시장에서 유일하게 독립적으로 인증된 하드웨어 지갑인 Ledger Nano를 비롯한 Ledger 제품은 가장 철저한 보안을 자랑하지만, 범죄자들도 여러 공격 방식을 사용해 Ledger의 고객을 대상으로 한 다양한 피싱 사기 공격을 시도하고 있습니다. 최근에 Shopify는 Shopify 데이터 유출 사고로 인해 Ledger 고객들이 피해를 입었음을 깨닫고 이를 당사에 보고했습니다. 여기에서 해당 사고 내용을 확인하실 수 있습니다.
<TL;DR>
공격자들은 다양한 방식으로 Ledger 데이터에 접근하기 위한 집중 공격을 시도하고 있기에, 보안 태세를 지속적으로 강화해야 합니다. 이는 산업 전반의 문제로 우리 모두가 함께 싸워나가야 하며, Ledger도 보안 공격에 맞서 역할을 다하기 위해 더욱 노력하고 있습니다.
본 블로그 게시물은 2020년 데이터 유출 사고 이후 관련 조치 및 보안 강화를 위한 Ledger의 노력을 고객에게 설명드리고자 작성되었습니다.
- 또한 Ledger의 변경된 고객 데이터 처리 방식도 알려드리려 합니다. Ledger의 목표는 가능한 한 빨리 고객 성명, 주소 및 전화번호와 같은 개인 정보를 완전히 삭제하는 것입니다. Ledger와 타사 파트너는 고객에 대한 의무(고객 주문 이행 등) 및 법률(회계 및 법적 의무 등)을 성실히 이행하는 데 필요한 기간에 한해 고객 데이터 보존 시기를 최소화하고자 노력하고 있습니다. 보관이 필요한 데이터의 경우 한층 엄중히 분리된 환경에서 관리합니다.
- 또한 Ledger Live를 통해 중요한 보안 및 기술적 정보를 전달하는 선제적인 메시지 전송 모델을 도입할 예정입니다. 이메일과 소셜 미디어는 제품 관련 메시지 및 공지사항을 안내하는 용도로만 사용됩니다.
- Ledger는 수많은 추가 리소스를 투입해 Ledger와 Ledger 고객을 상대로 공격을 시도한 일당의 신원을 밝혀내 기소하기 위해 노력하고 있습니다. 일례로, 이들을 성공적으로 체포하고 기소하는 데 중요한 단서를 제공하는 정보에 대한 보상으로 10 BTC의 바운티를 걸었습니다. 다른 기업들도 바운티 프로그램에 동참해 암호화폐 커뮤니티를 보다 안전한 곳으로 만드는 데 일조하기를 희망합니다.
보안 알림: 절대, 24개의 단어를 그 누구에게도 알려주지 마세요. Ledger는 24개의 단어를 고객에게 요청하지 않습니다. Ledger를 사칭해 24개의 단어를 물어보는 사람은 Ledger 직원이 아닌 범죄자입니다. 복구 시드의 24개 단어를 입력해야 하는 유일한 곳은 Ledger Live가 아니라 Ledger Nano임을 명심해 주세요.
<TL;DR>
본 게시물에서 당사의 데이터 침해와 관련한 사고를 최대한 투명하게 설명해 드리겠습니다. 이 문제를 해결하기 위해 Ledger 팀 전체가 최선을 다하고 있습니다. 이 게시물은 사용자의 데이터를 안전하게 관리하고 범죄 집단을 찾아 기소하기 위해 당사에서 취하는 조치에 관해 가능한 많은 정보를 전달하고자 내용이 긴 편입니다.
