2019년 5월 28일 업데이트
최근 플립보드는 사용자 데이터 일부와 관련한 보안사고를 확인해 해결했습니다. 당사는 투명성이 우리 커뮤니티에게 중요하다는 점을 알고 있으며, 조사 과정에서 알아낸 사실, 당사가 취한 조치, 그리고 이에 대해 사용자들이 취할 수 있는 조치에 대해 말씀 드리고자 이 내용을 작성했습니다.
사고 개요
최근 당사는 플립보드 사용자 일부의 계정 정보(로그인 정보 포함)가 포함된 데이터베이스 중 일부에 무단 액세스가 발생했음을 확인했습니다. 이를 발견한 직후 당사는 조사에 착수했으며, 조사 과정에는 외부 보안회사의 도움을 받았습니다. 조사 결과 허가 받지 않은 인물이 2018년 6월 2일 ~ 2019년 3월 23일, 2019년 4월 21일 ~ 4월 22일 사이의 플립보드 사용자 정보가 포함된 데이터베이스에 액세스했고, 해당 데이터베이스를 복제했을 가능성이 있음이 밝혀졌습니다.
사고와 관련된 정보
관련 데이터베이스에는 사용자 이름, 플립보드 사용자명, 암호화되어 보호된 비밀번호 및 이메일 주소 등, 당사의 사용자들의 계정 정보 일부가 있습니다.
플립보드는 보안전문가들이 ‘솔티드 해싱(salted hashing)’이라고 부르는 기법을 활용하여 항상 비밀번호를 암호화해 보호해왔습니다. 비밀번호 해싱의 장점은 비밀번호를 일반 텍스트로 저장할 필요가 전혀 없다는 것입니다. 또한, 각 비밀번호에 대해 고유의 솔트와 함께 해싱 알고리즘을 이용하면, 비밀번호 계산은 실행이 매우 어려워집니다. 2012년 3월 14일 이후에 생성 또는 변경된 비밀번호의 경우, bcrypt라는 기능에 의해 해시 처리되어 있습니다. 사용자가 그 이후에 비밀번호를 변경하지 않았다면 고유의 SHA-1가 부여되어 솔트 및 해시 처리되어 있습니다.
사용자가 플립보드 계정을 제3자 계정(소셜미디어 계정 포함)과 연결한 경우, 해당 데이터베이스에는 사용자의 플립보드 계정을 해당 제3자 계정과 연결하기 위해 이용된 디지털 토큰이 포함되어 있을 가능성이 있습니다. 상기 허가 받지 않은 인물이 사용자의 플립보드 계정과 연결된 제3자 계정(들)에 액세스했다는 증거는 찾지 못했습니다. 예방책으로서, 당사는 모든 디지털 토큰을 교체 또는 삭제했습니다.
강조하자면, 당사는 사용자로부터 사회보장번호 또는 기타 정부에서 발행한 ID, 은행 계좌, 신용카드 또는 기타 금융정보를 수집하지 않으며, 이번 사고에도 이들 정보는 포함되지 않았습니다.
당사가 취한 조치
비밀번호가 암호화되어 보호되고 있으며 사용자의 모든 계정 정보가 영향을 받은 것은 아니지만, 당사는 예방책으로 모든 사용자들의 비밀번호를 재설정했습니다. 기존에 로그인 되어 있는 기기들에서는 계속 플립보드를 이용하실 수 있습니다. 신규 기기를 통해 플립보드 계정에 액세스하는 경우 또는, 계정에서 로그아웃한 이후 다음에 플립보드에 로그인하는 경우, 신규 비밀번호의 생성을 요청 받게 됩니다.
또 하나의 예방책으로, 당사는 모든 제3자 계정과의 연결에 이용되는 토큰의 연결을 해제했으며, 당사 협력업체들과의 협업을 통해 모든 디지털 토큰을 교체하거나 필요한 경우 삭제했습니다.
더불어 향후 재발을 방지하기 위해 당사는 강화된 보안 조치를 실행했으며, 시스템의 보안을 강화하기 위한 추가적인 방법을 지속적으로 모색하고 있습니다. 또한, 수사 당국에도 사고를 통지했습니다.
