2019년 2월 보안 문제: FAQ
업데이트 일자: 2019년 2월 14일 오전 1시, 한국 표준 시 기준(본, 2018년 2월 13일 오전 11시, 미 동부 표준시)
(이곳을 클릭하시면 보이는 번역 원문을 번역하였습니다)
무슨 일이 생겼나요?
2019년 2월 8일, 저희 기술팀이 일부 사용자 프로필 데이터에 피해를 입힐 가능성이 있는 보안 문제를 알게 되었습니다. 저희는 즉시 이 문제의 규모와 성격을 파악하기 위해 저희 시스템에 대한 종합적인 검토를 시작하였습니다. 저희 조사를 도와줄 수 있는 타사 전문가를 고용하였으며 이 문제에 관련한 법 집행 기관에 협조하고 있습니다.
지금까지 저희가 조사한 바에 따르면, 인증 받지 않은 단체가 저희 시스템에 접근하여 대략 2018년 7월 5일에 일부 사용자 데이터를 가져간 것으로 보입니다. 저희는 이 문제로 인하여 아래 기록한 바와 같이 사용자가 사용자 프로필을 작성할 때 입력한 특정 정보가 피해를 입었다고 결론을 내렸습니다. 저희 엔지니어들이 저희 플랫폼을 면밀히 지켜보고 있으며, 오늘에까지 금번 문제의 재발에 관한 징후는 없는 것으로 보여집니다.
예방 차원에서, 저희는 모든 사용자의 500px 계정 비밀번호를 재설정하고 있습니다. 데이터 피해 대상자에게 비밀번호 재설정 방법에 대한 설명을 이메일 알림을 통해 제공하고 있습니다.
전 시스템에 걸친 비밀번호 재설정은 현재 위험 가능성이 있는 순서로 우선순위를 매겨 전체 사용자에게 진행중이며, 저희는 이미 모든 MD5 암호화 비밀번호에 대해서는 재설정을 진행하였습니다.
어떤 형태의 사용자 데이터가 피해를 입었나요?
- 500px에 입력한 성과 이름
- 귀하의 500px 사용자명
- 여러분의 500px 로그인에 연관된 이메일 주소
- 단방향 암호화 알고리즘을 사용하여 해시화된 귀하의 비밀번호의 해시
- 입력한 귀하의 생년월일
- 입력한 귀하의 나라, 주/도, 도시
- 입력한 귀하의 성별
제가 피해를 입었다는 것을 어떻게 알 수 있나요?
2018년 7월 5일이나 그 전에 가입한 500px의 사용자라면, 귀하는 피해를 입었습니다.
저희는 현장 및 모바일 알림뿐 아니라 이메일을 통하여 모든 사용자에게 금번 사항에 대하여 알려드리고 있습니다. 하지만, 피해를 입은 사용자의 명수에 따라 귀하께 보내지는 알림이 다소 지연될 수 있습니다.
귀하께서 직접적으로 피해를 입으셨는지 아닌지에 관계없이, 관련된 개인 신상 정보의 성격으로 볼 때, 귀하께 이 문제에 대해 의식하실 수 있도록 알림을 드리니 금번 문제의 결과로 일어날 수 있는 피싱, 스팸, 그리고 다른 정보 악용의 위험으로부터 보호할 수 있는 조치를 취할 수 있습니다. 저희는 귀하의 500px 계정 비밀번호와 같거나 비슷한 비밀번호를 사용한 다른 웹사이트 혹은 앱의 비밀번호를 바꾸는 것을 권장해 드립니다.
비밀번호 재설정에 대한 이메일을 아직 받지 못하였습니다
저희는 현재 위험 가능성 여부에 우선순위를 매기어 저희 전체 사용자 기반에 알림을 보내고 있습니다. 하지만, 피해를 입은 사용자 수에 따라 최소 하루가 소요될 것으로 보입니다. 사용자는 다양한 시간에 각자의 비밀번호를 재설정 하라는 프롬프트를 포함한 이메일 알림을 받게 될 것입니다. 아직 이메일을 받지 못하셨더라도, 아직 비밀번호를 바꾸지 않으셨다면 비밀번호 재설정을 하시길 권장해 드립니다.
