아시다시피, Ledger는 지난 여름 전자 상거래 데이터 침해 사건을 겪었습니다. 상당량의 사용자 정보가 유출되었습니다.
12월 20일, 당사는 Raidforum(해커 커뮤니티 보드)에서 Ledger 고객 데이터베이스 콘텐츠의 덤핑에 대한 통보를 받았습니다. 이후에도 당사의 고객을 위협하는 새로운 피싱 공격이 계속 이어지고 있습니다.
Ledger는 데이터 침해 사건의 피해자 분들이 겪고 계신 고통을 이해하며, 매우 놀라셨겠지만 당황하지 마시기를 당부드립니다. 당사는 현 상황에 대해 매우 유감스럽게 생각하며, 본 사건에 대처하기 위한 절차를 이미 마련하였습니다.
다음은 데이터 침해에 대처하는 6가지 방식입니다:
1- 침착함을 유지합니다
스캐머들은 공포심을 이용해 여러분이 성급한 결정을 내리도록 만듭니다. 따라서 침착함을 유지하고, 당황해 하지 말며, 절대 압박감으로 인해 성급히 행동해서는 안됩니다.
스트레스를 받으면 실수를 할 수 있습니다. 따라서 패스워드나 이메일을 변경하거나 장치를 백업하는 경우, 서두르지 말고 모든 작업을 올바르게 수행하고 있는지 확인해야 합니다.
가장 중요한 것은 자금이 오프라인에 있는 한 안전하다는 사실입니다. 하드웨어 지갑은 사용자의 자산을 보관하는 가장 안전한 방법입니다. 그러나 거래소나 소프트웨어 지갑으로 자금을 이체하면 자금의 안전이 위협받게 됩니다.
Ledger 제품은 귀하의 암호화폐를 위해 최고 수준의 보안력을 제공합니다. 따라서 그 어떤 상황에서도 데이터 침해로 인해 장치의 보안 성능이 영향을 받는 일은 절대 발생하지 않습니다. 사용자가 해야 할 일은 Nano 장치와 복구 문구를 안전한 장소에 따로 보관하는 일입니다.
2- 어떤 경우에도 24개의 단어를 공유해서는 안 됩니다.
앞서 말씀드렸듯이, 이번 데이터 침해 사고는 당사의 하드웨어 지갑이나 Ledger Live의 보안 성능과는 무관하기 때문에 귀하의 자금은 안전합니다. 따라서 사용자가 복구 문구와 개인 키를 제공하지 않은 한 해커가 여러분의 민감한 정보를 훔치는 것은 불가능합니다.
이러한 정보와 그 접근 권한을 제어할 수 있는 사람은 본인 뿐이라는 사실을 늘 기억해야 합니다. 항상 악의적인 스캐머들의 피싱 사기 시도를 염두에 두고 주의를 기울이세요. 누구에게도 24개의 단어를 알려 주어서는 안됩니다. Ledger는 Ledger Live상에서도, 사용자에게 24개의 단어로 이루어진 복구 문구를 절대 요청하지 않습니다. Ledger는 절대로 문자 메시지나 전화로 사용자에게 연락하지 않습니다.
끊임없이 이어지는 이런 피싱 공격의 구조를 숙지하고 본인이 실제 경험한 피싱 시도에 관해 이 전용 페이지에 신고해 주세요.
Ledger는 본 사건으로 발생할 수 있는 결과를 상세히 설명하는 내용의 이메일 두 통을 피해자분들께 전송했습니다. 첫 번째 이메일은 이메일 주소만 유출된 백만명에게 전송되었고 두 번째는 더 많은 데이터가 유출된 나머지 사용자분들께 전송되었습니다.
본인의 정보가 유출되었다는 생각이 드는데 당사로부터 이메일을 받지 못한 경우, https://haveibeenpwned.com/에 방문하여 다른 곳에서 피해가 있었는지 확인하고 필요시 조치를 취하시기 바랍니다.
3- 액세스 보안을 강화합니다.
이번 사건으로 인해 이메일 주소가 노출된 경우 관련 패스워드를 변경하시기 바랍니다. 새로운 패스워드 선택 시 다양한 유형의 문자, 대문자, 기호를 사용하여 보안을 강화하세요.
또한 2FA라고 하는 이중 인증 추가를 강력히 권고드립니다. 이중 인증은 2가지의 증거(최초 패스워드와 또 다른 요소)를 인증 메커니즘에 성공적으로 제시한 후에만 이메일이나 기타 플랫폼에 액세스가 가능한 방식입니다. 이는 SMS를 통해 전송된 코드, 모바일 장치의 알림, 또는 전용 앱을 통해 무작위로 생성된 패스워드가 될 수 있습니다.