1- 사고 발생 내용
먼저 간단히 상황의 개요를 설명하겠습니다. 2020년 7월 한 연구자가 당사의 바운티 프로그램을 통해 전자상거래 및 마케팅 데이터베이스와 관련한 데이터 침해 상황을 알려 주었습니다. 당사는 즉시 데이터 침해를 시정하고 내부 조사에 착수했습니다. 조사 결과 악의적인 공격자가 당사의 전자상거래 및 마케팅 데이터베이스에 제 3자의 API 키를 사용해 무단으로 액세스한 것이 확인되었습니다. Ledger와 포렌식 업체인 Orange Cyberdefense는 과학 수사를 진행하여 1백만 개 이상의 이메일 주소와 이름, 주소, 주문 제품 및 전화번호 등 약 9,500명의 고객 기록이 유출된 정황을 밝혀냈습니다. 당사는 즉시(2020년 7월 29일) 고객들에게 해당 사실을 통지했고, 관련 당국과 포렌식 정보를 공유했습니다.
2020년 12월 20일, 유출된 데이터베이스 전체가 포럼에 공개되었습니다. 이 전체 데이터베이스를 확인한 후 이름, 주소 및 전화번호 등 고객 272,000명의 데이터와 1백만 개 이상의 이메일 주소가 유출되었다는 사실을 알 수 있었습니다. 이 사실이 밝혀진 직후(2020년 12월 21일) 당사는 이메일을 통해 해당 피해 사실을 고객들에게 공지하였습니다.
현재 새롭게 공유할 내용이 있습니다. 2020년 12월 23일에 전자상거래 서비스 공급자인 Shopify로부터 공지를 받았습니다. 업체 데이터와 관련한 사고가 발생했고 Shopify 지원팀의 부정한 구성원들이 고객의 트랜잭션 기록을 훔쳤으며, 그중 Ledger의 기록도 포함되었다는 내용이었습니다. 이들은 2020년 4월과 6월, 불법으로 트랜잭션 데이터를 반출했습니다. Shopify에 따르면 이는 2020년 9월에 보고된 사건과도 관련이 있으며, 그 당시 200개 이상의 업체가 피해를 보았지만 Shopify는 2020년 12월 21일까지 Ledger도 이 공격의 대상이었다는 사실을 인지하지 못했다고 합니다. Shopify는 디지털 포렌식 전문가와 변호인단을 투입해 이 문제를 조사했으며 이 사건을 캐나다와 미국의 사법당국에 신고했다고 합니다.
당사는 포렌식 업체인 Orange Cyberdefense와 공조를 통해 이 유출 사건이 약 292,000명의 고객에게 영향을 미친 것으로 판단하였습니다. 데이터베이스는 이전 공격에서 유출된 데이터와 93%가량 유사하지만, 이메일, 이름, 우편 주소, 주문 제품 및 전화번호 등 약 20,000명의 새로운 고객 데이터가 이 데이터 침해 사고에 포함되었습니다.
2020년 6월 말 이후 Ledger 제품을 구매하셨거나 Ledger.com 외의 다른 곳에서 제품을 구매하셨다면, 해당 사건으로 인해 귀하의 개인 정보가 노출되지 않았습니다.
두 번의 공격과 관련하여 자주 하는 질문에 대한 답변은 FAQ 페이지를 참고하시기 바랍니다. 발생한 피싱 공격에 대해 자세히 알고 싶거나 당사 팀에 피싱 공격을 신고하려면 이 페이지를 참조하주세요.
공격이 발생한 기간에 Ledger 하드웨어 지갑과 관련한 피해는 없었으며 고객의 암호화폐 또한 사용자가 24개의 단어를 타인(특히 Ledger를 사칭하는)과 공유하지 않은 이상 안전하게 관리되었습니다. Ledger는 고객에게 해당 정보를 절대 요구하지 않습니다.
2- Ledger가 취한 조치
7월 14일에 밝혀진 데이터 침해 관련
당사는 2020년 7월 14일에 이 사고를 수습했습니다. 또한 2020년 7월 17일, 프랑스 데이터 보호 기관(French Data Protection Authority)에 사건을 보고했습니다. 2020년 7월 20일 Orange Cyberdefense와 공조하여 포렌식을 시작하였습니다. 해당 데이터 침해 사건과 관련해 고객들에게 사실을 알리기 전 Orange Cyberdefense와의 조사를 마무리하고 가능한 한 많은 사실적 정보를 수집하는 노력이 필요했습니다.
