사고 정황
2020년 7월 14일, 당사의 바운티 프로그램에 참여하던 한 연구원이 Ledger 웹 사이트에 데이터 침해로 보이는 케이스가 있다고 알려 왔습니다. 당사는 이 연구원의 보고 즉시 해당 침해를 수정하고 내부 조사를 실시하였습니다. 이 사건이 있고 일주일 후인 2020년 7월 25일에 제 3자가 무단으로 당사의 전자 상거래 및 마케팅 데이터베이스에 접근하는 추가적 공격이 있었다는 사실을 발견했습니다. 해당 데이터베이스는 주문 확인 및 판촉 이메일 전송에 사용되는 것으로써 주로 이메일 주소에 해당했으나, 연락처 및 이름, 우편 주소, 이메일 주소, 전화번호 등의 주문 상세 내역이 포함되어 있었습니다. 그러나 귀하의 결제 정보와 암호화폐는 안전하게 관리되고 있습니다.
최대한 투명하게 있는 그대로 사건 정황에 대해 설명드리겠습니다. 제 3자가 무단으로 API 키를 사용해 당사의 전자 상거래 및 마케팅 데이터베이스의 일부에 접근했습니다. 해당 API 키는 비활성화되어 더 이상 액세스가 불가능합니다.
공격 받은 개인정보
연락처 및 주문 상세 내역이 공격을 받았습니다. 주로 고객의 이메일 주소로, 약 백만개에 해당합니다. 당사는 상황을 조사하면서 9500명에 해당하는 고객의 이름, 우편 주소, 전화번호나 주문 상품과 같은 정보가 노출되었음을 확인했습니다. 상황의 엄중함과 고객에 대한 약속을 고려해 당사는 이 상황에 대해 당사의 모든 고객에게 알리기로 결정하였습니다.
세부 개인정보가 노출된 해당 9500명 고객에게는 금일 관련 이메일 공지를 통해 세부적인 내용을 공유할 예정입니다.
전자 상거래 정보와 관련해서는 본 데이터 침해로 인해 노출된 결제 정보나 자격 증명(패스워드)은 없습니다. 단지 고객의 연락처 정보만 영향을 받았습니다.
해당 데이터 침해 사고는 당사의 하드웨어 지갑이나 Ledger Live의 보안 및 귀하의 암호화폐와 관련하여 아무런 영향이나 여파가 없었으며, 귀하의 암호화폐는 그 어떤 위협에 노출되지 않고 안전하게 보호되고 있습니다. 또한 귀하는 통제 권한이 있는 유일한 책임자로서 이러한 정보에 접근 권한이 있습니다.
과거 및 현재 진행 중인 조치
사고가 전자상거래 및 마케팅 관련 연락처 정보로 제한되었고 즉각적으로 수정이 가능했기 때문에 당사의 커뮤니티에 해당 사건과 관련해 통지하기 전에 타사 전문가와 함께 자세한 내부 조사에 착수할 수 있는 시간적 여유가 있었습니다.
7월 17일, 당사는 랑스 데이터 보호 기관인 CNIL에 관련 보고를 하여 개인정보의 수집, 보관 및 사용에 관하여 데이터 개인정보 보호법이 제대로 적용되고 있는지 여부를 확인했습니다. 7월 21일에 당사는 Orange Cyberdefense와 협력하여 해당 데이터 침해 사건의 잠재적인 피해 규모를 산정하고 데이터 침해의 가능성이 있는 케이스를 식별하기 위한 조치를 수행했습니다.
보안 팀과 Orange Cyberdefense의 철저한 조사를 통해 전자 상거래 및 마케팅 데이터베이스가 공격에 노출되었다는 최종 결론을 내리게 되었습니다. 본 기사가 게시될 때 쯤에는 피해를 입은 고객에게 이메일을 통해 이 내용이 업데이트될 것입니다.
당사는 인터넷에 해당 데이터베이스가 판매되고 있다는 증거를 적극적으로 모니터링중에 있으며 현재까지는 그러한 증거는 전혀 발견된 바 없습니다. 당사는 또한 내부 침투 테스트를 실시하였으며, 기존 9월로 예정되어 있던 외부 침투 테스트를 적극 추진하고 있습니다.
뿐만 아니라 원래는 하드웨어와 금고(Vault) 제품에 초점을 두었던 보안 및 조직 프로그램의 범위를 전자상거래로 확장하고 있습니다. ISO 27001에 명시된 요구 사항을 충족을 위한 절차를 밟고 있습니다.
또한 관련 당국에 정식으로 제소하여 사태를 철저히 조사하고 있습니다.
당사 고객의 개인정보 보호를 최대한으로 보장하기 위해 Nano 장치의 컴패니언 앱인 동시에 고객 정보를 전혀 담고 있지 않은 Ledger Live가 신제품 개발 현황에 대한 정보와 트위터, 페이스북 및 링크드인과 같은 소셜 미디어 계정에 대한 주요 연락 창구 역할을 수행하게 될 것입니.
당사의 개인정보 보호 정책과 당사가 고객의 개인정보를 어떻게 활용하고 있는지 알아보려면 여기를 클릭하세요.
가능한 작업
항상 악의적인 스캐머들의 피싱 사기 시도를 염두에 두고 주의를 기울여야 한다는 점을 알려드립니다. 한 마디로, Ledger는 사용자에게 24개의 단어로 이루어진 복구 문구를 절대 요청하지 않습니다. Ledger를 사칭하며 사용자에게 24개의 단어를 묻는 이메일을 받는 경우, 반드시 피싱 사기 시도로 간주해야 합니다.
또한 당사 차원에서 이러한 시도를 막기 위해 최선을 다하고 있지만, 고객에게도 직접 Ledger 아카데미 보안 섹션을 방문하여 일반 보안 원칙에 대해 배울 것과, 특히 피싱 공격과 관련하여 당사가 작성한 글을 읽어볼 것을 권고드립니다.
Ledger 이번 일이 발생한 것에 대해 매우 유감스럽게 생각합니다. Ledger는 프라이버시를 매우 중요하게 여기며, 당사가 운영하는 “버그 바운티 프로그램” 덕분에 이 문제를 바로 발견하고 즉시 해결할 수 있었습니다. 하지만 이러한 상황을 사전에 예방하고 수정하기 위한 Ledger의 모든 노력에도 불구하고, 본 사건으로 인해 불편을 끼쳐드리게 되어 고객분들께 진심으로 사과드립니다.
질문이 있는 경우 당사의 FAQ를 참고하시거나, 추가 정보가 필요한 경우 당사의 고객 지원팀에 직접 문의하시기 바랍니다.
당사의 개인정보 보호 정책과 당사가 고객의 개인정보를 어떻게 활용하고 있는지 알아보려면 여기를 클릭하세요.