사용자가 취할 수 있는 조치
귀하는 추가적인 조치 없이 플립보드를 계속 이용하실 수 있습니다. 하지만 다음 번에 계정에 로그인할 때는 플립보드 계정 비밀번호를 업데이트 해야 합니다. 고객지원 페이지(아래에 링크)에서 신규 비밀번호를 생성하는 방법을 확인할 수 있습니다. 귀하가 플립보드에서 사용한 사용자명과 비밀번호를 다른 온라인 서비스에서도 사용했다면 해당 비밀번호도 변경할 것을 권장합니다.
제3자 계정의 내용을 보기 위해 플립보드 계정을 그 계정과 연결하신 경우, 연결을 다시 해야 할 수 있습니다. 당사 고객지원 페이지에서 재 연결 방법도 확인이 가능합니다.
추가 정보
사고가 발생한 것에 대해 매우 유감스럽게 생각합니다. 보다 자세한 정보를 제공하고자 페이지 하단에 사고에 대해 자주 묻는 질문에 대한 응답을 제공해드립니다. 추가적인 도움이 필요하시면, 헬프 센터에서 당사 연락처(Contact Us)를 선택하십시오.
===
자주 묻는 질문
제 플립보드 사용자 정보도 이 사고 대상인가요?
모든 플립보드 사용자들의 계정 정보가 이번 사고와 연관된 것은 아닙니다. 아직 당사는 사고와 관련된 계정을 확인 중이며, 예방책으로 모든 사용자들의 비밀번호를 재설정하고 모든 디지털 토큰을 교체 또는 삭제했습니다.
이번 사고에 관련된 정보는 무엇인가요?
관련 데이터베이스에 포함된 정보는 아래와 같습니다.
- 사용자명
- 해시 처리되고 고유하게 솔트 처리된 비밀번호
- 일부 플립보드 사용자들의 경우, 이메일 주소 및 제3자 계정을 해당 사용자의 플립보드 계정과 연결해주는 디지털 토큰
거의 대부분의 비밀번호는 bcrypt라는 이름의 유틸리티로 해시 처리되어 있습니다. 2012년 3월 14일 이후로 계정에 로그인하지 않았던 플립보드 사용자의 경우, 비밀번호는 SHA-1에 의해 보호되고 고유하게 솔트 처리되었습니다.
사용자가 플립보드 계정을 제3자 계정(소셜미디어 계정 포함)과 연결한 경우, 해당 데이터베이스에는 사용자의 플립보드 계정을 해당 제3자 계정과 연결하기 위해 이용된 디지털 토큰이 포함되어 있을 가능성이 있습니다. 예방책으로서, 당사는 모든 디지털 토큰을 교체 또는 삭제했습니다.
강조하자면, 당사는 사용자로부터 사회보장번호 또는 기타 정부에서 발행한 ID, 은행 계좌, 신용카드 또는 기타 금융정보를 수집하지 않으며, 이번 사고에도 이들 정보는 포함되지 않았습니다.
향후 유사한 사고가 발생하는 것을 예방하기 위해 귀사는 어떤 조치를 취했나요?
향후 재발을 방지하기 위해 당사는 강화된 보안 조치를 실행했으며, 시스템의 보안을 강화하기 위한 추가적인 방법을 지속적으로 모색하고 있습니다. 보안을 위해 구체적인 내용은 공개할 수 없습니다.
해시 처리된 비밀번호란 무엇인가요?
비밀번호를 해시 처리하면 암호화 알고리즘을 통해 임의의 문자로 바뀝니다. 이는 특정 키로 해독할 수 없는 일방 함수입니다. 비밀번호 해싱의 장점은, 비밀번호를 일반 텍스트로 저장할 필요가 전혀 없다는 것입니다. 또한, 각 비밀번호에 대해 고유의 솔트와 함께 해싱 알고리즘을 이용하면 비밀번호 크래킹이 매우 어려워지며 상당한 컴퓨터 자원이 있어야 크래킹이 가능할 수 있습니다.
“bcrypt”란 무엇인가요?
