피싱 사기에 주의하세요. Ledger는 24개의 단어 복구 문구를 절대로 요청하지 않습니다. 절대 공유하지 마세요. 자세히 알아보기

  1. Ledger 지원
  2. 지원
  3. 주문 및 배송
  4. 법무

(영어/프랑스/스페인/독일) 전자상거래 및 마케팅 데이터 침해 - 자주 묻는 질문

마지막 업데이트:
English Français Español Deutsch

전자상거래 및 마케팅 데이터 침해 - 자주 묻는 질문

7월 14일, 한 연구원이 바운티 프로그램을 통해 당사 전자상거래 및 마케팅 데이터베이스의 데이터 침해 사실을 알려주었습니다. 당사는 즉시 데이터 침해 사항을 수정하고 내부 조사에 착수했습니다. 노출된 데이터에 무단 액세스가 있었음을 확인했습니다. 사용자의 자금은 안전합니다.

12월 20일, 당사는 Ledger 고객 데이터베이스 콘텐츠의 덤핑에 대한 통보를 받았습니다. 여전히 조사를 진행하고 중이지만, 초기 징후를 보면 이전에 발생했던 전자상거래 데이터베이스 침해 관련 콘텐츠일 가능성이 높습니다.

12월 23일, 당사는 당사 전자상거래 서비스 공급자인 쇼피파이로부터 해당사 내부 지원 팀의 부정한 직원이 Ledger를 포함한 고객사 거래 기록을 획득했던 판매자 데이터 사건 관련 통지를 받았습니다.

아래의 자주 묻는 질문에 대한 답변을 확인하고 데이터 침해에 대한 세부사항은 Ledger 블로그 게시물을, 쇼피파이 사건은 이 글을 참고하시기 바랍니다.

내 개인정보(이름, 주소, 전화번호)가 노출되었나요?

7월 침해 사례를 발견 후 당사는 로그를 통해 확인한 바로 개인 정보가 유출되었음이 확인된 9,500명의 고객 모두에게 이메일을 보냈습니다. 해당 시점에 이메일을 수령하지 않은 경우, 귀하의 이메일 주소 외 다른 개인 정보가 유출되었다는 증거는 없습니다.

당사가 12월 20일 데이터 덤핑 사실을 확인한 후, 초기 9,500명의 고객보다 더 많은 고객 집합에서 개인 정보가 노출되었음이 명백해졌습니다. 당사는 해당 그룹의 모든 고객(~272,000명의 개인)에게 이메일을 발송했습니다. 만약 이 세부 개인 정보 그룹에 속해있다면, 2020년 12월 21일 해당 사실을 알리는 구체적인 이메일을 받아보셨을 것입니다.

1월 13일, 당사는 쇼피파이 침해 사건의 영향을 받은 약 292,000명의 고객에게 해당 사실을 알렸습니다. 귀하의 정보가 본 쇼피파이 침해 사건으로 인해 유출되었다면 당시 이메일로 알림을 받으셨을 것입니다. 이메일 제목은 "보안 알림: Ledger가 쇼피파이 데이터베이스 침해 대상에 포함되어 있습니다"이며, 2021년 1월 13일 오후 4시(CET) 경에 발송된 이메일입니다.

2020년 7월 데이터 침해에서는 무슨 일이 있었나요?

공격자는 당사 웹사이트에서 잘못 구성된 타사 API 키를 통해 당사의 전자상거래 및 마케팅 데이터베이스의 일부에 접근하여 고객 연락처 및 주문 데이터에 무단으로 액세스 했습니다.

해당 솔루션 제공사는 누구인가요? 왜 타사에서 고객 데이터를 처리하나요?

Ledger 전자상거래 및 마케팅 팀은 타사 솔루션(Iterable)을 사용하여 ledger.com에서 제품을 구매하거나 뉴스레터를 구독을 위해 가입한 고객의 활동을 분석하고 마케팅 이메일을 전송합니다.

이 문제는 언제부터 일어났나요?

