공업체(PSP), 인프라, 물류 서비스 업체 등 외부 업체에 고객의 정보를 일부 넘길 수 있습니다.”

이메일 주소는 여기에 해당한다고 치자. 그럼 집 주소나 이름, 전화번호는 어떻게 설명할 것인가? 제품 발송 이후 왜 이 정보들을 삭제하지 않았을까? FAQ에 따르면 이렇다.

“법적인 이유에서 자사는 고객들의 세부 연락처, 주문과 관련해 일부 거래 정보를 보관해야 할 의무가 있습니다.

해당 법에 명시된 보관 제한 원칙에 따라 자사는 합법적인 법 준수에 필요한 기간 이상으로 데이터를 보관하지 않으려 노력하고 있습니다. 여기에는 모든 법, 회계, 납세 등 규정 준수를 위한 보고 요건들이 포함됩니다.

레저는 법 또는 규정상의 보관 의무를 준수하기 위해 필요한 경우 추가적인 기간, 또는 법의 공소시효 기간 접근 권한을 제한하여 고객의 개인정보 일부를 보관할 수 있습니다.

추가 연장된 기간이 끝나면 고객의 개인정보는 자사 시스템에서 영구 삭제되거나 익명화됩니다. 자사의 법, 납세, 회계상의 의무 준수를 위해서 해당 프랑스 법에 명시된 대로 최대 10년 동안, 또는 자사가 가진 권리(예를 들어 법정에서의 권리 주장)를 관리하기 위해 해당하는 프랑스 법 공소시효 동안 레저의 상품이나 서비스를 구매한 고객들을 대상으로 자사는 거래 정보 일부를 고객의 세부 연락처에 보관할 수 있습니다.

또 고객 질문에 대한 답변을 제공하고, 향후 발생할 수 있는 분쟁을 처리하며 범죄 수사를 위한 증거를 확보하기 위해 본 데이터베이스에 있는 고객의 개인정보 일부를 보관할 필요가 있습니다.”

다시 말해, 손발이 묶인 기업 입장에서 원치 않더라도 고객 정보를 어쩔 수 없이 보관하고 있어야 할 때도 있다는 말이다.

하지만 괜찮다. 코인셰어스(CoinShares)의 최고전략책임자(CSO)인 멜텀 드미러스가 트위터에서 말한 것처럼 그런 위험을 줄일 수 있는 방법이 있다.

사전에 계획을 세워두는 것이 좋다.-이메일: (임시로 만들거나 한번 쓰고 마는 메일을 뜻하는) 트래시 메일(trashmail)이나 욥 메일(YOPmail)을 활용해 각 사이트마다 새로운 이메일 주소를 무작위로 생성할 것.-전화번호: 가짜 전화번호를 생성해주는 앱을 쓰거나 이중 인증(2FA)을 위해서 인증용 휴대전화를 한대 더 구비할 것.​​​​​​​-우편: 우편물 수령 사서함(P.O. Box)이나 다른 주소로 우편물을 보내주는 우편 전달 서비스(mail forwarding service)를 이용할 것.
사전에 계획을 세워두는 것이 좋다.-이메일: (임시로 만들거나 한번 쓰고 마는 메일을 뜻하는) 트래시 메일(trashmail)이나 욥 메일(YOPmail)을 활용해 각 사이트마다 새로운 이메일 주소를 무작위로 생성할 것.-전화번호: 가짜 전화번호를 생성해주는 앱을 쓰거나 이중 인증(2FA)을 위해서 인증용 휴대전화를 한대 더 구비할 것.-우편: 우편물 수령 사서함(P.O. Box)이나 다른 주소로 우편물을 보내주는 우편 전달 서비스(mail forwarding service)를 이용할 것.

 

0 Comments
카테고리
Facebook Twitter GooglePlus KakaoStory KakaoTalk NaverBand