이메일 개인 정보 이슈: 사건 발생 경위 및 후속 조치

비트멕스는 이번 주말에 발생한 이메일 유출에 대해 우려하는 많은 분들이 계시며 이에 대해 수 많은 문의사항이 뒤따르는 것에 대해 인지하고 있습니다.

전세계 비트멕스 고객지원팀은 24시간 내내 귀하의 계정 보안을 유지하고 비트멕스를 정상화시키기 위해 노력하고 있습니다. 저희 고객지원팀은 이미 다수의 사용자에 대한 지원 작업을 완료했으며, 모든 사용자에게 지속적으로 지원을 제공하고 있습니다. 이는 논리적으로 결함이 없고 긴급한 우려 사항을 해결하기 위한 시차를 둔 처리 과정입니다. 귀하께서 아직 비트멕스로부터 연락을 받지 못하셨다면, 빠른 시일 내에 별도의 연락이 도착할 것입니다.

이번 이슈로 인해 여러분들께 불편을 끼쳐드려 진심으로 송구하다는 사과의 말씀을 전합니다. 아래에서는 사건 발생 경위와 후속 조치 그리고 귀하 계정의 보호를 위한 몇 가지 방법에 대한 추가 정보를 안내해드리겠습니다.

사건 발생 경위

11월 1일 금요일 06:00 UTC에 다수의 사용자들이 “수신자::” (“To::”)필드에 타 사용자의 이메일 주소가 포함된 비트멕스 이메일을 받았습니다. 이것은 비트멕스 지수 가중치 변경사항에 관한 일반적인 업데이트 메일이었습니다.

그 결과, 다수의 비활성화된 이메일 주소를 포함한 비트멕스 사용자의 이메일 주소가 소규모로 타 사용자에게 공개되었습니다. 이를 제외한 다른 정보는 유출되지 않았습니다.

비트멕스는 국제적 기업으로 수많은 다른 이메일 공급자에게 이메일을 발송합니다. 이메일 수신 가능성은 그 자체로 많은 문제를 갖고 있으며, 발신자 평가 시스템 및 스팸 필터링을 개발하는데 수 십년 간의 작업이 요구됩니다. 유감스럽게도, 이와 같은 현상은 비트멕스의 업무를 어렵게 했습니다: 당사에서는 특정한 경우에 한해서 사용자들에게 대량 이메일을 발송합니다. 비트멕스에서는 정보의 유용성을 최대로 유지하기 위하여 오직 필요한 경우에 한해 이메일을 발송하고 있습니다.

11월 1일에 발표한 지수 변경은 아주 중요한 사항이었습니다. 위 변경사항은 당사의 모든 상품의 가격에 영향을 줄 수 있기 때문에 저희는 이를 모든 사용자들에게 안내해야 한다고 판단했습니다. 하지만, 이와 같은 전세계적인 규모의 대량 메일 발송은 어렵고 복잡한 작업이기 때문에 모든 수신자에게 전달되는 것이 쉽지 않습니다. 특히 세계적 브랜드인 Yahoo 및 163와 같은 몇몇 메일 서버의 경우, 매우 엄격한 관리 시스템으로 인해 당사에서 대용량의 메일 발송 시 종종 문제가 촉발되었습니다. 출금, 비밀번호 재설정 및 청산과 같은 시스템 알림을 위해서 사용자는 안정적인 메일 수신이 필요합니다.

해결방안으로 당사에서는 중요 이메일의 렌더링, 번역, 스테이징을 처리하고 해당 이메일을 조금씩 나누어 발송하는 (비율 한도를 초래하지 않음) 사내 시스템을 구축했습니다. 비트멕스는 2017 이후 동시에 모든 사용자들에게 이메일을 발송한 적이 없으며, 그 이후로 많은 것이 변했습니다. 당사에서 이메일 발송을 계획할 때, 작성을 완료하기 위해 10시간의 시간이 소요되며 또한 비트멕스 팀은 모든 사용자들이 동일한 정보를 합당한 기간내에 수신하는 것을 목표로 하고 있습니다.

