-
킥스타터(Kick Starter), 개인정보 유출에 대응하는 그들의 자세에서 배울점은 무엇일까?IT's Fun 2014. 2. 18. 06:40728x90킥스타터(Kick Starter, http://www.kickstarter.com)는 수많은 스타트업들이 성공을 위해 거쳐가는 소셜 펀딩(Social Funding) 플랫폼으로 자리잡고 있습니다. 재미있는 아이템과 상업적으로 성공 가능성이 보이는 수많은 아이디어들이 킥스타터를 통해 펀딩을 받고 실제 제품화까지 성공한 사례들이 점점 많아지고 있습니다. 웨어러블(Wearable) 디바이스 분야의 선두주자인 페블 워치(Pebble Watch)는 가장 대표적인 사례이기도 합니다.
그런데 지난주 중반쯤 킥스타터가 해커들의 공격을 받아 개인정보가 유출되는 사고가 발생했습니다. 수요일경 킥스타터는 해킹이 발생한 사실을 인지했고 사고 내용에 대한 조사 및 유출된 정보를 확인한 후 우리나라 시각으로 어제(2월 16일) 새벽에 전체 공지 메일과 공식 블로그를 통해 개인정보 유출 사실에 대한 소식을 전했습니다.
출처 : Banklesstimes (http://goo.gl/TzD4eu)
킥스타터는 그 자신부터가 스타트업으로 시작한 서비스이고 아직까지 작은 기업임에도 불구하고 개인정보 유출에 대응하는 자세는 우리나라의 많은 기업들이 본받아야 할 정도로 체계적이고 신속했습니다. 무엇보다도 이용자들에게 정확한 사실을 알려줌으로써 정보유출에 대한 불안감을 벗어버릴 수 있도록 해주는 모습이 우리나라의 개인정보 유출 사고에서 "절대 그럴리 없다"고 발뺌하는 모습과 무척 대조적이어서 강한 인상을 주고 있습니다.
유출된 개인정보는 아이디와 이메일, 암호화된 패스워드 등으로 알려졌고 펀딩시 사용하고 있는 개인들의 신용카드 정보는 유출되지 않았다고 밝혔습니다. 해킹 사실을 인지한 지난주 수요일 킥스타터는 페이스북 등의 소셜 로그인 정보를 초기화하고 패스워드 암호화 방법을 변경하는 등 즉각적인 조치를 통해 추가적인 정보 유출을 막고 보안 취약점에 대한 보완 조치를 진행했다고 합니다.
이 모든 과정은 킥스타터의 공지메일 및 공식 사과 메일이 발송된 이후 인터넷을 통해 투명하게 처리되고 있으며 중간중간 조치된 내역들이나 사용자들의 질문에 대한 답변을 공식 블로그 포스팅에 지속적으로 업데이트 하면서 불안감을 불식시키고 있습니다. 또한 트위터 공식 계정을 통해서 수많은 질문과 DM 에 대한 답변을 주고 있으며 지속적으로 사용자들과 커뮤니케이션 하려는 모습을 보이고 있습니다.
해커들은 해킹을 통해 돈이 될 수 있는 정보를 빼내기 위해 점점 지능화되고 복잡한 방법을 사용하고 있습니다. 해킹을 원천적으로 막을 수 있다면 좋겠지만 플랫폼이나 시스템의 제로데이(Zeroday) 취약점(발견된지 얼마되지 않아 보완책이 나오지 않은 취약점을 이야기함)을 이용하여 공격하는 경우 이를 막아내는 것은 기업의 입장에서는 쉽지 않은 일입니다.
따라서 이용자들의 정보는 나누고 암호화하여 저장을 해야 하고 행여나 사고가 발생했을 경우 어떤 조치들을 취할 것인지 명확하게 매뉴얼화 되어 있어야 합니다. 킥스타터의 움직임과 대응은 그들이 잘 준비되어 있었다는 것을 보여주고 있기에 우리나라의 개인정보 유출 사고들과 대비하여 개인적으로 큰 불만이 없습니다. 최소한의 정보만을 가지고 있더라도 이런 기민함을 보이는 그들과 우리나라 최고의 금융기관, 인터넷 서비스 기업들의 차이가 너무나도 크다는 것에 왠지 씁쓸함이 느껴집니다.
Kickstarter 공식 블로그의 개인정보 유출 관련 사과문 및 업데이트 보기 [바로가기]
2014/01/20 - 국민, NH농협, 롯데카드 개인정보유출 배상과 외국 정보유출 배상 사례를 비교해보면?
2013/06/23 - 페이스북 개인 정보 유출 600만명, 정보의 안전지대는 없는가?
728x90TAG
