back

검색

개인정보 유출로 신뢰 잃은 렛저, 집단소송 위기

12월 22일 중국 미디어 8btc에 따르면 유명 암호화폐 하드웨어 지갑 렛저(Ledger)가 개인정보 유출로 집단소송 위기에 놓였다. #레저, 130만개 개인정보 유출 렛저의 고객 정보가 유출된 것은 지난 6~7월경이다. 당시 유출된 고객 정보는 누군가에 의해 유료로 팔리다가 어느 순간 무료 정보가 됐다. 그러던 중 지난 21일 밤 누군가가 레이드포럼(raidforum)상에 27만2853명의 렛저 고객명단과 107만5382명의 이메일 사용자 명단과 정보를 게시하는 일이 벌어졌다. 2020년 7월 한 연구자가 렛저의 취약점에 현상금을 거는 프로그램에 참여하면서 렛저의 보안을 위협할 수 있는 잠재적인 공격 벡터를 발견했는데 이후 이 공격 벡터가 실제 악용된 것이 확인됐다. 뒤이어 렛저는 자신들의 웹 사이트가 공격당했다면서 "승인되지 않은 제3자가 API 키를 통해 자사의 전자 상거래와 시장 데이터 베이스의 일부에 액세스했다"면서 해킹을 시인했다. 보도에 따르면 유출된 정보는 현재 누구나 자유롭게 접속할 수 있기 때문에 피싱 시도 역시 늘어나고 있다. 향후 몇 달 동안 이러한 일이 계속 증가할 것으로도 예상된다. #렛저는 사건의 심각성을 고의로 은폐했나? 렛저 대표는 인터뷰에서 다음과 같이 설명했다. "현재 진행형인 문제를 조사하고 있다. 유출된 내용은 2020년 6월에 발생한 것으로 렛저의 전자 상거래 데이터베이스일 가능성이 있다. 사기꾼들은 이 데이터베이스를 사용해 이메일이나 메신저 등을 통해 피싱 공격을 수행할 것으로 보인다. 당사 고객 지원팀은 그동안 줄곧 트위터를 통해 사용자들에게 문제점을 알리고 질문에 응대하는 한편, 데이터베이스 링크가 포함된 모든 트윗과 레딧(Reddit) 게시물을 파악하고 알리기 위해 노력해왔다. 우리는 모든 사용자에게 니모닉 단어(연상 기호)를 공유하지 말도록 촉구해왔고, 본사는 사용자에 개인 정보 제공을 요청하지 않고 있음에 유념해달라. 2020년 6월 데이터 유출이 발견된 이후 외부 보안 조직과 협력해 포렌식 조사를 진행했다. 조사 결과 9,500명의 개인이 영향을 받은 것으로 확인됐고 렛저 지원 담당자가 영향을 받은 모든 사용자에게 개별적으로 연락을 취했다. 피싱 공격이 시작된 이후 더 많은 정보가 유출 될 것으로 예상되며 트위터와 이메일을 통해 모든 사용자에게 계속 이 문제를 알리고 있다. 우리는 이러한 공격을 막고 향후 이를 방지하기 위해 최선을 다하고 있다. 렛저는 피싱 공격의 피해자가 되지 않도록 사용자를 보호하기 위해 일련의 조치도 취했다. 사용자가 피싱에 빠지지 않고 새로운 공격을 우리에게 알릴 수 있도록 피싱 공격의 구조를 공유하는 웹 페이지(https://www.ledger.com/phishing-campaigns-status)도 만들었다. 우리는 이 상황을 매우 유감스럽게 생각하며 우리 팀은 사기꾼을 막고 커뮤니티의 신뢰를 회복하기 위해 열심히 노력중이다. 우리는 처음부터 이 문제에 대해 공개적이고 투명하게 대처해 왔으며 새로운 문제에도 계속 대응해 나갈 것이다. 우리는 이들 데이터를 계속 분석하고 있고 업데이트 역시 계속 해나갈 것이다." #언제든 발생할 수 있는 '제3자 사용자 정보 저장' 문제 이 상황은 제3자에게 의존해 우리의 정보를 저장하는 것에 대한 문제점을 보여준다. Web3.0의 발전과 함께 Web2.0의 문제는 점점 더 분명해지고 있다. 중앙화된 스토리지의 알려진 위험에도 불구하고 우리는 여전히 데이터를 이들 회사에 맡겨야만 한다. 렛저와 같은 회사는 여전히 구세계와 신세계 사이에서 고군분투하고 있지만 그들은 데이터베이스를 보호하기 위해 영지식 증명과 같은 기술을 구현할 수 없거나 구현할 의지가 없는 것처럼 보인다. 고객 정보 획득에 범죄집단만 열을 올리는 것이 아니다. 유럽에서는 일부 공무원이 스위스은행 고객의 데이터를 사들여 세금 사기 수사 진행을 도운 사례도 있다. GDPR(유럽연합의 개인정보보호 규정)의 엄격한 규제 프레임 워크는 이번 데이터 유출에서 보듯 규범에 그치고 있다. 고객의 데이터 삭제 요청이 무시되거나 존중받지 못하는 경우도 흔하다. 한 렛저 사용자는 "2020년 5월 이 회사에 메일을 보내 주문서에 나오는 나에 관한 모든 데이터를 삭제하도록 요청했다. 나는 이메일에 GDPR을 언급했고 그들은 '문의해 주셔서 감사드리고 최대한 빨리 완료할 것'이라는 회신도 보내왔다. 그러나 이번 정보 유출 소식을 접한 후 교차 검증을 해본 결과, 이메일, 주소, 전화번호 등 나의 개인 데이터가 유출된 것이 발견됐다"고 주장했다. 렛저는 설정한 시간 이후에는 개인 데이터가 자동 삭제되도록 해야 한다. 렛저가 무능한 게 아니라면 이러한 요구 사항을 무시하고 있는 것일까? 아니면 충분히 정직하지 않은 걸까? 이미 벌어진 일은 더 이상 중요하지도 않고 바꿀 수도 없다. 데이터 유출에 대한 치료법은 없으며 유일한 해결책은 예방 밖에 없다. 한편 암호화폐 전문 매체 파이낸스 매그넷츠에 따르면 렛저가 집단 소송 위기에 처한 것으로 나타났다. 지난 6월 고객정보 유출 피해를 입은 사용자 다수가 공개적으로 집단 소송을 준비중이라고 밝힌 상태다.

조인디 logo
j o i n
d

Article Title

  • J loading image
  • O loading image
  • I loading image
  • N loading image
  • D loading image

RE:CENT