과거 500px로부터 전송된 이메일을 스팸 표시하셨다면, 이메일 알림을 받지 못하셨을 것입니다. 안타깝게도 이 문제의 경우 저희 편에서 처리할 수 있는 사항이 아닙니다(스팸으로 보이는 이메일을 사용자가 받지 않도록 하는 것과 같은 경우). 대신에, 500px.com으로부터 전송된 이메일을 화이트리스트 처리하여 이메일 서비스 제공자로부터 다시 전송 받을 수 있습니다. 본 과정은 귀하께서 사용하는 이메일 제공자에 따라 다를 것입니다.
이미 비밀번호를 재설정하였습니다. 다시 재설정을 해야 하나요?
2019년 2월 12일 오후 5시, 한국 표준 시 기준(본, 2월 12일 오전 3시, 미 동부 표준시)으로 비밀번호를 재설정한 경우, 비밀번호를 다시 재설정할 필요가 없습니다. 하지만, 비밀번호를 재설정하고 싶으신 경우, 여기서 비밀번호를 재설정하실 수 있습니다.
보안 문제에 대하여 언제 처음 알게 되었나요?
2월 8일에 저희 기술팀이 잠재적인 보안 문제를 알게 되었으며, 바로 그 즉시 조사를 시작하였습니다.
이 문제를 해결하기 위해 어떤 대응이 이루어 졌나요?
- 관련된 개인 신상 정보의 성격으로 볼 때, 저희는 이미 모든 MD-5 암호화 비밀번호를 재설정하였으며, 전 시스템에 걸친 비밀번호 재설정이 진행 중입니다.
- 저희 서버, 데이터베이스, 그리고 다른 민감한 데이터 저장 서비스에 대한 접근을 점검하고 있습니다.
- 보안 문제로부터 보호하기 위해 저희 공공 외부 및 내부 소스 코드를 추적 관찰해 왔으며, 계속 관찰을 이어가고 있습니다.
- 저희 웹사이트, 모바일 앱, 내부 시스템, 그리고 보안 프로세스를 더욱 더 안전하게 하기 위하여 사이버 보안의 최고 전문가와 협력하고 있습니다.
- 내부 소프트웨어 개발 과정을 수정중입니다.
- 네트워크 인프라 업그레이드를 진행중입니다.
2월 8일에 침해 사실에 대하여 알았다면, 왜 저는 그 사실에 대하여 지금 막 듣게 된 것이죠?
침해 사실에 대한 자세한 사항을 확인하기 전에 사용자 분들께 정확한 정보 제공을 보장해 드릴 수 있는 것이 중요했습니다. 관련된 개인 신상 정보의 성격, 저희의 주 관심사, 그리고 이런 이유로 확실하게 하고자 하는 우선 순위에 따른 저희 활동은:
1) 저희 시스템이 지켜지도록;
2) 사용자의 데이터가 더 이상의 계정 침해 및 무인증 접근으로부터 지켜지도록;
3) 사용자에게 공식적인 연락을 통해 정확한 정보가 보내지도록 하는 것이었습니다.
위험 가능성에 따라 우선순위를 매겨 현재 전체 사용자 기반 알림을 보내고 있습니다. 하지만, 피해를 입은 사용자 수에 따라 금번 작업은 최소 하루가 걸릴 것으로 보여집니다. 비록 금번 침해 사건이 2018년 7월 5일 이후 등록한 사용자에게는 영향을 끼치지 않지만, 저희는 저희 사용자의 보안을 확실히 하기 위한 가능한 예방책을 무엇이든 다 실시하고자 합니다.
어떤 데이터가 넘어가지 않았나요?
이번 경우에, 귀하의 계정에 대한 무인증 접근의 조짐이 없었으며, 결제를 하셨거나, 혹은 다른 민감한 신상 정보가 담긴 신용 카드 정보(저희 서버에 저장되지 않음)와 같은 사용자 프로필과 관련된 다른 데이터가 피해를 입은 증거는 보이지 않았습니다.