문제가 되고 있는 잘못 구성된 타사 API는 2018년 8월 9일부터 실행되고 있습니다. Ledger가 가지고 있는 증거와 기록을 기반으로 미루어볼 때, 2020년 4월부터 2020년 6월 28일까지 노출 문제가 발생했고 정보가 무단으로 이용당했다고 생각합니다. 

쇼피파이에 무슨 일이 있었나요?

2020년 12월 23일, 당사의 전자상거래 서비스 공급자인 쇼피파이로부터 해당사 지원 팀의 부정한 직원이 고객 거래 기록(Ledger 기록 포함)을 획득했던 판매자 데이터 사건 관련 통지를 받았습니다. 해당 직원은 2020년 4월과 6월에 고객 거래 기록을 불법으로 반출했습니다. 쇼피파이에 따르면 이는 200여 곳의 판매사가 연관되어 있는 2020년 9월에 통보된 사건과 관련이 있지만, 2020년 12월 21일까지 쇼피파이는 Ledger가 해당 공격의 대상이라는 사실을 밝혀내지 못했습니다. 쇼피파이는 이 문제에 대한 조사를 계속하기 위해 디지털 포렌식 전문가를 불러와 상담했으며 캐나다와 미국 모두의 법 집행 기관에 관련 문제를 보고했다고 전했습니다.

포렌식 회사인 Orange Cyberdefense와의 협력을 통해, 당사는 해당 사건이 약 292,000명의 고객에게 영향을 미칠 수 있었을 것이라는 사실을 확인할 수 있었습니다. 데이터베이스는 이전 공격에 노출되었던 데이터와 93%와 유사하지만, 이 침해 내용에는 이메일, 이름, 우편 번호, 제품 주문 및 전화번호를 포함하여 약 2만 개의 새로운 고객 기록이 포함되어 있습니다.

2020년 6월 말 이후 Ledger 제품을 구매하셨거나 Ledger.com 이외의 곳에서 제품을 구매하셨다면, 해당 사건에서 귀하의 개인 정보는 노출되지 않았습니다.

Ledger의 고객 데이터베이스에서 어떤 데이터 유형이 유출되었나요?

두 번의 침해에서 노출된 정보는 전자상거래 및 마케팅 데이터베이스와 관련이 있습니다. 여기에는 이메일, 이름, 성, 전화번호 및 우편 주소와 구입한 제품 유형을 포함하고 있습니다.

여기에 신용 카드 정보는 포함되어 있지 않습니다.

당사는 성, 이름, 전화번호, 우편 번호, 구입한 제품과 같은 대략 292,000개의 개인 정보 기록과 함께 대략 1백만 개의 이메일 주소가 유출되었다는 사실을 알게 되었습니다.

왜 272,000명이 아니라 9,500명의 개인 정보라고 이야기하는 것인가요?

2020년 7월에 작성된 개인 세부 정보(이름, 우편 번호, 전화번호)의 수는 해당 사건으로 영향을 받았다는 증거가 있는 고객이 9,500명이라는 당사가 계약한 제3자 보안 컨설팅 회사의 포렌식 분석을 바탕한 것입니다. 당사는 당시 제공받은 최선의 정보를 이용해 신속하게 대응했습니다. 지금은 공개된 데이터베이스를 통해 약 272,000명의 사용자에 대한 자세한 정보(이름, 우편 주소, 전화번호)가 유출되었음을 확인할 수 있습니다.

데이터 침해는 해결되었나요?

7월 데이터 침해 관련: 7월에 데이터 침해가 발견되자마자, 저희는 이 문제를 당일에 해결하고 해당 API키를 비활성화했습니다.

쇼피파이 데이터 침해 관련: 사건을 인지하고 있었기 때문에, 쇼피파이는 즉시 직원 네트워크 액세스를 일시 중단하고, 직원 노트북을 압수해 디지털 포렌식 전문가를 참여시켜 상담을 받고 조사를 계속 진행했습니다.

