IT's Fun2014.02.18 06:40
킥스타터(Kick Starter, http://www.kickstarter.com)는 수많은 스타트업들이 성공을 위해 거쳐가는 소셜 펀딩(Social Funding) 플랫폼으로 자리잡고 있습니다. 재미있는 아이템과 상업적으로 성공 가능성이 보이는 수많은 아이디어들이 킥스타터를 통해 펀딩을 받고 실제 제품화까지 성공한 사례들이 점점 많아지고 있습니다. 웨어러블(Wearable) 디바이스 분야의 선두주자인 페블 워치(Pebble Watch)는 가장 대표적인 사례이기도 합니다.

그런데 지난주 중반쯤 킥스타터가 해커들의 공격을 받아 개인정보가 유출되는 사고가 발생했습니다. 수요일경 킥스타터는 해킹이 발생한 사실을 인지했고 사고 내용에 대한 조사 및 유출된 정보를 확인한 후 우리나라 시각으로 어제(2월 16일) 새벽에 전체 공지 메일과 공식 블로그를 통해 개인정보 유출 사실에 대한 소식을 전했습니다.

출처 : Banklesstimes (http://goo.gl/TzD4eu)


킥스타터는 그 자신부터가 스타트업으로 시작한 서비스이고 아직까지 작은 기업임에도 불구하고 개인정보 유출에 대응하는 자세는 우리나라의 많은 기업들이 본받아야 할 정도로 체계적이고 신속했습니다. 무엇보다도 이용자들에게 정확한 사실을 알려줌으로써 정보유출에 대한 불안감을 벗어버릴 수 있도록 해주는 모습이 우리나라의 개인정보 유출 사고에서 "절대 그럴리 없다"고 발뺌하는 모습과 무척 대조적이어서 강한 인상을 주고 있습니다.

유출된 개인정보는 아이디와 이메일, 암호화된 패스워드 등으로 알려졌고 펀딩시 사용하고 있는 개인들의 신용카드 정보는 유출되지 않았다고 밝혔습니다. 해킹 사실을 인지한 지난주 수요일 킥스타터는 페이스북 등의 소셜 로그인 정보를 초기화하고 패스워드 암호화 방법을 변경하는 등 즉각적인 조치를 통해 추가적인 정보 유출을 막고 보안 취약점에 대한 보완 조치를 진행했다고 합니다.


이 모든 과정은 킥스타터의 공지메일 및 공식 사과 메일이 발송된 이후 인터넷을 통해 투명하게 처리되고 있으며 중간중간 조치된 내역들이나 사용자들의 질문에 대한 답변을 공식 블로그 포스팅에 지속적으로 업데이트 하면서 불안감을 불식시키고 있습니다. 또한 트위터 공식 계정을 통해서 수많은 질문과 DM 에 대한 답변을 주고 있으며 지속적으로 사용자들과 커뮤니케이션 하려는 모습을 보이고 있습니다.

해커들은 해킹을 통해 돈이 될 수 있는 정보를 빼내기 위해 점점 지능화되고 복잡한 방법을 사용하고 있습니다. 해킹을 원천적으로 막을 수 있다면 좋겠지만 플랫폼이나 시스템의 제로데이(Zeroday) 취약점(발견된지 얼마되지 않아 보완책이 나오지 않은 취약점을 이야기함)을 이용하여 공격하는 경우 이를 막아내는 것은 기업의 입장에서는 쉽지 않은 일입니다.

따라서 이용자들의 정보는 나누고 암호화하여 저장을 해야 하고 행여나 사고가 발생했을 경우 어떤 조치들을 취할 것인지 명확하게 매뉴얼화 되어 있어야 합니다. 킥스타터의 움직임과 대응은 그들이 잘 준비되어 있었다는 것을 보여주고 있기에 우리나라의 개인정보 유출 사고들과 대비하여 개인적으로 큰 불만이 없습니다. 최소한의 정보만을 가지고 있더라도 이런 기민함을 보이는 그들과 우리나라 최고의 금융기관, 인터넷 서비스 기업들의 차이가 너무나도 크다는 것에 왠지 씁쓸함이 느껴집니다.

마이크레딧에서 개인 신용관리 서비스 및 명의도용 차단 서비스 살펴보기 [바로가기]
싸이렌24를 통해 명의도용 방지 서비스 1개월 무료체험 신청하기 [바로가기]




저작자 표시
신고
Posted by 노피디
국민카드, NH농협카드, 롯데카드 등 주요 카드사의 개인정보유출 사태로 나라가 들썩이고 있습니다. 카드사 점유율을 보면 신한카드와 현대카드가 신용판매 금액을 기준으로 1위와 2위를 기록하고 있고 이번에 개인정보유출의 중심에 선 국민카드가 삼성카드와 함께 3, 4위를 다투고 있습니다. NH농협과 롯데카드는 이보다 순위가 낮지만 이번 카드 3사 정보유출에서 카드를 사용하는 사람뿐만 아니라 카드를 해지하거나 탈퇴한 사람들의 정보까지 유출되었다는 점에서 시장점유율 이상의 파장이 예상되고 있습니다.

