보안 관련 소식: 데이터 유출 & 오래된 비밀번호 만료

아이와이어 커뮤니티에 알려드립니다.

아이와이어에서 최근 데이터 유출 사고가 있었습니다. 아이와이어 직원 한 분이 컨퍼런스 참석 중에 랩탑 컴퓨터를 도난당했기 때문입니다. 여러분의 안전을 위해 아래 주의사항을 알려드리며, 여러분께 이런 불편을 끼쳐 드린 것에 대해 먼저 사과를 드립니다.

1) 여러분이 다음 로그인을 할 때, 비밀번호가 만료되었음을 아이와이어가 알릴지 모릅니다. 이 메세지를 보게 되면, 비밀번호를 반드시 다시 설정하고 플레이하시기 바랍니다.

2) 로그인에서 비밀번호 만료에 대한 메세지를 받지 않았다면, 비밀번호 재설정은 선택사항입니다. 더 안전한 보안을 위해 재설정을 권합니다. 그리고 같은 비밀번호를 쓰고 있는 다른 사이트에서도 비밀번호를 변경하시기 바랍니다. (일반적으로 같은 비밀 번호를 여러 웹사이트에서 사용하는 것은 좋은 방법이 아닙니다.)

3) 만일 아이와이어에서 비밀번호나 개인 정보(특히 금융 관련 결제 정보)를 묻는 이메일을 받는다면, 이 메일은 결코 아이와이어에서 보낸 것이 아닙니다. 여러분의 정보를 절대 주지 마시고, support@eyewire.org로 이메일을 보내 저희에게 알려주시기 바랍니다.

이번 일로 인해 여러분의 비밀번호가 유출되지는 않았을 거라 생각되지만, 안전을 위해 위 주의사항 (1)과 (2)를 해주시기를 권합니다. 그리고 이메일 주소와, 채팅 내용(참고: 귓속말(/pm)은 제외), IP 주소가 유출되었을지도 모르기에 주의사항 (3)도 해주시기를 부탁합니다.

무슨 일이 일어났나요?

2016년 2월 11일, 아이와이어 직원 한 분의 랩탑 컴퓨터가 도난당했습니다. 이 랩탑 컴퓨터에는 2015년 중순부터 연말 사이의 어느 시점의 데이터베이스 사본이 있었는데, 이 사본은 아이와이어 플레이어들의 기본적 통계 분석을 위해서였습니다. 암호화되어있던 비밀번호는 사본에서는 지워져 있었습니다(The encrypted passwords were deleted).

랩탑 컴퓨터뿐 아니라 다른 개인 물건들도 없어졌기 때문에, 상황상 랩탑 컴퓨터에 있던 데이터가 도난의 주목적은 아니었다고 보입니다. 랩탑 컴퓨터와 물건을 가져간 사람들이 데이터베이스의 정보를 들여다볼 수 있는 정도의 기술이 있지는 않을 것이라는 뜻이기도 합니다. 그러나, 그런 기술을 가지고 있는 사람에게 랩탑 컴퓨터를 팔 가능성은 있습니다.

나에게 이것은 무슨 의미인가요?

개인 정보가 아래의 방법으로 악용될 수 있습니다.

1. 신상 털기(Doxxing) – 다른 서비스에서 개인 신상 정보를 찾기 위해 아이디, 이메일, IP 주소가 사용될 가능성이 있습니다.
   
2. 피싱(Phishing) – 신용 사기꾼들이 아이와이어 본사에서 보낸 이메일로 가장하여 여러분의 비밀번호와 신용카드 정보를 시도할 수 있습니다. 아이와이어는 이메일로 여러분에게 비밀번호나 신용 카드 정보를 묻는 일은 결코 없습니다. 어떤 개인 정보나 신용 가드 정보를 넣기 전에, 브라우저에서 주소(URL)창을 확인하여 공식적인 아이와이어 웹사이트인지를 반드시 확인하고 기록합니다. 만일 조금이라도 의심이 가는 상황이라면 반드시 support@eyewire.org로 이메일을 통해 알려주시기 바랍니다. 아이와이어에 로그인을 한다면, 로그인 웹페이지의 URL 주소는 항상 https://eyewire.org로 시작합니다. https의 마지막이 ‘s’로 표시되어 안전하게 연결되었다는 것을 확인하세요.
   
3. 다른 곳의 개인 정보와 결합(Combining with other available information) – 만일 과거에 다른 기관의 정보 유출로 그와 관련한 개인 정보가 노출되어 있고 이 정보가 여러분의 아이디 및 이메일과 관련이 있다면, 이번 사고로 인해 가능할지 모르는 정보 유출을 통해 더 자세한 여러분의 개인 정보를 만들어 낼 수 있습니다.
   

그리고 아이와이어에서 예상하지 못하는 다른 방법으로의 공격이 있을 수 있습니다. 일부 페이스북 로그인 사용자들도 아이와이어 서버에 이메일이 저장되어있었기 때문에, 여러분이 이에 해당한다면 이번 일에 영향을 받을 수도 있습니다.