2020년 7월 29일, 최종 보고서를 입수한 즉시 전체 이메일 데이터베이스의 고객들에게 이메일을 보냈습니다.또한 29일 당일에 보도자료를 통해 관련 상황을 언론에 알렸습니다. 2020년 8월 5일 프랑스 검찰에 고소장을 제출하였습니다.
당사 고객에 대한 피싱 사기 시도와 관련
최근 몇 달 동안 당사 고객에 대한 활발한 피싱 사기 공격이 확인되었습니다. 당사는 또한 이메일, 당사 웹사이트, Ledger Live, 또한 트위터, 레딧 및 기타 타사 플랫폼을 통해 고객들에게 해당 공격 내용을 적극적으로 공지하고 있습니다. 2020년 10월 22일, 피싱 사기 시도와 관련해 전체 데이터베이스의 고객들에게 이메일을 전송하였습니다. 비즈니스 정보 및 사이버 범죄 전문업체인 Webdrone과 협력하여, 피싱 사기 웹사이트 작성자의 신원을 확인했습니다. 또한 Corsearch와 진행 중인 프로그램에서 등록 대행 기관을 통해 피싱 사기 관련 웹사이트를 신속히 폐쇄하고 있습니다. 현재까지 216개의 사이트가 폐쇄되었으며, 더 많은 피싱 사이트가 폐쇄될 예정입니다.
또한 사내 브랜드 보호팀은 팀 창설 이후 피싱 사기 공격만을 전담하고 있습니다. Corsearch가 당사를 대신해 국제 조사 기구와 협력하고 있습니다. 2020년 12월에 피싱 공격의 구조를 공유하는 특별 페이지를 개설해 사용자가 공격을 파악하고 새로운 공격을 신고하도록 지원하고 있습니다.
또한 Chainalysis 및 기타 기관과 공조해 스캐머들이 사용하는 암호화폐 지갑을 추적하고 있습니다. 범죄 발견 시 적절한 조치(예: 거래소에 출몰할 때 관련 암호화폐 동결)를 취할 수 있도록 사법당국에 신고하겠습니다.
또한 당사는 여러 민간 조사 기관과도 협력하여 공격을 저지르는 개별 세력을 찾아내 추적하고 있습니다. 수집한 모든 단서 및 정보는 관련 당국과 공유됩니다(당사에 신고할 새로운 정보가 있는 경우 아래의 바운티 프로그램을 참조하세요). 당사는 피싱 사기와 관련해 프랑스 검찰에 고소장을 제출한 상태이며 정기적으로 당사와 조사기관이 수집한 정보를 공유하고 있습니다.
이러한 사건들 때문에 Ledger는 작년 이맘때와 비교해 정보 요청이 기하급수적으로 늘어나는 경험을 했습니다. 당사는 고객과 소통을 모두 중요하게 생각하며 모든 고객에게 정확한 정보에 입각한 답변을 드리고자 합니다. 관련 수요를 감당하기 위해 2020년에 더 많은 리소스를 도입했으며 2021년에도 계속해서 도입을 늘려갈 예정입니다. 혹여라도 당사의 고객 지원 서비스가 지연되어 불편을 겪으셨다면 진심으로 사과의 말씀을 드립니다. 당사는 가능한 신속하게 모든 고객에게 응대하고자 최선의 노력을 다하고 있습니다. 이 블로그 게시물과 FAQ를 통해 원하는 답변을 찾으실 수 있기를 바랍니다.