많은 인터넷 커뮤니티에서는 광고 스팸성 문자가 증가하기 시작한 것 아니냐는 글들이 올라오고 있습니다만 아직까지 유출된 정보가 사용되었다는 증거는 없지만 사람들의 불안감이 더해지고 있다는 이야기로 받아들이면 될 것 같습니다. 신용카드 3사는 오늘 아침 부랴부랴 고객들에 대한 사과 메세지와 대응 방안들을 내놓고 있습니다만 왠지 외국의 정보유출 배상 사례들과 비교해 볼 때 썩 마음에 드는 모습은 아닙니다. 카드 가입자들로부터 많은 이익을 창출한 당사자들의 행동으로 보기에는 좀 많이 아쉽다는 생각이 듭니다.


우리나라는 인구가 그다지 많지 않고 그중에서 신용카드를 발급받을 수 있는 경제 활동 인구를 따지면 3천만명이 채 안되는 것으로 알려져 있습니다. 외국의 정보유출 배상 사례들의 기업을 보면 일단 그 규모가 우리보다는 훨씬 크긴합니다. 사상 최대의 개인정보 유출 사례로 알려져 있는 미국의 TJX (T.J. Maxx) 의 경우 1억건 정도의 개인정보(신용카드, 사회보장번호(SSN) 등)가 유출된 것으로 알려져 있습니다. 작년 연말 개인정보 유출이 확인되면서 언론에도 많이 보도된 미국의 소매점 타겟(Target) 역시 초기 4천만건으로 시작해서 현재 1억건 가까이 될 것으로 추산되고 있습니다.

이런 기업들의 사례와 이번 국민카드, NH농협카드, 롯데카드 개인정보유출 사건과의 차이점은 카드 발급 당사자인 금융기관이 아니라 이들의 서비스를 이용하는 소매점 등 일반 기업이었다는 점입니다. 때문에 타겟, TJX 등은 카드사들로부터도 카드 재발급 등으로 인한 비용 발생분에 대해서도 배상을 해야했고 개인정보 유출에 대한 책임으로 벌금을 내야 했습니다. 타겟이 현재 배상해야 하는 금액은 약 3조 8천억원으로 추산되고 있고 실제 배상과 소송이 진행중인 TJX 의 경우 약 2조 가까운 비용을 지출하고 있는 것으로 알려져 있습니다


타겟(Target) 배상금 3조 8천억 (블로터닷넷) [바로가기]


그런데 우리나라 카드 3사가 발표한 내용을 보면 기가 막힐 노릇입니다. 고작 내놓았다는 안이 고개숙여 사과하는 것과 한달에 300원하는 승인문자 서비스를 1년간 무료로 제공한다거나 2차 피해가 확인되면 그 때가서 보상을 하겠다는 것이 전부입니다. 트위터에서 어떤 기자분이 개인정보 시장에 잠입 취재를 했을 때, 건당 개인정보 단가가 150원이라는 이야기를 올리신 걸 본적이 있습니다. 암시장 개인정보 단가의 두배씩이나 가격을 쳐주는 것이니 고맙게 받아야 하는 것일까요?

해외 사례인 타겟과 TJX 의 경우 유출된 개인정보의 가치를 전문가들이 90~100달러 선으로 산정하곤 합니다. 그들은 개인정보유출에 대한 책임으로 정부에 벌금도 내야했고 개별 금융기관들에 대해 배상도 해야 했습니다. 매년 수조, 수십조의 매출과 수천억의 이익을 창출하고 있다면 당연히 그런 배상을 해야 하는 것이 옳다고 생각됩니다. 우리나라의 카드 3사의 태도를 보면 여전히 자신들의 잘못을 인정한다기보다 어쨌든 상황을 구렁이처럼 넘어가려는 모습이라고 밖에 생각되지 않습니다.

사진출처 : 연합뉴스 (http://news.naver.com/main/read.nhn?mode=LPOD&mid=sec&oid=001&aid=0006709912&isYeonhapFlash=Y)


개인정보 보호 연한이 지난 경우 파기해야 하는데 그렇지 않은 점, 탈퇴한 회원의 정보를 계속 보유하고 있던 점, 파트너들과 협력하여 시스템을 개발하면서 보안에 대한 지침을 제대로 준수하지 않은 점, 그 외에 소비자들에게 끼친 정신적인 피해보상은 굳이 누가 증명하고 소송을 걸지 않더라도 당연히 카드 3사가 알아서 배상하고 보상해야 하는 점이라고 생각합니다. 이번에 사고를 낸 3개 카드사, 아니 그 모태가 되는 금융기관까지 모두 거래를 종결할 생각입니다. 여러분의 생각은 어떠신가요? 