당사는 미래에 더 강력한 Ledger 되기 위해 가능한 모든 노력을 아끼지 않고 있습니다. Ledger는 신임 CISO(정보보호 최고 책임자)를 고용하여 이미 강력한 시스템을 더욱 강화하고 있습니다. 이를 시험해보기 위해 외부 보안 업체와의 협력 하에 침투 테스트와 포렌식 분석을 시행했고, 당사 전자상거래 시스템에서 추가 취약점을 발견했습니다. 

당사는 범죄자들을 기소하기 위해 법 집행 기관과 끊임없이 협력하고 있습니다. 프랑스의 데이터 보호 기관에 데이터 침해에 관련 사실을 알리고 전 세계의 다양한 데이터 보호 기관과 협력하고 있습니다.

고객 자금이 영향을 받나요?

아니요. 지불 정보, 인증서(패스워드), 암호화폐는 영향을 받지 않았습니다. 이 데이터 침해는 하드웨어 지갑 및 Ledger Live 애플리케이션에는 아무런 영향을 주지 않습니다. 사용자의 암호화폐는 안전하며 전혀 위험하지 않습니다.

당사의 보안 모델을 사용하면 공격자는 복구 문구 및 개인 키와 같은 하드웨어 장치와 관련한 민감한 정보에 액세스할 수 없습니다. 사용자는 해당 정보를 완전하게 통제하고 액세스할 수 있는 유일한 사람입니다.

은행 계좌 번호, 사회 보장 정보와 같은 "비공개 식별 정보"는 어떤가요?

개인 정보 보호 정책에 명시된 대로 Ledger는 해당 정보를 결코 요청하거나 보유하지 않습니다.

고객 정보는 사내에서 처리하나요? 아니면 타사 업체가 처리하나요?

당사는 개인 정보 보호 정책에 따라 데이터 제어기로써 적용 가능한 계약 및 법적 제도 내에서 사용자 데이터 중 일부를 지불 서비스 제공자(PSP) 인프라, 물류, 기타 서비스 제공자와 같은 제3자 업체에 전송할 수 있습니다. 

몸값 요구가 있었나요?

일부 몸값 요구가 있었다고 알고 있습니다. 동일한 메시지가 이메일과 SMS을 통해 다른 언어로 전송되고 있기 때문에 이것이 또 다른 글로벌 스캠 시도라고 생각합니다. 당사는 전용 페이지에서 관련 광고를 지속적으로 모니터링하고 있습니다.

이 문제를 해결하기 위해 Ledger는 어떤 해결 조치를 취하고 있나요?

  • 당사는 해당 데이터 침해 문제를 즉시 해결했습니다.
  • 내부 및 외부 포렌식 전문가(Orange CyberDefense)와의 협력을 통해 즉시 데이터 침해 조사에 착수했고 제 3자가 고객 데이터에 무단으로 액세스 했음을 발견했습니다.
  • 당사는 프랑스 데이터 보호 기관에 데이터 침해 사실을 통보하고 상황을 업데이트했습니다.
  • 고객에게 이 사실을 통보했습니다.
  • 프랑스 검찰에 공식적으로 형사고소를 하고 새로운 정보를 보내주고 있습니다.
  • 내부적으로 침투 테스트를 실시했으며, 2020년 9월로 예정된 외부 침투 테스트를 적극 추진하고 있습니다.
  • 관련 법률을 계속해서 준수할 수 있도록 데이터 보관 정책에 대한 정기적 내부 감사 계획을 세웠습니다.
  • 원래는 하드웨어와 금고(Vault) 제품에 초점을 두었던 보안 및 조직 프로그램의 범위를 전자상거래로 확장하고 있으며, ISO 27001에 명시된 요구 사항을 충족을 위한 절차를 밟고 있습니다.

해커가 획득한 정보로 2단계 인증(2FA) 조치를 생략할 수 있나요?

아니요. 2FA는 Ledger의 보안 체계와 무관하기 때문에, 당사의 전자상거래 웹사이트는 어떠한 로그인/패스워드 정보도 보유하지 않습니다. 

실제로 물리적 강탈 사실을 보고하는 사용자가 있나요?