Shopify 데이터 침해 관련
Shopify와 관련한 사고에 대한 조사는 현재 진행 중이며 상황 전개에 대해 고객분들께 업데이트할 것입니다. 현재까지 2020년 12월 26일 프랑스 데이터 보호 기관에 보고가 이루어졌습니다. Orange Cyberdefense와 협력하여 포렌식을 완료한 후 2021년 1월 13일에 이번 사건의 모든 피해 고객들께 이메일을 통해 정보를 공유하였습니다. 당사는 본 사건과 관련해 Shopify 및 검찰과 지속적으로 협력할 것입니다. 또한 FBI와 RCMP가 이끄는 조사가 이미 진행 중입니다. Ledger는 이 사건을 프랑스 검찰에 신고하였으며 부정행위를 저지른 직원을 상대로 기소장을 제출하였습니다. 또한 Shopify와 지속적인 협력을 통해 새로운 내부 프로세스를 수립하고 보안을 강화해 나가고 있습니다.
3- 다음 단계
데이터 침해와 피싱 공격은 산업 전반의 문제입니다. 당사는 매일 이 문제를 해결하기 위해 골몰하고 있으며 이 자리에서 고객 보호 강화를 목표로 하는 새로운 계획의 시작을 공유하고자 합니다.
먼저, 당사는 고객 여러분의 데이터를 보유하지 않는 쪽을 선호합니다. 고객의 신뢰가 데이터 보유보다 더 중요한 가치를 지니기 때문입니다. 직접 Ledger를 통해 제품을 주문하실 경우 당사는 배송을 위해 고객 정보를 수집합니다. 당사는 회계 규정과 법적 의무에 따라 특정 기간 동안 전자상거래 구매 데이터를 보유합니다. 그러나 이러한 데이터 처리 방식을 변경해 GDPR 규정을 뛰어넘는 업계 최고 수준의 접근 방식을 도입하고 있습니다.
- Ledger의 목표는 가능한 한 빨리 고객 성명, 주소 및 전화번호와 같은 개인 정보를 완전히 삭제하는 것입니다. Ledger와 타사 파트너는 고객에 대한 의무(고객 주문 이행 등) 및 법률(회계 및 법적 의무 등)을 성실히 이행하는 데 필요한 기간에 한해 고객 데이터 보존 시기를 최소화하고자 노력하고 있습니다. 보관이 필요한 데이터의 경우 한층 엄중히 분리된 환경에서 관리합니다. 예를 들어, 제품 배송 후 3개월 후에 이름, 주소, 전화번호와 같은 전자상거래 주문 정보를 분리된 환경에 따로 보관하는 것을 목표로 합니다.
- 또한 고객의 개인 정보가 표시되는 부분을 축소할 것입니다. 예를 들어, 고객에게 발송하는 주문 확인 이메일에서 이름, 주소 및 전화번호를 삭제하여 이 데이터가 전자상거래 이메일 공급자에게 전달되지 않도록 하겠습니다.
- 또한 중요한 보안 및 기술적 정보는 Ledger Live를 통해서만 전달하는 선제적인 메시지 전송 모델을 도입할 예정입니다. 이메일과 소셜 미디어는 제품 관련 메시지 및 공지사항을 안내하는 용도로만 사용됩니다.
- 모든 공급자 및 타사 파트너에 대한 철저한 재평가를 통해 해당 업체가 앞으로도 가장 엄격한 기준을 충족할 수 있도록 하겠습니다.
둘째, 이번 사건과 같은 절도 및 피싱 공격은 항상 조사와 기소를 거칠 것입니다. 암호화폐의 발전을 위해 암호화폐 절도에 대한 응당한 처벌이 뒤따라야 합니다. 당사는 이러한 사건과 관련하여 법 집행기관뿐만 아니라 민간 조사기관과도 협력하고 있으며 더 많은 인력을 추가하고 있습니다.
