개인정보 유출 관련 질문과 답변(FAQ)

2020-04-05

Q. 개인정보 유출 관련 안내를 받았습니다. 무슨 일이 발생한 것인가요? 

스타일쉐어는 지난 2020년 4월 4일 오후 9시 30분경 일시적인 서버 접속 장애가 발생하여 원인을 파악하던 중, 외부 접속자가 일부 회원 계정 정보에 접근하였다는 사실을 발견하였습니다. 스타일쉐어는 문제 발견 즉시 모든 외부 침입자의 접속을 차단하고 한국인터넷진흥원(KISA)에 개인정보유출, 해킹사고 신고를 자진 접수하여 조사를 진행 중입니다. 


Q. 그래서 어떤 조치를 취했나요? 지금 제 정보는 안전한 게 맞나요? 

사고 발생 직후, 스타일쉐어는 사용자 여러분의 정보보호를 위해 3중 보안 체계를 구축하는 등 보안 경계를 강화하는 아래와 같은 조치를 취했습니다. 

- 즉시 모든 외부 IP 접속 차단 (4/4 즉시 완료)
- 웹 네트워크 방화벽 설정을 모두 재점검 (4/4 즉시 완료)
- 무차별 로그인 시도 차단을 위해 웹 로그인 화면에 reCAPTCHA 기능 적용 (4/5 오후 2시 적용 완료)
- 한국인터넷진흥원(KISA)에 자진 신고 (4/5 오후 9시 20분 신고 완료)

[4월 12일 업데이트] 첫 공지 이후 더 진행된 과정에 대해 추가적으로 알려드립니다. 

- 한국인터넷진흥원(KISA) 1차 현장 조사 착수 (4/8)
- 경찰청 수사 공식 착수 (금주)


Q. 어떤 정보가 유출된 것인가요? 

현재 외부 접속자에 의해 접근된 정보는 아이디, 사용자가 기입한 이름, 일부 사용자의 생일, 배송지 정보, 성별, 암호화된 이메일 주소, 암호화된 전화번호입니다. 그 정보 중 이메일 주소와 전화번호는 안전하게 암호화 처리되어있어 광고성 메일 또는 보이스 피싱 등의 2차 피해 가능성이 현재로선 매우 낮다는 점을 말씀드립니다. 

그리고 사용자분들의 비밀번호는 암호화하여 별도로 관리하고 있었기에 이번 사고의 유출 항목에 포함되어 있지 않습니다. 또한 민감한 결제 및 금융 정보 역시 모두 안전함을 확인하였으며, 주민등록번호는 자사가 소유하고 있지 않아 유출 가능성이 없습니다. 


Q. 제 정보를 보호하기 위해 제가 취해야 할 조치는 없나요? 

현재까지 이 중 어떤 정보도 잘못 사용되었다는 사실이 확인된 바는 없습니다. 그럼에도 불구하고 생일 정보를 이용하여 비밀번호를 설정하신 경우 비밀번호가 유추될 수 있으므로 그 변경을 권고하여 드리고, 광고성 우편물 등이 발송될 수 있으므로 이를 주의하여 주시기를 요청드립니다.


Q. 정보가 암호화되었다는 것은 무슨 의미인가요? 

고객님의 정보가 있는 그대로가 아니라 컴퓨터가 자동으로 부여한 가상의 숫자와 기호 형태로 변형되어 저장되었다는 것을 뜻합니다. 암호화된 정보는 외부에서 확인하거나 해독할 수 없습니다. 예를 들어 실제 전화 번호가 010-1234-5678라면, 암호화된 정보는 719ahjfioq34gf829!~+;ai와 같이 알아볼 수 없게 표현됩니다. 고객님의 이메일 주소와 전화번호는 SHA 256이라는 안전한 알고리즘을 통하여 암호화되었으며 복호화 키를 가지고 있지 않는 한 원래 이메일 주소나 전화번호를 알아낼 수 없습니다. 해당 암호화를 풀기 위한 암호화 키는 안전하게 보관되고 있음을 확인하였습니다.


Q. 회사에서는 이런 일이 다시 발생하지 않도록 하기 위해 어떠한 조치를 취할 계획인가요? 

스타일쉐어는 기존의 보안 조치 이외에 향후 웹방화벽을 추가로 도입해 허가받지 않은 외부 접근과 웹 공격을 사전에 차단할 수 있도록 보안을 강화하는 기술적 조치를 취할 예정입니다. 저희는 이번 일을 사용자 개인 정보 보호를 더 철저히 하는 계기로 삼으며, 내부 보안 시스템을 지속해서 강화하고 피해 예방에 최선을 다하겠습니다.  


Q. 개인정보 유출로 인한 것으로 추정되는 피해가 발생했을 경우, 어떻게 대처할 수 있나요?

스타일쉐어는 고객님의 개인정보를 소중하게 생각하며 본건 사고로 인하여 고객님의 개인정보가 부당하게 사용되어 피해를 보신 경우, 알려주시면 필요한 조사를 거쳐 적절한 구제 절차를 진행할 수 있도록 하겠습니다. 이번 유출 정보 중 이메일 주소와 전화번호는 높은 보안 수준으로 암호화되어 있어 추가로 문제 발생의 가능성은 현재로선 매우 낮다고 판단하고 있으며,  판단하고 있으며, 현재까지 스타일쉐어 고객님의 어떤 정보가 잘못 사용되었다고 연락을 받은 사항은 없습니다. 

그러나 혹시라도 추후에 개인정보와 관련된 피해를 겪으신다면 바로 저희에게 알려주시거나, 또는 인터넷진흥원 개인정보 피해 접수처를 통해 (https://privacy.kisa.or.kr/counsel/privacy/report_step01.do) 진행하시기를 권유해 드립니다. 


Q. SNS로 스타일쉐어 관리자/검찰청이라면서, 개인정보가 유출됐으니 비밀번호를 바꾸라면서 링크를 보냈어요/개인 정보를 물어왔어요. 

스타일쉐어는 본 건과 관련하여 절대로 사용자 여러분께 비밀번호 변경을 요청하거나 개인 정보를 요구하지 않습니다. 

앞서 말씀드렸듯이 이번 유출 항목 중, 이메일 주소와 전화번호는 강력한 알고리즘으로 암호화되어 있어 따라서 광고성 메일 또는 보이스 피싱 등에 회원님의 정보가 도용될 가능성은 매우 낮습니다. 그러나 이번 건이 언론 등을 통해 알려지면서, SNS에 ‘나도 스타일쉐어 쓰고 있었는데’, ‘스타일쉐어 가입했었는데’ 등의 내용을 남기신 사용자님들을 대상으로 DM·메신저 등을 통한 피싱 시도가 있을 수 있어 당부의 말씀을 드립니다. 

스타일쉐어 이름으로 사용자 여러분께  1)비밀번호 변경을 위한 링크를 보내거나 2)연락처나 배송지 정보를 요구하거나 3)기타 개인 정보 확인을 해오는 모든 연락은 스타일쉐어를 사칭한 피싱 사기 시도로 추측되오니 절대로 응하지 마시길 바랍니다.