당사가 아는 범위 내에서는 없습니다. 과거에도 최근에도 그런 사례는 없었지만 최근 스캠에는 물리적 폭력의 위협도 포함됩니다. 이러한 위협을 받게 될 경우, 즉시 현지 사법 기관에 문의하세요. 또한, 이 페이지를 통해 당사에 위협 관련 사실을 알리고 조사에 참여해 달라고 요청할 수 있습니다. Ledger는 신체적인 공격을 염두에 두고 설계되었습니다. 자신을 보호하고 주변을 경계할 수 있는 방법은 고급 보안 조치 관련 모범 사례를 참고해 주세요. 당사는 전용 페이지에서 캠페인을 지속적으로 모니터링하고 있습니다.

만일의 사태를 염려하는 고객은 고급 보안 조치를 위한 모범 사례를 참조해 주시고, 긴급한 상황에서 잘못된 PIN 코드를 3번 입력하면 장치를 리셋할 수 있다는 사실을 기억해 두시기 바랍니다.

Ledger가 마케팅 및 전자상거래 데이터 침해 관련 공개적 커뮤니케이션을 하기까지 일주일 이상을 기다렸던 이유는 무엇인가요?

당사는 필요한 모든 정보를 확보하고 싶었고, 우선 법률 규정을 따라야 했습니다.

당사는 즉시 해당 문제를 해결하고 위반의 범위를 평가하기 위한 내부 조사에 착수했습니다. 또한, Orange Cyberdefense와 협력하여 침해 범위를 조사했고 7월 24일에 첫 OCD 보고를 받았습니다.

당사는 프랑스 데이터 보호 기관인 CNIL의 적용 가능한 법률에 따라 데이터 침해 사실을 통보했습니다.

Ledger는 GDPR을 준수하나요?

Ledger의 기본적인 GDPR 및 기타 데이터 보호 규정 준수 이상을 목표로 합니다.  데이터 침해를 발견하고 3일 이내에, Ledger는 프랑스 데이터 보호 기관에 해당 사실을 보고하였고, 필요한 정보를 업데이트 받았습니다. Ledger는 다른 데이터 보호 기관과도 공개적으로 협력하고 소통하고 있습니다. 

Ledger의 프라이버시 팀은 고객이 보낼 수 있는 모든 개인정보 관련 질의에 응답하고 대응합니다. 데이터와 관련해 특별한 요청 사항이 있는 경우(액세스, 삭제 등) 여기에 있는 양식을 작성하세요. 

Ledger의 목표는 가능한 한 빨리 고객의 이름, 주소 및 전화번호와 같은 개인 정보를 완전히 삭제하는 것입니다. GDPR이 요구 사항 이상을 목표로, 당사 내부적으로도 타사 공급 업체 에게도 이러한 데이터를 고객에 대한 당사의 의무(고객 주문 이행 등)와 법적 의무(회계 및 법적 의무) 이행에 필요한 최소 기간 동안만 보관하도록 요구하고 있습니다. 보관해야 할 데이터는 더욱 차별화된 환경으로 분리하여 보관합니다. 예를 들어, 고객 주문 제품 배송 후 3개월이 지나면, 이름, 주소, 전화번호와 같은 고객의 전자상거래 주문 정보를 분리된 환경에 보관하기 위해 노력하고 있습니다.

앞으로 내 정보를 보호하려면 어떻게 해야 하나요?

Ledger를 사칭해 복구 문구를 요청하는 피싱 사기 시도를 조심해야 합니다. Ledger Live와 Ledger는 절대 사용자에게 24개의 단어 복구 문구를 요청하지 않으며 문자메시지나 전화를 통해 연락하지 않습니다.

복구 문구의 보안성을 더욱 높이고자 한다면 고급 보안 조치를 위한 모범 사례를 참조해 주시고, 긴급한 상황에서 잘못된 PIN 코드를 3번 긴급 입력하면 장치를 리셋할 수 있음을 기억해 두시기 바랍니다.

사용자 개인 정보 보호를 위한 보안 대책에는 어떤 것이 있나요?