Bcrypt는 비밀번호 크래킹을 막는 더 강력한 보호 장치로 복수의 컴퓨팅을 거치는 블록 암호기법 처리 알고리즘을 이용한 응용 비밀번호 해싱 메커니즘입니다.
비밀번호 솔팅이란 무엇인가요?
해시 처리된 비밀번호에 ‘솔트’를 더하면 무차별 대입(brute force) 공격에 대한 보안 층위가 추가됩니다. 플립보드는 각 사용자마다 고유한 솔트를 사용했습니다.
디지털 토큰이란 무엇인가요?
플립보드 사용자들은 자신의 플립보드 계정을 소셜미디어 및 퍼블리셔 계정 등 제3자 계정과 연결할 수 있습니다. 이 때, 디지털 토큰이 생성됩니다. 디지털 토큰은 특정 사용자의 플립보드 계정과 소셜미디어 계정 간 고유한 연결을 확립해 사용자가 제3자의 콘텐츠를 플립보드에서 볼 수 있도록 해줍니다. 사용자가 플립보드에 있는 내용에 코멘트를 하거나 해당 제3자 계정으로 공유할 수 있는 경우도 있습니다. 이러한 토큰 중 일부가 사고에 관련된 데이터베이스에 포함되어 있어 플립보드는 사용자들의 모든 디지털 토큰을 교체하거나 삭제했습니다. 플립보드 사용자들은 계정을 재 인증하거나 재 연결해 새로운 디지털 토큰을 생성해야만 해당 계정에서 콘텐츠를 다시 볼 수 있습니다.
사고를 언제 발견했나요?
2019년 4월 23일에 당사 엔지니어링 팀은 2019년 3월 23일에 발생했던 의심스러운 행위를 조사하는 과정에서 2019년 4월 21일 ~ 4월 22일 사이에 발생한 무단 행위를 포착했습니다.
사고를 어떻게 알게 되었나요?
당사 엔지니어링 팀은 데이터베이스가 위치한 환경에서 발생한 의심스러운 행위를 포착한 이후에 사고를 알게 되었습니다.
모든 플립보드 사용자 계정이 관련 되었나요?
아닙니다. 모든 플립보드 사용자들의 계정이 이번 사고와 관련된 것은 아닙니다. 하지만 당사는 예방책으로 모든 사용자들의 비밀번호를 재설정했습니다. 플립보드 계정을 보유한 사용자에게는 해당 계정과 연계된 이메일 주소로 플립보드의 이메일 통지가 전달되었습니다. 해당 이메일의 제목은 플립보드 보안 통지’입니다.
얼마나 많은 계정들이 관련되었나요?
총 숫자는 아직 파악 중입니다. 모든 계정이 해당되지 않는다는 사실은 확실합니다.
플립보드에 로그인하기 위해 트위터/구글/삼성/페이스북을 이용하는 경우, 계속 그렇게 해도 되나요?
귀하가 트위터/구글/삼성/페이스북을 이용하여 플립보드에 로그인하는 경우, 계속 그렇게 하셔도 됩니다. 귀하의 비밀번호는 당사 데이터베이스에 저장되지 않으며, 당사는 디지털 토큰을 교체했습니다.
이번 사고를 수사기관에 신고했나요?
예, 수사기관 신고했습니다.
데이터가 관련되었다면, 어떠한 리스크가 있을까요? 신분정보를 도난 당할 수도 있나요?
당사는 사용자로부터 사회보장번호 또는 기타 정부에서 발행한 ID, 지불카드, 은행 계좌, 또는 기타 금융정보를 수집하지 않으며, 이번 사고에도 이들 정보는 포함되지 않았습니다.
귀하가 기타 계정에 사용하는 비밀번호가 플립보드 비밀번호와 동일하거나 유사하다면 예방을 위해 이를 변경할 것을 권장합니다. 모든 비밀번호는 정기적으로 변경해야 하며, 각기 다른 온라인 계정들에 동일하거나 유사한 비밀번호를 사용해서는 안 됩니다.
디지털 토큰을 이용하여 저의 제3자 계정들에 액세스할 수 있나요?