이에 대해 아이와이어는 무엇을 하고 있나요?

저희는 이번 정보 유출에 대해 아주 심각하게 생각하며 대처하고 있습니다. 여러분이 아이와이어에 개인 정보를 주었을 때는 저희를 신뢰한다는 것이었고 이를 위해 항상 최선을 다하고 있습니다. 이번 일로 여러분을 실망하게 해드렸다면, 이런 사고를 앞으로 막기 위해서 저희는 아래와 같은 노력을 더 하게 됩니다.

1. 관련 수사 기관을 통해 도난을 계속 추적하고 있습니다. 랩탑 컴퓨터를 찾게 되면 알려드리지만, 그렇다 하더라도 하드 드라이브의 사본을 만들지 않았다고 확신할 수는 없습니다.
   
2. 아이와이어 데이터는 대부분 (개인 정보에서) 민감한 내용은 없지만, 보호를 위해 아래 사내 통제를 바로 시작합니다.
   
   1. 아이와이어 직원의 개인 컴퓨터에 업무를 위해 데이터베이스가 있는 경우는 반드시 기술 담당 직원이 이를 기록하고 후에 제거합니다. 개인 정보에 관해 민감한 정보가 필요할 때는 사용한 후 반드시 파기합니다. 대부분은 사내 사용하는 컴퓨터에는 데이터가 없으며 아이와이어 서버에만 있습니다.
      
   2. 아이와이어 직원 중에 개인 컴퓨터에서 플레이어 및 다른 사람의 개인 정보를 다루게 되면 반드시 컴퓨터에 비밀번호를 사용하며 하드 드라이브를 암호화합니다.
      
3. SHA1(Secure Hash Algorithm-1, 안전한 해시 알고리즘-1)의 레거시 암호 해시(legacy passwords hashes)는 지워진 상태입니다. 2016년 2월 12일 금요일에 레거시(legacy, 오래전 만들어지고 더는 사용하지 않는) 암호 해시를 모두 현재 운영하는 데이터베이스에서 지웠습니다. 이로 인해 여러분의 비밀번호가 만료되었다면, (위 주의사항(1)에서 알려드린 대로) 비밀번호 재설정을 거치도록 해두었습니다. 지난 1년간 꾸준히 아이와이어에 관심이 있던 플레이어 대부분은 다시 아이와이어에 왔기 때문에(즉, 로그인하였기 때문에) 최소한의 (비밀번호) 삭제 작업이 있었을 것입니다.
   
4. 회사 내부적으로 계속해서 보안이 요구되는 데이터 업무의 중요성을 논의해나갑니다. 사후 작업을 실행하며 사내 모든 직원이 이런 불미스런 사고가 어떤 의미인지, 이런 일이 다시 일어나지 않도록 어떻게 함께 예방할 수 있는지를 확실히 이해하도록 하겠습니다.
   

저희는 아이와이어 보안 절차를 변경할 수도 있습니다.

비밀번호 만료

2014년 9월 19일 저희는 업계 표준의 더 안전한 암호 해시 스킴(password hashing scheme)인 BCRYPT를 사용하기 시작하였습니다. 여러분의 비밀번호는 항상 안전하게 암호화되어 있으며, 저희는 (여러분이 입력하는) 실제적인 비밀번호를 절대 저장해두지 않습니다. 2014년 9월 19일부터 플레이를 하지 않은 플레이어들의 비밀번호는 만료시켰기 때문에, 이에 해당하는 플레이어들은 다음번 로그인을 할 때 비밀번호를 재설정해야 합니다.

저희는 여러분의 비밀번호가 유출되지 않았다고 믿지만, 아이와이어 비밀번호와 같은 비밀번호를 쓰는 다른 계정의 비밀번호를 변경하기를 권장합니다. 아이와이어의 비밀번호를 변경하려면 https://eyewire.org/login에서 이메일 주소나 아이디를 입력하고 그 아래 “잊어버리셨나요?”(한글, 영어에서는 “Forgot?”)를 클릭하여 비밀번호 재설정을 요청합니다. 그러면 여러분의 이메일로 비밀번호를 재설정할 수 있는 링크를 받게 됩니다.

페이스북 로그인을 통해 오는 플레이어들은 페이스북 서버의 비밀번호 기술로 로그인되므로 이번 일에 영향을 받지 않을 수 있습니다. 그리고, 저희는 (페이스북에서) 추가 정보를 가져올 수 있는 인증 토큰(access tokens)은 저장하지 않습니다.

결론

여러분께 이번 정보 유출과 이로 인해 발생할 수 있는 앞으로의 일로 불편을 끼쳐 드린 것에 대해 다시 한 번 더 사과를 드립니다. 그리고 앞으로 더 나아질 것을 약속합니다. 계속되는 참여와 지원에 늘 감사합니다.

아이와이어 본사 & 아이와이어 개발팀에서
William Silversmith, Chris Jordan