개인정보의 무결성과 기밀성 보장을 위해 당사는 적절한 물리적, 전자적, 조직적 절차를 도입하여 서비스 전반적으로 개인 정보를 안전하게 보호하고 있습니다.
시행된 보안 조치에 대한 자세한 내용은 개인 정보 보호 정책에서 확인하시기 바랍니다.
특히 다음과 같은 보안 절차를 실행하오니 참고하세요:

  • 지불 데이터 보안: 사용자가 Ledger에 신용 카드 정보를 제공하는 경우 이런 정보는 안전한 인터넷 거래 프로토콜(TLS)을 통해 암호화되고 결제 서비스 제공 업체(PSP)로 바로 전송됩니다. 해당 정보는 Ledger 서버에 저장되지 않습니다.
  • 인식 프로그램 및 직원 교육
  • 전송 및 미사용 시 데이터 암호화
  • 정기적으로 데이터 센터 감사
  • 사고 발생시 회복을 위한 데이터 이중화
  • 역할 기반 인증
  • 승인된 직원에 대한 이중 인증
  • 지속적인 시스템 모니터링
  • 업계 표준 보안 평가
  • 독립적인 제 3자 보안 검토 및 침투 테스트
  • 신임 CISO(정보보호 최고 책임자) 고용
  • 최초 침해 이후 200개가 넘는 피싱 사기 웹사이트 중단

Ledger의 전자상거래 사이트에 다른 유사한 문제가 없는 게 확실한가요? 다른 API를 사용하나요?

Ledger는 내부 감사를 실시했고 다른 어떤 문제도 발견하지 못했지만 계속해서 이 문제를 정기적으로 평가하고 있습니다. 또한 정기적으로 외부 침투 테스트를 수행하며, 버그 바운티 프로그램을 통해 다른 IT 보안 연구원이 Ledger에 연락하도록 권장합니다.

5월에 발표된 쇼피파이 데이터 침해가 거짓이라는 것을 어떻게 확신하나요?

Ledger는 유출된 데이터베이스의 샘플에 액세스하여 해당 샘플이 Ledger의 데이터베이스와 일치하지 않는다는 것을 알게 되었습니다. 

해당 데이터 침해가 Amazon 주문, 구체적으로는 청구 및 배송 주소에 어떻게 영향을 주었나요?

해당 데이터 침해는 Amazon 주문을 통한 정보(주문에 대한 이메일, 청구 및 배송 주소 포함)에 어떤 영향도 끼치지 못했습니다.

계속 존재하던 Ledger의 고객에 대한 피싱 공격에 대해 알고 있었나요?

예, Ledger는 전용 페이지에서 광고를 계속 모니터링합니다. 피싱 사기 광고가 업계에서 매우 일반적으로 발생하기에, Ledger는 사용자 교육을 위한 Ledger 아카데미를 설립했습니다. Ledger는 정기적으로 진행하는 캠페인을 통해 사용자에게 피싱 공격의 위험을 상기시키고 항상 주의를 기울이도록 합니다. 또한 악의적인 콘텐츠를 모니터링하고 강제하기 위해 2년 간 브랜드 보호팀 운영했습니다. 

데이터베이스를 손상시킨 대상을 밝혀냈나요? 다른 단서가 있나요?

아니오. Ledger는 당사가 지속적으로 업데이트하고 있는 Orange Cyberdéfense의 독립적인 수사 포렌식 보고로 드러난 최초 증거를 기반으로 프랑스 검찰에 형사고소장을 제출했으며, 수사를 진행 중입니다.

Ledger는 다른 데이터(전자상거래, HW)와 Ledger Live 데이터를 공유하나요?

아니요, 공유하지 않습니다. 

데이터를 정부와 공유하나요?

Ledger는 개인 정보 보호 정책에 명시된 대로 관련 법이 요구하지 않는 한 고객 정보를 공유하지 않습니다.

Ledger의 데이터베이스를 삭제하지 않는 이유는 무엇인가요? 