전 금융기관 신용카드, 체크카드 등 발급 이력 확인을 무료로 할 수 있는 곳 (년3회 제한) [바로가기]




  티스토리 홈에 소개가 되었네요. 감사합니다 :-)
저작자 표시
신고
Posted by 노피디
IT's Fun2013.06.23 23:26
중국, 인도에 이어 전세계에서 세번째로 많은 인구를 보유하고 있는 페이스북. 페이스북에서 무려 600만명의 개인정보가 유출되는 사고가 발생했다. 정확히 이야기 하자면 비밀번호라던가 개인의 주민등록번호 (지역에 따라서는 SSN 같은 번호들) 와 같이 예민한 성격의 데이터는 아닌 말 그대로 "개인정보"가 유출된 사고다.

페이스북은 가입 절차에서부터 민감한 개인정보는 수집하지 않고 있다. 다만 전화번호와 같은 조금 민감한 정보들을 일부 다루고 있기는 하다. 이번에 발생한 사고에서 유출되었던 정도들 중, 가장 예민한 정보가 전화번호라고 알려져 있다. 아주 민감한 정보가 없으니 큰 이슈가 되지는 못하겠다고 생각했다. 그런데 뉴스 헤드라인으로만 봤던 이 사고의 피해자중 한명으로 내가 들어갔다는 친절한(?) 페이스북의 이메일을 받고 나니 괜히 기분이 찝찝해져버렸다.

 
뉴스 헤드라인으로만 인지했던 이번 사고의 범위는 대략 이런것 같다. 기술적인 버그로 인해 Download Your Information 기능에 문제가 발생했고 민감한 개인 정보라고 할 수 있는 이메일 주소, 전화번호 등이 내 프로필 옆에 차곡히 정리되어 누출된 것이었다. 문장 하나하나가 고심한 흔적이 보이는 것이, 내 개인 정보를 보았을 것으로 추정되는 사람이 "내 정보를 이미 아는 상태에서 Contacts 업로드를 통해서 올린 정보에 포함되어 있었을수도 있는"이라는 문구때문이다.

이렇듯 국내의 기업들과 마찬가지로 정보 유출에 대해서 자신들의 책임을 최소화 하려는 노려은 참 가상하다. 그런데 이들의 메일은 우리나라 서비스들의 그것보다 믿음직한 이유가 몇 가지 있다. 우선은 빠르게 피드백을 주고 노출된 정보에 대해서 명확하게 알려주었다는 점이다. 노출된 것으로 확인된 정보는 이메일, 전화번호 정도이고 내 경우는 전화번호가 노출되었다는 기술이 되어있다. 그리고 한가지 더, 구체적인 노출 범위로 1명의 사용자에게 노출 되었다고 알려줌으로써 (심지어는 그 사람은 내 친구라면서...) 노출된 것은 참 미안하지만 안심해도 된다는 뉘앙스를 자연스럽게 만들어 내고 있다.

소셜 미디어가 생활의 중심이 된 사회에 사는 구성원이라면 내가 이용하고 있는 서비스가 내 개인정보, 나 자신에 대해서 어떤 생각을 가지고 있는지 알 필요가 있다. 사고는 가능하면 일어나지 말아야 하지만 자신들의 귀책으로 문제가 발생했을 때 얼마나 빠르고 솔직하게 사고의 피해자들에게 사실을 알리고 사과를 구하는 것이 중요한지 생각해 봐야 한다. 페이스북의 사고 수습 방식은 그동안 겪어온 수많은 사고 당사자들에 비해 무척 와닿는 대응이라고 판단된다. 우리나라의 많은 기업들도 페이스북의 사고 대응 방식을 잘 기억해 둘 필요가 있을 것 같다.

숨기려고 한다고 숨겨지는 것은 별로 없다. 잘못은 용서를 구하고 다시는 발생하지 않게 노력하는 모습을 보이는 것이 중요하다. 그리고 빠르게 고객과 소통하고 문제가 된 부분에 대해 솔직하게 이야기 하는 것이 필요하다. 어차피 하루이틀 서비스 운영하고 재화를 공급할 것이 아니라면 빨리 수습하고 책임지면서 더 개선하는 모습을 보여주는 것이 중요한 시대다.

 
- NoPD - 
저작자 표시
신고
Posted by 노피디

티스토리 툴바