- Ledger는 해당 유출 사건의 책임 소재를 밝히기 위해 추가로 사설 조사 인력을 고용하고, 다양한 경력과 접근 방식을 추가하고 있습니다. 당사는 가능한 경우 이 문제에 책임을 져야 할 당사자를 찾고, 체포하고, 기소하기 위해 전 세계 사법 기관과 지속적으로 협력하겠습니다.
- 당사는 Ledger와 고객에 대한 공격의 책임자의 신원을 확인하여 체포하고 성공적인 기소까지 이끌어 내는 데 기여하는 합법적으로 입수한 새로운 정보를 확보하기 위해 바운티를 설정하고 있습니다. Ledger는 10 BTC가 든 지갑(주소: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc)을 초기 바운티 준비금으로 배정했습니다. 이 바운티는 Ledger의 자유재량에 따라 지출하며 다음과 같은 요소를 고려할 예정입니다. 정보가 합법적으로 확보되었는가? 새로운 정보인가? 해당 정보는 얼마나 중요하며 조사의 진행에 얼마나 도움이 될 것인가? 책임자들을 기소할 수 있는 직접적 증거 능력이 있는가? 해당 기소가 성공적이었는가? 보다 일반적으로, 여기에 명시된 당사의 바운티 프로그램 약관이 적용됩니다.
- Ledger는 업계의 다른 기업들과 협력하여 본 이니셔티브를 추진하려 합니다. Ledger는 암호화폐 커뮤니티에서 일어나는 범죄에 대항하여 다양한 기업과 개인이 이 바운티 프로그램에 자금을 지원하고 동참하도록 권장하고 있습니다. 이 프로젝트에 동참하고자 하는 암호화폐 업계 CEO분들의 신속한 연락을 기다립니다.
이러한 사고가 발생하여 고객들에게 고통과 스트레스를 야기한 데 대하여 매우 유감스럽게 생각합니다. 고객 보안 유지는 Ledger의 미션이며 당사는 이러한 사건을 개인적 차원 및 업무적 차원 모두에서 매우 심각하게 고려합니다. 당사는 24개의 단어가 하드웨어 지갑의 보안을 지키는 유일한 요소가 되지 않도록 지원하는 기술 솔루션을 곧 선보이고, 개인 고객들을 위한 자금 보험도 지원할 예정입니다. 보안 공격은 고객과 고객의 암호화폐를 안전하게 지키는 제품을 개발 및 출시하겠다는 Ledger의 결의를 더욱 견고히 했습니다. 2021년 당사는 흥미롭고 혁신적이며 안전한 제품과 서비스 발표를 앞두고 있습니다. Ledger는 암호화폐 생태계 보호 및 가장 안전한 제품의 개발을 위한 노력을 계속 이어가겠습니다. 이상입니다.
이번 사건이 자신을 보호하기 위한 모든 가능한 조치를 취하고 늘 경계심을 늦추어서는 안 된다는 사실을 다시 한번 되새기는 계기가 되었길 바랍니다. 암호화폐 가치가 올라가고 더 많은 사용자가 암호화폐 생태계에 합류함에 따라 이러한 문제는 계속 주목받을 것입니다. 크립토 케이시(Crypto Casey)는 이 영상과 팟캐스트를 통해 상황을 적절히 요약하고 스스로를 지키는 방법을 잘 설명해 주었습니다. 나 자신과 암호화폐를 안전하게 지키기 위해 모든 조치를 취하시기 바랍니다.
우리는 모두 같은 이유로 이 자리에 있습니다. 바로 암호화폐 및 디지털 자산의 가치와 미래에 대한 오랜 믿음을 가지고 있다는 것입니다. 당사는 매우 중요한 교훈을 얻었고 앞으로도 고객이 Ledger를 신뢰할 수 있도록 부단히 노력하겠습니다. 당사는 겸손함의 가치를 알게 되었고, 그 결과 더욱 강해지고 끈질긴 회복력을 갖게 되었습니다.
감사합니다,
Pascal, Ian, Antoine, Matt, Charles