법적인 이유로, Ledger 고객의 연락처 및 주문 데이터와 관련된 일부 거래 정보를 반드시 저장해야 합니다.

관련 법률로 규정된 데이터 저장 제한 원칙에 따라, 법률, 회계, 세금 또는 기타 규정 준수 보고 요건 충족을 포함하여 적법하고 법적인 목적을 준수하는 데 필요한 시간 이상으로 데이터를 보관하지 않고자 노력하고 있습니다.

Ledger는 데이터 보관에 대한 법적 및/또는 규정상 보관 의무와 관련 시효 기간을 준수하는 데 반드시 필요할 경우, 제한된 액세스 권한으로 사용자의 일부 개인 정보를 필요한 추가 기간 동안 보관할 수 있습니다. 해당 추가 기간이 끝나면 남아 있는 귀하의 개인 정보는 시스템에서 영구적으로 삭제되거나 익명화됩니다.

Ledger의 제품 또는 서비스를 구매한 경우, 프랑스 관련 법률에 규정된 대로 최대 10년 동안 법적, 세금 또는 회계 상의 의무를 준수하기 위해 고객 연락처 세부사항에 첨부된 거래 데이터를 보유할 수 있으며, 관련 프랑스 법령의 시효 기간 동안 Ledger의 권리를 위해서 사용할 수 있습니다(예를 들어, 법원에서 청구를 주장하는 경우).

또한 사용자 질문에 답하고 잠재적인 청구 처리, 범죄 조사에 대한 증거를 보유하기 위해 해당 데이터베이스에 포함된 일부 개인 정보를 보유해야 합니다.

쇼피파이 데이터 침해 사건 이후, Ledger는 데이터 처리 방식을 변경하여 GDPR 원칙을 뛰어넘는 동급 최고 수준의 접근 방식을 채택합니다.

  1. Ledger의 목표는 가능한 한 빨리 고객의 이름, 주소 및 전화번호와 같은 개인 정보를 완전히 삭제하는 것입니다. 당사 내부적으로도 타사 공급 업체 에게도 이러한 데이터를 고객에 대한 당사의 의무(고객 주문 이행 등)와 법적 의무(회계 및 법적 의무) 이행에 필요한 최소 기간 동안만 보관하도록 요구하고 있으며, 보관해야 할 데이터는 더욱 차별화된 환경으로 분리하여 보관합니다. 예를 들어, 고객 주문 제품 배송 후 3개월이 지나면, 이름, 주소, 전화번호와 같은 고객의 전자상거래 주문 정보를 분리된 환경에 보관하기 위해 노력하고 있습니다.
  2. 개인 정보가 표시되는 부분을 최소화하고자 합니다. 예를 들어, 고객에게 발송하는 주문 확인 이메일에서 이름, 주소 및 전화번호를 삭제하여 이 데이터가 전자상거래 이메일 공급자에게 전달되지 못하도록 할 것입니다.
  3. 중요한 보안 및 기술 정보는 Ledger Live를 통해 전달되는 메시지 모델을 구현하고, 이메일과 소셜 미디어는 제품 메시지와 공지사항 전달에만 사용할 예정입니다.
  4. 모든 공급자 및 파트너를 철저히 재평가하여 계속해서 가장 엄격한 기준을 충족할 수 있도록 할 것입니다.

24개의 단어는 데이터베이스에 저장되어 있나요?

아니요, Ledger 고객은 자신의 복구 문구를 직접 전적으로 통제합니다. Ledger는 복구 문구를 결코 요청하지 않습니다. 

Ledger가 전자상거래 데이터를 보호할 수 없다면, 내 자금을 어떻게 보호하고 지켜줄 수 있나요?

이 점은 Ledger가 고객에게 가장 정확하고 적법하게 답변드릴 수 있는 부분입니다. 사실상, Ledger 창립 이래, 당사가 가장 중점을 둔 부분이 바로 보안입니다. 이 업계에서 도약하려면 강력하고 완전한 모니터링과 감사가 가능한 보안 솔루션이 필요하다는 점을 알고 있었기 때문이며, 그런 이유로 당사는 고객에게 업계 최고 수준의 지식을 기반으로 모니터링하는 보안 제품을 제공하고자 최선을 다하고 있습니다.