사법 당국에 이 사안을 알렸나요?
저희는 사법 당국에 이 사안에 대하여 알렸으며, 이에 더하여 조사 및 추후 이루어질 조치를 도와줄 수 있는 보안 회사를 고용하였습니다.
이와 같은 일이 재발생 되지 않을 것을 어떻게 믿을 수 있나요?
앞으로 저희는 귀하의 데이터를 안전하게 유지하기 위한 보안 조치를 계속 강화할 것이며, 금번 유형의 사건의 재발을 방지하기 위한 추가 조치를 시행하고 있습니다.
저희 네트워크 인프라도 계속 업그레이드하고 있습니다. 지난 12개월 동안, 저희는 저희 네트워크 인프라에 대한 대규모 업그레이드에 착수했는데, 이 프로젝트는 완성에 가까워졌습니다. 보안에 있어 괄목할 만큼 성장한 모습도 보여드릴 수 있을 것입니다.
제가 소셜 계정(구글+, 페이스북)로 로그인하면, 제 비밀번호가 여전히 등록되어 있는 것 아닌가요?
외부 소셜 플랫폼에서 가입한 사용자일 경우, 여전히 비밀번호를 입력할 수 있으며, 저희는 구글+, 페이스북, 혹은 소셜 가입 비밀번호를 저장하지 않습니다. 소셜 계정을 통해 로그인하실 때, 저희는 저희 서버에 저장된 세션 토큰을 받습니다. 세션 토큰이 만료되면, 귀하의 소셜 계정에 그때마다 새로운 토큰을 저희에게 보내주시길 요청 드립니다.
제 500px 계정을 삭제하고 싶습니다.
귀하의 500px 계정 삭제는 귀하의 정보가 금번 사항으로 인하여 침해되었든 아니든 영향을 끼치지 않음을 유념해 주시길 바랍니다. 계정 삭제 단계는 여기서 확인이 가능합니다:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
저희의 개인정보보호정책에 따라, 특정한 법률상의 의무를 준수할 필요가 있을 시 귀하의 데이터를 보존할 수 있습니다.
500px에서 어떻게 제 모든 데이터 사본을 받을 수 있나요?
500px는 귀하께 이메일을 통해 귀하의 데이터 파일 모음을 보내드릴 수 있습니다. help@500px.com 에 요청을 해 주시면, 저희 팀이 이메일 수신을 확인하여 72시간내 데이터 요청을 이행해 드립니다.
비밀번호 재설정 이메일을 받지 못했습니다.
저희가 귀하의 비밀번호를 무효화한 경우, 500px에 비밀번호로 로그인할 때 즉시 비밀번호를 재설정하라는 메시지가 표시됩니다. 다음 며칠 후 가능한 한 빨리 피해를 입은 사용자에게 연락을 드립니다.
이메일의 링크가 작동하지 않습니다.
저희가 귀하의 비밀번호를 무효화한 경우, 500px에 비밀번호로 로그인할 때 즉시 비밀번호를 재설정하라는 메시지가 표시됩니다. 가급적 빨리 하시길 권해 드립니다.
왜 반드시 비밀번호를 재설정해야 하나요/왜 로그인을 할 수 없나요?
저희가 비밀번호 보안 조치를 마련하는 동안, 귀하의 신상 정보를 보호하기 위한 추가적인 단계가 필요합니다. 예방 조치로써, 저희는 모든 사용자가 각자의 500px 계정 비밀번호 재설정을 해주시길 요청하고 있습니다.
왜 제게 이메일 및 링크가 여러 번 왔나요?
500px로부터 메시지 혹은 비밀번호 재설정 프롬프트를 여러 번 받으셨을 수도 있습니다. 모든 저희 사이트 사용자가 이 사건을 알 수 있도록 하기 위하여 모든 예방책을 취하고 있기 때문입니다.