알려드립니다.
사이트에 대한 해킹 공격으로 일부 정보가 유출되었음을 확인하였습니다.
회원 여러분께 크나큰 피해를 입히게 된 점 진심으로 사과드립니다.
1. 현재 상황
추가적인 공격은 들어오지 못하고 있지만, 과거에(4~5월경) 웹서버에 악성코드가 삽입되어있었던 사실을 금일 추가로 확인했습니다.
이로 인해서 좀더 심각한 데이터 유출이 있었을 가능성이 있습니다.
유출 가능성이 조금이라도 존재하는 데이터를 찾는데 여력을 기울이고 있습니다.
현재 시점에서 확인된 유출 가능성이 있는 데이터는 아래와 같습니다.
- 회원 아이디
- 이메일 주소
- 회원 비밀번호 : 더쿠는 비밀번호를 암호화하여 데이터베이스에 저장하지만, 악성코드가 삽입되어있던 기간에 별도로 악성코드가 로그인 시도등을 수집했다면 암호화되지 않은 비밀번호를 공격자가 습득했을 가능성도 있습니다.
- 회원 비밀번호 찾기 질문 / 답변
- 생년월일
이중 가장 심각한 피해가 예상되는건 아이디/비밀번호이며 회원님들께선 즉각적으로 더쿠의 비밀번호 변경은 물론, 더쿠외에도 비밀번호를 공유하는 사이트가 있으면 변경하시길 적극 권장드립니다.
또한 혹시 모를 피해를 최소화하기 위해 출처가 확인되지 않는 이메일을 받으실 경우 열람하지 마시고 즉시 삭제 처리해 주시길 당부 드립니다.
2. 향후 대책
더쿠에서는 이번 사고와 관련된 증거를 수집하여 바로 경찰에 수사를 의뢰하고자 합니다.
또한 유출로 인한 추가 피해가 발생하지 않도록 관계기관과 긴밀한 협조를 할 예정입니다.
현재 더욱 보안이 강화된 버전으로의 리뉴얼을 진행중에 있으니 추가 문의사항이 있으시거나 이번 유출로 인해 개인정보 악용으로 의심되는 피해가 발생하신 회원들께서는 문의메일 ( admin@theqoo.net ) 로 문의해 주시길 바랍니다.
이번 유출로 회원 여러분께 심려를 끼치게 된 점 진심으로 사과드립니다.
3. 생년월일 유출에 대한 사과문
전혀 예상치 못했던 생년월일이 유출된점 진심으로 사과드립니다.
이전 공지에서 말씀드린것처럼 본인인증시 사용된 주민번호 및 핸드폰번호는 인증 후 무조건 삭제되는것이 맞습니다.
다만 회원가입 시 연령 제한을 위해 생년월일을 이용했었고 인증이 끝나면 즉각적으로 폐기가 되었어야 했고 폐기가 된것으로 지금까지 알고 있었습니다.
그러나 금일 유출 사고와 관련되어 개발자가 확인하는 과정에서 그 폐기 과정중에 생년월일 폐기 과정이 누락되어 생년월일이 저장되고 있던것을 뒤늦게 확인한 상황입니다.
본인인증 데이터 전체가 유출된 것은 절대 아니며 단순히 삭제해야되는 데이터를 선택하는 개발과정에서 누락된 것입니다.
이를 확인한 즉시 생년월일 데이터는 전부 폐기하였습니다.
더 자세한 해명을 원하는 분이 계셔서 개발덬이 알려준 구체적인 상황을 추가합니다.
1. 더쿠는 XE 라고 하는 CMS 오픈소스 툴을 기반으로 개발되어있는데 거기에는 생일 항목이 원래 기본으로 존재합니다.
2. 더쿠가 본인인증 부분을 추가하면서 기존에 타개발자들이 개발하여 오픈되어 있던 소스를 가져와 더쿠에 맞게 조정해야하는데, 이 타개발자들이 개발해둔 소스 내에 1번항목에서 설명드린 XE에 기본으로 존재하는 생일 항목에 본인인증업체에서 넘겨주는 데이터 중 생년월일 데이터를 가져와 넣는 부분이 있었습니다.
3. 더쿠에 맞게 조정하는 과정에서 이 부분의 소스가 제거되었어야 했는데 개발자의 실수에 의해 제대로 확인이 되지 않고 제거되지 않았습니다.
그러나 더쿠를 책임지는 사람으로서 이러한 부분까지 전부 확인하고 체크했어야 했는데 그러지 못하고 이런 사태를 유발시킨것에 대해
정말 진심으로 사죄의 말씀 드립니다.
지금 말씀하시는 비판들 다 뼈아프게 느끼고 받아들이고 있습니다.
변방의 작은 사이트로 시작해서 점점 커지는 와중에 그래도 많은 고민을 하며 운영해왔다고 생각했지만
정말 안일하게 운영해왔다는것을 다시한번 깨닫게 됩니다.
이번일로 회원님들께 큰 실망을 안겨드려서 정말 죄송합니다.
하지만 사이트가 팔렸다거나 왕덬이 아닌 다른 사람이 운영중이다 이런 얘기는 허위 사실입니다.
사이트가 커지면서 제가 하는 말 한마디 한마디가 너무 파급이 커지다보니 운영자의 모습은 최대한 지우는것이 회원들한테 더욱 편안한 환경이 되리라 생각해서 그동안 드러내고 나서지 않았을 뿐입니다.
도와주는 친구들이 존재하지만 분명 처음부터 지금까지 변함없는 한 사람이 운영중이며 그래서 이렇게 큰 사건이 벌어지게 된 데에 더 할말 없이 죄송한 마음뿐입니다.
현재 다방면으로 유출 데이터를 정확히 분석하기 위해 노력중이며 진심으로 최선을 다하고 있다는 말씀 꼭 드리고 싶습니다.
정말 다시한번 죄송한 말씀 드립니다.
사이트를 대대적으로 리뉴얼을 하기 위한 작업에 착수하였으니 더욱 많은 비판과 의견을 주시면 겸허히 수용하여 더 나아진 더쿠와 운영자의 모습 보여드리겠습니다.
진심으로 사죄의 말씀드립니다.