이러한 데이터 침해는 Ledger 전자상거래 웹페이지 상에서 호스팅되는 잘못 구성된 타사 API키로 인해 발생하는 것으로, 당사의 보안 제품 및 인프라와는 아무런 관련이 없습니다. 그렇다고 해서 이 상황이 심각하지 않다는 의미는 아니며, 해당 데이터 침해가 Ledger 제품의 보안 레벨과 무관하다는 것을 의미합니다.

Ledger 이번 일이 발생한 것에 대해 매우 유감스럽게 생각합니다. Ledger는 프라이버시를 매우 중요하게 여기며, 당사는 "버그 바운티 프로그램" 덕분에 이 문제를 바로 발견하고 즉시 해결했습니다. 하지만 이 상황이 발생하지 않도록 피하고 해결하기 위해 Ledger가 취한 모든 조치와는 무관하게, 이 문제로 인해 불편을 겪은 모든 고객분들께 진심으로 사과드립니다.

이 상황으로 인한 스트레스가 굉장히 심합니다. 제가 무엇을 믿고 안심해야 할까요?

Ledger는 고객의 우려 사항을 잘 이해하고 있으며 이번 일이 발생한 것을 매우 유감스럽게 생각합니다. 데이터 침해와 피싱 공격은 산업 전반적인 문제입니다. 당사는 매일 이 문제를 계속 연구하고 있으며, 프라이버시와 데이터 보안을 매우 중요하게 생각하고 있습니다. Ledger의 버그 바운티 프로그램 덕분에 이 문제를 발견하자마자 즉시 수정했으며 해당 사실을 사용자에게 바로 알리기 위해 노력했습니다. 하지만 이 상황이 발생하지 않도록 피하고 해결하기 위해 Ledger가 취한 모든 조치와는 무관하게 이 문제로 인해 불편을 겪은 고객분들께 진심으로 사과드립니다. 그러나 이 데이터 침해는 하드웨어 지갑 및 Ledger Live 보안에는 아무런 영향을 주지 않습니다.

크립토 케이시(Crypto Casey)가 이 영상 팟캐스트를 통해 이 상황을 잘 요약하고 스스로를 지키는 방법에 대해 잘 설명해주었습니다.  모든 단계를 따라가며 자신과 자신의 암호화폐를 보호하시기 바랍니다. 

사용자의 암호화폐는 안전하며 위험했던 적이 없습니다. Ledger 제품을 신뢰해 주셔서 대단히 감사드리며 앞으로도 Ledger 서비스를 통해 최고 수준의 전문성, 투명성, 대응력을 제공해드리겠습니다.

"ID 도용" 모니터링 서비스를 알고 있거나, 제공하거나 권장하나요?

아니요, 그런 서비스 사용은 권장드리지 않습니다. 그 대신, Ledger를 사칭해 복구 문구를 요청하는 피싱 사기 시도에 대해 인지하고 예방 조치를 취할 것을 권장합니다. Ledger Live와 Ledger는 절대 사용자에게 24개 단어로 구성된 복구 문구를 요청하지 않으며 문자메시지나 전화를 통해 연락하지 않습니다.

복구 문구의 보안성을 더욱 높이고자 한다면 고급 보안 조치를 위한 모범 사례를 참조해 주시고, 긴급한 상황에서 잘못된 PIN 코드를 3번 긴급 입력하면 장치를 리셋할 수 있음을 기억해 두시기 바랍니다.

데이터 침해가 다시는 발생하지 않도록 하기 위해 Ledger는 어떤 노력을 하나요?

이번 데이터 침해로 인해 Ledger는 큰 타격을 입었습니다. 당사에 있어 사용자의 신뢰는 사용자 데이터 이상의 가치를 가집니다. 이런 이유로 Ledger는 데이터 처리 방식을 완전히 바꾸기로 결정했습니다. Ledger는 데이터 처리 방식을 변경하고 있으며 GDPR 원칙을 뛰어넘어 업계 최고 수준의 접근 방식을 취하고자 합니다.