플립보드는 모든 디지털 토큰을 교체 또는 삭제했습니다. 이러한 토큰들은 더 이상 유효하지 않으므로 오용될 수 없습니다. 디지털 토큰이 교체 또는 삭제되기 전에 상기 허가 받지 않은 인물이 플립보드 계정과 연결된 제3자 계정들에 대해 확보했을 수도 있는 액세스는 연결된 계정의 유형 및 해당 사용자가 제3자 계정을 자신의 플립보드 계정과 연결할 때 부여했던 승인에 따라 다르지만 상기 허가 받지 않은 인물이 해당 계정의 메시지 및 게시물을 읽거나 포스팅 했거나, 사용자명, 프로필 정보, 포스팅 및 연결 등 일부 사용자 계정 정보에 접근했을 가능성이 있습니다. 이렇게 액세스해서 새로운 사람과 연결하기 위한 초대를 하는 등 정보를 변경한 경우도 일부 있습니다. 상기 허가 받지 않은 인물이 귀하의 플립보드 계정과 연결된 제3자 계정(들)에 액세스했다는 증거는 찾지 못했습니다.
제 플립보드 계정을 계속 이용해도 안전한가요?
예. 플립보드 계정을 계속 안전하게 이용할 수 있도록 모든 사용자들의 비밀번호를 재설정했으며, 사용자 계정들과 관련된 모든 디지털 토큰을 삭제했습니다.
플립보드 계정에 로그인할 때, 플립보드 계정 비밀번호가 더 이상 유효하지 않을 것입니다. 이메일 주소를 사용해 로그인 하는 경우, 신규 비밀번호를 생성하는 방법 및 소셜미디어와 재 연결하는 방법을 자세하게 설명한 이메일을 보내 드렸습니다.
트위터, 페이스북, 삼성, 또는 구글 계정을 이용해 플립보드에 로그인하는 경우, 로그인 프로세스는 안전하며 비밀번호 변경도 필요하지 않습니다.
비밀번호는 어떻게 재설정하나요?
웹을 사용하는 경우, https://accounts.플립보드.com/에서 비밀번호를 재 설정할 수 있습니다. 비밀번호를 재설정하려면, 해당 플립보드 계정과 연계된 이메일에 접근할 수 있어야 합니다.
모바일기기를 사용하는 경우, 플립보드 앱에서 아래 절차에 따라 비밀번호를 재 설정할 수 있습니다.
Android 폰
- 로그인 페이지에서 Get Started(시작하기)를 선택한 다음 오른쪽 맨 위의 Login(로그인)을 선택하십시오.
- Email(이메일)을 선택하고 귀하의 플립보드와 연계된 이메일 주소를 입력하십시오.
- Forgot username or password?(사용자명 또는 비밀번호를 잊으셨나요?)를 선택하여 Account Help(계정 도움말) 페이지를 열어주십시오.
- Forgot password?(비밀번호를 잊으셨나요?)를 선택하십시오.
- 귀하 계정의 이메일을 입력하십시오.
- Send(전송)를 탭하십시오.
Apple 폰
- 로그인 페이지에서 오른쪽 맨 위의 Login(로그인)을 선택한 다음 Log in with Email(이메일로 로그인하기)을 선택하십시오.
- Forgot password?(비밀번호를 잊으셨나요?)를 선택하여 Account Help(계정 도움말) 페이지를 열어 주십시오.
- Forgot password?(비밀번호를 잊으셨나요?)를 선택하십시오.
- 귀하 계정의 이메일을 입력하십시오.
- Send(전송)를 탭하십시오.
Apple iPad
- Already have an account?(이미 계정이 있으신가요?)를 선택하여 로그인 하십시오.
- Need Help?(도움이 필요하신가요?)를 선택하여 Account Help(계정 도움말) 페이지를 열어 주십시오.
- Forgot password?(비밀번호를 잊으셨나요?)를 선택하십시오.
- 귀하 계정의 이메일을 입력하십시오;
- Send(전송)를 탭하십시오.
Android 태블릿
- Existing account?(사용 중인 계정입니까?)를 선택하고 로그인 하십시오.
