620만 명의 회원이 사용하는 온라인 패션 플랫폼 '스타일쉐어'에서 개인 정보 유출 사고가 발생했다.
7일 현재 '스타일쉐어' 피해 규모 파악에 나선 한국인터넷진흥원(KISA)은 "지난 5일 스타일 쉐어 업체에서 피해 신고가 접수돼 조사 중이다"라고 밝혔다.
이어 "신고 접수가 되면 기술 지원을 돕지만 코로나의 영향으로 최소 한 달부터 길게는 몇 달씩 좀 더 걸릴 수 있다"고 말했다.
앞서 지난 6일 스타일쉐어는 '개인 정보 관련 유출 안내 및 사과의 말씀드립니다'라는 공지를 통해 회원들에게 개인 정보 유출 소식을 알렸다.
공지 내용은 "지난 4일 오후 9시 30분에 일시적 서버 접속 장애의 원인을 파악하던 중, 외부 접속자가 일부 회원 계정 정보에 접근했다는 사실을 발견했다"며 "KISA에 의뢰해 조사를 진행 중"이라고 밝혔다.
회사 측은 외부 접속자가 접근한 정보는 아이디, 사용자 이름, 일부 사용자의 생일, 배송지 정보, 성별, 암호화된 이메일 주소, 암호화된 전화번호라고 전했다.
이어 “2차 피해 가능성은 없을 것"이라며 "개인 정보 보호에 관해 불미스러운 일이 발생한 점에 대해 진심으로 사과드린다"고 말했다.
스타일쉐어는 지난 2011년 패션 SNS 사업을 시작해 누적 가입자 수 620만 명을 돌파한 스타일쉐어는 이 같은 성장세를 인정받아 지난해 12월 기술보증기금 예비 유니콘 기업으로 선정됐다.
다음은 스타일쉐어 사과문 전문이다.
개인정보 유출 사고에 관해 안내해 드리며, 사용자 여러분께 깊이 사과드립니다.
안녕하세요, 사용자님. 스타일쉐어입니다.
스타일쉐어는 지난 2020년 4월 4일 오후 9시 30분경 일시적인 서버 접속 장애의 원인을 파악하던 중, 외부 접속자가 일부 회원 계정 정보에 접근하였다는 사실을 발견하였습니다. 스타일쉐어는 문제 발견 즉시 모든 외부 침입자의 접속을 차단하고 한국인터넷진흥원(KISA)에 개인정보유출, 해킹사고 신고를 자진 접수하여 조사를 진행 중입니다.
이번 개인정보 유출 사고로 인해 스타일쉐어를 아껴주신 사용자 여러분께 심려를 끼치게 되어 진심으로 고개 숙여 사과드립니다.
현재 외부 접속자에 의해 접근된 정보는 아이디, 사용자 이름, 일부 사용자의 생일, 배송지 정보, 성별, 암호화된 이메일 주소, 암호화된 전화번호입니다. 그 정보 중 이메일 주소와 전화번호는 안전하게 암호화 처리되어있어 광고성 메일 또는 보이스 피싱 등의 2차 피해 가능성이 없다는 점을 말씀드립니다.
그리고 사용자분들의 비밀번호는 암호화하여 별도로 관리하고 있었기에 이번 사고의 유출 항목에 포함되어 있지 않았으며 안전함을 확인하였습니다. 그럼에도 불구하고 생일 정보를 이용하여 비밀번호를 설정하신 경우 그 변경을 권고하여 드리고, 광고성 우편물 등이 발송될 수 있으므로 이를 주의하여 주시기를 요청드립니다.
사고 발생 파악 직후, 스타일쉐어는 즉각적으로 사용자님들의 정보보호를 위하여 아래와 같은 조치를 취하였습니다.
– 즉시 모든 외부 IP 접속 차단 (4/4 즉시 완료)
– 웹 네트워크 방화벽 설정을 모두 재점검 (4/4 즉시 완료)
– 무차별 로그인 시도 차단을 위해 웹 로그인 화면에 reCAPTCHA 기능 적용 (4/5 오후 2시 적용 완료)
– 한국인터넷진흥원(KISA)에 자진 신고 (4/5 오후 9시 20분 신고 완료)
또한 스타일쉐어는 이후에도 아마존웹서비스(AWS) 웹방화벽(WAF)을 추가 도입해 허가받지 않은 외부 접근과 웹 공격을 사전에 차단할 수 있도록 보안을 강화하는 기술적 조치를 취할 예정입니다.
현재 저희는 관계부처에 기술 조사 분석을 의뢰해 구체적인 유출 경위를 파악하고 문제의 완전한 해결을 위해 최선의 노력을 다하고 있습니다. 이후 조사 과정에서 확인된 사항은 다시 알려드릴 예정입니다.
사용자님의 소중한 개인정보 보호에 관하여 불미스러운 일이 발생한 점 다시 한번 진심으로 사과드립니다. 스타일쉐어는 이번 사안을 사용자 개인 정보 보호를 더 철저히 하는 계기로 삼으며, 내부 보안 시스템을 지속해서 강화하고 피해 예방에 최선을 다하겠습니다.
더욱 안전하게 서비스를 이용하실 수 있도록 노력하는 스타일쉐어가 되겠습니다. 감사합니다.