  • Ledger의 목표는 가능한 한 빨리 고객의 이름, 주소 및 전화번호와 같은 개인 정보를 완전히 삭제하는 것입니다. 당사 내부적으로도 타사 공급 업체 에게도 이러한 데이터를 고객에 대한 당사의 의무(고객 주문 이행 등)와 법적 의무(회계 및 법적 의무) 이행에 필요한 최소 기간 동안만 보관하도록 요구하고 있으며, 보관해야 할 데이터는 더욱 차별화된 환경으로 분리하여 보관합니다. 예를 들어, 고객 주문 제품 배송 후 3개월이 지나면, 이름, 주소, 전화번호와 같은 고객의 전자상거래 주문 정보를 분리된 환경에 보관하기 위해 노력하고 있습니다.
  • 개인 정보가 표시되는 부분을 최소화하고자 합니다. 예를 들어, 고객에게 발송하는 주문 확인 이메일에서 이름, 주소 및 전화번호를 삭제하여 이 데이터가 전자상거래 이메일 공급자에게 전달되지 못하도록 할 것입니다.
  • 중요한 보안 및 기술 정보는 Ledger Live를 통해 전달되는 메시지 모델을 구현하고, 이메일과 소셜 미디어는 제품 메시지와 공지사항 전달에만 사용할 예정입니다.
  • 모든 공급자 및 파트너를 철저히 재평가하여 계속해서 가장 엄격한 기준을 충족할 수 있도록 할 것입니다.

이와 같은 절도나 공격은 반드시 조사하거나 기소해야 합니다.  암호화폐가 잘 자리잡기 위해서는 암호화폐 절도에 대한 대가를 반드시 치루도록 해야 합니다.  당사는 이 사건과 관련하여 사법 기관뿐 아니라 민간 조사 기관과도 계속 협력하고 있으며, 더 많은 힘을 보태고자 노력 중입니다.

  • Ledger는 해당 절도의 책임 소재를 찾기 위해 추가적인 사설 조사 인력을 고용하고 다양한 경험과 접근방식을 추가하고 있습니다.  당사는 가능하다면 이 문제에 대해 책임을 져야 할 인물을 찾고, 체포하고, 기소하기 위해 전 세계 사법 기관과 계속해서 협력할 것입니다.
  • Ledger는 합법적으로 취득한 새로운 정보 제공에 대한 바운티(bounty)를 준비하여 Ledger 및 Ledger 고객에 대한 공격에 책임이 있는 사람들의 신분 확인, 체포 및 성공적인 기소를 이끌어 내고자 합니다.  Ledger는 10 BTC가 들어있는 지갑(주소: bc1qshfl9cnyjam64m3c2jpsg23u34z7w0kkwncdsd)을 초기 바운티 저장고로 마련했습니다. 이는 정보를 합법적으로 취득했는지, 새로운 정보인지, 정보가 얼마나 실질적이고, 조사 진전과 책임 있는 개인을 기소하는데 도움을 주었고 해당 기소가 얼마나 성공적인지 등의 요소를 고려하여 Ledger에서 재량으로 판단하고 지급할 계획입니다. 자세한 정보는 여기 당사 바운티 프로그램 이용약관을 따릅니다.
  • Ledger는 이 계획에 대해 업계의 다른 사람들과 협력하려는 의도를 알리고자 합니다.  Ledger는 암호화폐 커뮤니티에서 일어나는 범죄에 반하여 다양한 회사와 개인이 이 바운티 프로그램에 계속해서 자금을 지원하며 동참하도록 권장하고 있습니다.  이 프로젝트에 함께 참여하고 싶은 암호화폐 산업 분야의 다른 회사 CEO들은 즉시 연락 주시기 바랍니다.
전자상거래 및 마케팅 데이터 침해 - 자주 묻는 질문

도움이 되었습니까?