- Email을 선택한 다음 귀하의 플립보드와 연계된 이메일 주소를 입력하십시오.
- Forgot username or password?(사용자명 또는 비밀번호를 잊으셨나요?)를 선택하여 Account Help(계정 도움말) 페이지를 열어 주십시오.
- Forgot password?(비밀번호를 잊으셨나요?)를 선택하십시오.
- 귀하 계정의 이메일을 입력하십시오.
- Send(전송)를 탭하십시오.
일정 시간이 지나면 링크가 만료되므로, 반드시 비밀번호 재설정을 빠른 시간 내에 완료하시기 바랍니다. 비밀번호 재설정 링크가 더 이상 유효하지 않으면 비밀번호 재설정 이메일을 다시 보내시면 됩니다. 귀하의 비밀번호를 수시로 업데이트하여 계정 보안이 확실히 유지되도록 하실 것을 권장합니다.
추가적인 도움이 필요하시면, 계정 도움말(Account Help) 페이지의 당사 연락처(Contact Us)를 선택하거나 이 주소로 이메일을 보내주십시오.
제 플립보드 계정을 소셜미디어 계정에 어떻게 재 연결하나요?
플립보드는 사용자들의 모든 디지털 토큰 중 일부가 사고와 관련된 데이터베이스에 포함되어 있었기 때문에 이를 교체 또는 삭제했습니다. 대부분 귀하의 액세스에 영향을 미치지 않겠지만, 귀하가 피드를 보기 위해 연결을 재 설정해야 할 가능성도 있습니다.
아래는 iOS에서 소셜미디어 계정을 플립보드와 다시 연결하는 방법입니다.
1. Following 탭을 누르십시오.
2. Accounts를 선택하십시오.
3. 재 연결하려고 하는 서비스를 선택하십시오.
4. 귀하의 소셜미디어 계정의 로그인 정보를 입력하십시오.
주의: 아이패드에서는 ‘Red Ribbon’ > Following(팔로잉) > Accounts(계정) 순서로 선택하십시오.
아래는 Android에서 소셜미디어 계정을 플립보드와 다시 연결하는 방법입니다.
1. Profile 탭을 누르십시오.
2. Settings를 누르십시오.
3. Accounts를 선택하십시오.
4. 재 연결하려고 하는 서비스를 선택하십시오.
5. 귀하의 소셜미디어 계정의 로그인 정보를 입력하십시오.
주의: Android 태블릿에서는 내 프로필 페이지 > Settings(설정) > Accounts(계정) 순서로 선택하십시오.
귀하의 소셜미디어 계정에서 새로운 세션이 시작됐으니 평상시처럼 다시 이용하시면 됩니다.
추가적인 도움이 필요하시면, 헬프 센터에서 당사 연락처(Contact Us)를 선택하십시오.
제 기타 계정의 비밀번호도 재설정해야 하나요?
귀하의 플립보드 비밀번호는 암호화되어 보호되었습니다. 하지만, 최고 수준의 주의를 기울이기 위해 동일한 로그인 정보를 이용하는 다른 모든 사이트 또는 계정의 비밀번호를 변경하실 것을 권장합니다. 각 사이트 및 계정에 서로 다른 비밀번호를 사용하는 것이 가장 바람직한 방법입니다.
제가 받은 이메일 통지가 플립보드에서 보낸 것인지 어떻게 확인하나요?
귀하가 받은 이메일 통지가 플립보드에서 보낸 것인지 확신할 수 있어야 합니다. 이메일이 발송되는 주소는 security-notification@flipboard.com입니다. 또한, 기존에 다른 회사에서 이와 같은 통지를 발송하는 경우에, 이를 이용하여 속임수로 가짜 웹사이트로 연결하는 링크를 이용(피싱)하거나 신뢰받는 누군가를 사칭해서(사회 공학) 개인정보를 빼내려는 사람들도 있었으니 주의하시기 바랍니다. 당사가 전송하는 이메일에는 첨부자료가 추가되어 있지 않고, 귀하의 정보를 제공하도록 요청하는 내용이 없으며, 링크가 포함되어 있다면 반드시 이 웹페이지로만 연결될 것입니다.