수반되는 SIM 스와핑 리스크 때문에 SMS를 통한 2FA 사용을 권장하지 않습니다. Google Authenticator, FreeOTP(오픈 소스 솔루션) 같은 애플리케이션이나 물리적 키를 사용하세요. 또한 Ledger 장치를 활용해 2FA로 계정을 안전하게 보호할 수 있습니다. 다음은 그 방법을 전체적으로 알려 주는 튜토리얼입니다.
마지막으로 보안을 최대로 강화하기 위해 위에 언급한 조치를 추가함과 동시에 이메일 주소 변경을 고려해 볼 수도 있습니다.
4- 절대 몸값을 지불하지 마세요.
안타깝게도 스캐머들의 만행은 갈수록 악화되고 있습니다. 당사는 일부 고객이 스캐머로부터 개인적인 위협까지 받았다는 이야기에 경악을 금치 못했습니다. 신체적 위협을 받는다는 것은 엄청난 스트레스가 쌓이는 끔찍한 일입니다.
그러나, 스캐머들은 돈을 훔치기 위해 가능한 최소한의 노력만을 들이려 한다는 사실을 주지해야 합니다. 피싱 공격을 통해 스캐머들은 신체적 접촉을 수반하는 리스크 없이 많은 수의 고객을 쉽게 공략할 수 있습니다. 해당 데이터베이스는 6월 이후 유출되었으며, 이런 종류의 공격은 일찌기 보고된 적이 없었습니다.
장치에 거대한 액수의 암호화폐를 보관하고 계시는 경우, 집에서 멀리 떨어진 안전하고 접근이 어려운 장소에 보관하는 것이 좋습니다. 보통 집에 수백만 달러를 현금으로 쌓아두지 않는 것과 같은 이치입니다.
또한 절대 몸값을 지불하지 말 것을 당부드립니다. 신체적 안전에 대한 두려움이 있고 위험에 처해 있다고 판단되는 경우, 곧바로 현지 관련 당국에 문의하세요.
5- 부인권
본인이 공격의 대상이 되지않을까 우려스럽다면, Ledger 장치에 두 번째 백업(패스프레이즈)을 추가하는 방식으로 24개의 단어 복구 문구에 보안 계층과 회복력을 추가할 수 있습니다.
그렇게 하면 2개의 복구 문구를 갖게 됩니다. 하나는 일반 계정의 잠금을 해제하고, 다른 하나는 새로운 시드를 생성하고 여기에 설명된 대로, 또 다른 개인 키와 주소를 통해 대체 계정 세트의 잠금을 해제합니다.
따라서 “하드웨어 지갑을 열고 비워야 합니다”라는 메시지 때문에 스트레스를 받는다면 첫 번째 코드를 사용하여 최소한의 자산만 있는 계정을 표시할 수 있습니다. 이렇게 해서 본인의 재정적 손실을 제한할 수 있습니다.
6- 백업의 분산
본인 집에서 갈취를 당하는 끔찍한 일을 사전에 차단하기 위해, 또는 백업을 위한 안전한 장소를 찾을 수 없는 경우, 백업 수단을 두 곳의 서로 다른 장소에 분리해 보관하는 것이 좋습니다. 24개의 단어를 8개씩 세 그룹으로 나눠 3개의 장소에 분산시킬 수 있지만, 이렇게 하면 백업의 분실이나 파손 위험이 커집니다(그중 하나만 분실해도, 게임 끝이니까요).
더 나은 대안은 백업을 세 개로 나누되, 액세스 복구 시에는 두 부분에만 액세스하는 방식입니다.
이는 복잡한 기술이 아니며 이해하기도 쉽습니다.
복구 문구가 “A B C”라고 가정해 보겠습니다(이 예에서는 세 단어만 필요하다고 가정). 그리고 세 장의 종이에 각각 “A B _”, “A _ C”, “_ B C”를 기록합니다. 이 중 아무거나 두 장만 활용해 완전한 “A B C” 문구를 복구할 수 있습니다.
이 온라인 가이드를 통해 24개의 단어 복구 문구를 복원하는 방법에 대한 자세한 정보를 확인하실 수 있습니다.
마지막으로 중요한 점
지금은 우리 모두에게 어려운 시기입니다. 늘 저희 곁에 함께 해주신 고객분들께 감사드립니다. 또한 모든 Ledger 고객분들에게 약속하건데, 당사는 이러한 일이 다시는 발생하지 않도록 불철주야 노력을 아끼지 않을 것이며, 고객의 신뢰에 부합하도록 가능한 모든 최선의 노력을 기울일 것입니다.
우리는 이 힘든 시기에도 하나로 단합하여 문제를 극복해 나갈 것이며 고객에게 개선되고 더 강력하며, 더 안전해진 사용자 경험을 전달할 것입니다.