본문 바로가기

주저리주저리/IT이야기

플립보드 해킹

반응형

플립보드 커뮤니티 여러분,
사용자 데이터 일부와 관련하여 최근 당사가 확인 및 해결한 보안 사고에 대해 여러분에게 알려드리기 위해 이 서신을 보냅니다. 당사는 투명성이 우리 커뮤니티에게 중요하다는 점을 알고 있으며, 조사 과정에서 알아낸 사실, 당사가 취한 조치, 그리고 여러분이 취할 수 있는 조치에 대해 말씀 드리고자 합니다.
어떤 일이 발생했는가
최근 당사는 일부 플립보드 사용자들의 계정 크리덴셜을 포함하는 계정 정보가 담긴 당사 데이터베이스 중 일부에 무단 접근이 발생했음을 확인했습니다. 이를 발견한 직후에 당사는 조사에 착수했으며, 이를 위해 외부 보안회사를 고용했습니다. 이러한 조사를 통해, 인가되지 않은 한 사람이 2018년 6월 2일 ~ 2019년 3월 23일, 2019년 4월 21일 ~ 4월 22일 사이의 플립보드 사용자 정보가 포함된 일부 데이터베이스에 접근하여 이를 복제했을 가능성이 있음을 밝혀냈습니다.
어떠한 정보가 관련되어 있는가
이와 관련된 데이터베이스에는 귀하의 이름, 플립보드 사용자명, 암호기법으로 보호된 비밀번호 및 이메일주소가 포함되었을 가능성이 있습니다.
플립보드는 보안전문가들 사이에 “솔티드 해싱(salted hashing)”으로 알려진 기법을 활용하여 항상 비밀번호를 암호기법으로 처리하여 보호해왔습니다. 비밀번호 해싱의 장점은, 비밀번호를 일반 텍스트로 저장할 필요가 전혀 없다는 것입니다. 또한, 각 비밀번호에 대해 고유의 솔트와 함께 해싱 알고리즘을 이용하면, 손쉽게 해싱된 비밀번호를 알아낼 수 없으며 이는 상당한 컴퓨터 자원을 필요로 합니다. 귀하가 비밀번호를 2012년 3월 14일 이후에 생성 또는 변경하신 경우, 비크립트라는 기능에 의해 해시 처리되어 있습니다. 그 이후에 비밀번호를 변경하지 않으신 경우, 고유의 SHA-1에 의해 솔트 및 해시 처리되어 있습니다.
또한, 귀하가 플립보드 계정을 제3자 계정(소셜미디어 계정 포함)과 연결한 경우, 그 데이터베이스는 귀하의 플립보드 계정을 해당 제3자 계정과 연결하기 위해 이용된 디지털 토큰을 포함했을 수 있습니다. 상기 비인가 인물이 귀하의 플립보드 계정과 연결된 제3자 계정(들)에 액세스했다는 증거는 찾지 못했습니다. 예방책으로서, 당사는 모든 디지털 토큰을 교체 또는 삭제했습니다.
중요한 점은, 당사는 사용자들로부터 사회보장번호 또는 정부가 발행한 기타 ID, 은행계좌, 신용카드, 또는 기타 금융정보를 수집하지 않으며 이번 사고에 상기 정보가 포함되지 않았다는 사실입니다.
당사가 취한 조치
예방책으로서, 비밀번호들이 암호기법을 통해 보호되고 있었으며, 모든 사용자들의 계정 정보가 영향을 받은 것은 아님에도 불구하고 당사는 모든 사용자들의 비밀번호를 재설정했습니다. 귀하는 기존에 로그인되어 있는 기기들에서 계속 플립보드를 이용하실 수 있습니다. 귀하가 신규 기기를 통해 플립보드 계정에 액세스하는 경우, 또는 귀하 계정에서 로그아웃한 이후 다시 플립보드에 로그인하는 경우, 신규 비밀번호의 생성을 요청 받게 됩니다.
또 하나의 예방책으로, 당사는 모든 제3자 계정과의 연결에 이용되는 토큰을 차단했으며, 당사 협력업체들과의 협업을 통해 모든 디지털 토큰을 교체하거나 삭제했습니다(해당되는 경우).
추가적으로, 이와 같은 일이 향후에 발생하는 사태를 방지하기 위해, 당사는 강화된 보안 조치를 실행했으며, 시스템의 보안을 강화하기 위한 추가적인 방법을 지속적으로 모색하고 있습니다. 또한 법률집행기관에도 통지했습니다.
귀하가 취할 수 있는 조치
귀하는 추가적인 조치 없이 플립보드를 계속 이용하실 수 있습니다. 하지만 귀하가 다음 번에 계정에 로그인할 때, 플립보드 계정 비밀번호가 업데이트되어야 함을 알게 되실 것입니다. 당사 지원 페이지(아래에 링크)에서 신규 비밀번호의 생성 방법에 대한 설명을 보실 수 있습니다. 또한, 귀하가 플립보드를 위해 생성했던 것과 동일한 사용자명과 비밀번호를 기타 온라인 서비스에서 사용하고 계시다면, 그 비밀번호도 변경하실 것을 권장합니다.
제3자 계정의 내용을 보기 위해 귀하의 플립보드 계정을 그 계정과 연결하신 경우, 일부 경우에는 재연결이 필요하다는 통지를 보게 될 수 있습니다. 당사의 지원 페이지에는 해당 방법에 대한 설명도 나와 있습니다.
추가 정보를 원하시는 경우
이러한 사고가 발생한 것은 매우 유감스러운 일입니다. 추가 정보, 그리고 자주 묻는 질문에 대한 응답을 제공하기 위해, 이 사고에 대한 세부 내용이 포함된 지원 페이지[

반응형