이를 처리하기 위해, 단일 SendGrid API call들을 1,000개 주소 단위로 보내도록 시스템을 정정했습니다. 송구스럽게도, 시간제약으로 인해 정상적인 품질 보증 과정을 거치지 않았습니다. 이것은 API call이 “수신자::” (“To::”)필드 및 고객 이메일 주소 유출과 같은 일반적인 연쇄활동을 일으킬 수 있다는 것을 바로 알아차리지 못하게 했습니다. 당사에서는 이 사실을 인지하자마자 추가 이메일이 발송되는 것을 즉시 차단하고 근본 원인을 해결했습니다. 그 이후로 당사는 최선을 다해 영향을 받은 모든 사용자들을 지원하고 추가 유출을 방지하기 위해 노력했습니다.

비트멕스는 기술을 매우 중요시하는 회사이며, 부주의로 인하여 모든 사용자들에게 원치 않는 정보를 공개하게 된 것에 진심으로 유감을 표합니다. 당사에서는 엔지니어가 아닌 프로세스에 문제가 있다고 생각합니다. 당사의 프로세스에 결함이 있었던 것으로 확인됩니다. 당사는 24시간 내내 해당 프로세스를 개선하고 있으며, 가장 단순한 코드 변경조차도 철저한 검토를 받을 수 있도록 최선을 다하고 있습니다.

또한, 이 작업과 관련이 없는 개인이 비트멕스 트위터 계정에 접근했습니다. 해당 계정은 6분내에 비트멕스의 제어 하에 다시 확보되었고 현재 해당 사건은 보안팀의 관리감독 중 입니다.

이메일 개인 계정 정보는 절대 포함되지 않았음을 말씀 드리며, 당사의 핵심 시스템은 노출된 적이 없음을 알려 드립니다.

영향을 받은 사용자

 대부분의 비트멕스 사용자는 아래 제시된 방법에 따라 이메일 노출에 대해 자가 진단을 해볼 수 있습니다:

  • 지수 변경에 대한 이메일을 수신하였으며, “수신자::” (“To::”) 필드에 이메일이 표시된 경우: 아무런 영향을 받지 않습니다.
  • 지수 변경 이메일을 수신하였으며, “수신자” (“To”) 필드에서 복수의 수신자를 본 경우: 영향을 받습니다.
  • 지수 변경 이메일을 받지 못했지만 본 이메일을 수신한 경우: 영향을 받았을 가능성이 있으므로 온라인 상 계정 보호 기능을 향상시키기 위해 아래의 방법대로 조치를 취할 것을 권장드립니다. 시스템이 완전히 완성되기 전에 차단되었지만 많은 수신자가 비트멕스 이메일을 스팸으로 표시하기 시작했습니다. 이로 인해 실제로 일부 호스트에서 전송 문제가 발생하여 메일이 전송되지 않았습니다. 유감스럽게도, 귀하의 이메일 주소가 포함된 이메일을 수신한 누군가가 귀하의 이메일 주소를 유출할 가능성도 있습니다.
  • 스팸 보고를 위한 전송 문제로 인해 일부 후속 비밀번호 재설정이 몇 시간 동안 지연되었습니다. 비트멕스 운영 팀은 11월 2일 06:00 UTC로 이 문제를 해결했습니다.

당사 후속조치

 해당 내용을 발견 한 후 비트멕스의 전 직원은 밤낮으로 사용자의 위험을 완화하기 위해 노력하고 있습니다. 당사는 많은 사용자가 다수의 서비스에서 이메일 주소를 재사용한다는 것을 인지하고 있습니다. 이것은 암호를 재사용하는 경향과 결합하여 많은 사용자가 다른 플랫폼의 암호 해시 덤프로 인해 위험에 처했을 수 있음을 의미합니다.

이러한 이유로 당사는 사용자에게 개인정보 이슈에 대해 공지한 후 다음과 같은 조치를 취했습니다:

  • 당사의 보안 및 지원 팀은 해당 노출 후 의심스러운 활동이 감지되는 계정을 분류하기 위해 접속 유형 모니터링을 강화했습니다. 이로 인해 다수의 계정 암호가 재설정되고 지원팀에서 검토를 진행했습니다.
  • 13:00 UTC에 일반적인 출금 검토 과정에서 추가 점검을 수행했습니다. 상황에 따라 타협을 나타낼 수 있는 기준을 확인했습니다. 당사에서는 아래 경우에 해당하는 계정에 대하여 출금 요청을 취소했습니다. (i) 이중인증 장치 (2FA)가 없는 경우 (ii) 이전에 보지 못한 신규 비트코인 주소로 출금한 경우 (iii) 이전에 보지 못한 새 IP 주소로 요청된 경우 (iv) 이메일 유출 직후에 이루어진 출금 요청. 다른 모든 출금 요청은 영향을 받지 않았습니다. 이러한 조치는 모든 사용자를 보호하기 위해 취해졌으며 영향을 받은 사용자들은 이에 대한 안내를 이미 받았습니다.
  • 몇몇 단체에서 비트멕스 이메일을 수집하여 손상을 시도하는 것이 분명해지자 비트멕스 엔지니어는 잔고가 있으며 2 단계 인증 장치 (2FA)가 활성화되지 않은 모든 사용자에 대해 암호를 필수적으로 재설정하도록 요구했습니다. 영향을 받은 사용자는 최초 오류에 대한 철저한 QA 검토를 거친 후 이메일을 통해 공지를 받았습니다.
  • 비트멕스 지원팀 (문의)은 연장근무를 통해 이메일 주소 변경, 고객문의에 대한 답변, 보안 평가 및 조언을 위해 최선을 다하고 있습니다.

비트멕스 또는 기타 플랫폼에서 개인정보 노출을 보호할 수 있는 최상의 방법은 이중인증 장치 (2FA)를 활성화 하는 것 입니다. 당사는 Paul Stamatiou의 매우 유용한 가이드를 포함하여 다른 이들과 마찬가지로 이 주제에 관한 조언에 대해 공지한 바 있습니다.

비트멕스 엔지니어링팀은 플랫폼에서 지원하는 보안 키 수를 늘리고 계정 알림을 개선하여 사용자들의 이탈을 방지할 수 있는 더 많은 새로운 보안 장치를 제공하기 위해 연구하고 있습니다.

추가 사항

 이메일 주소 이외의 개인정보 및 계정 정보는 공개되지 않았지만 다음 사항을 권장해드립니다:

  • 이메일을 통한 피싱 위험 요소를 인지하시기 바랍니다. 비트멕스에서 발송하는 모든 이메일은 오직 “support@bitmex.com” 및 “noreply@bitmex.com“을 통해 발송됩니다. 해당 이메일 주소를 귀하의 이메일 주소록에 저장해 주시기 바랍니다.
  • 비트멕스는 어떠한 상황에서도 사용자를 대상으로 송금, 이체 등을 요구하지 않습니다. 오직 귀하의 등록된 비트멕스 입금 주소로의 비트코인 송금만이 공식적으로 인정됨을 숙지해 주시기 바랍니다. 참고로, 귀하의 비트멕스 입금 주소는 “3BMEX” 또는 “3BitMEX”로 시작하며, 입금 페이지에서 확인 가능합니다.
  • 비트멕스의 공식 커뮤니케이션 채널을 참고해 주시기 바랍니다. 이는 당사와 사용자 간의 공식적인 소셜 미디어 채널로써, 해당 경로를 통해 안내, 공유되는 사항을 숙지해 주시기 바랍니다.
  • 당사는 모든 사용자들이 외부로의 유출 또는 해킹 위험이 낮은 개인의 고유한 비밀번호 설정을 강력하게 권장드리며, 이와 더불어 등록된 모든 비트멕스 계정 및 개인 이메일 계정에도 반드시 이중인증 장치 (2FA)를 활성화 해주실 것을 당부 드립니다.

당사에서는 다시 한 번 귀하의 이메일 주소 외 개인정보 및 계정 정보가 공개되지 않았음을 말씀드립니다. 또한, 해당 문제가 발생하는 동안 당사 시스템에는 아무런 문제가 없었음을 알려드립니다, 비트멕스에서는 향후 동일한 문제가 발생하지 않도록 시스템 상의 보안을 더욱 철저히 유지할 예정이며, 이를 보완하기 위한 추가적인 수단 또한 도입할 것입니다. 비트멕스는 모든 사용자들의 계정에 대한 보안을 최우선으로 생각하고 있음을 알려드립니다.

도움이 필요하실 경우, 고객지원팀으로 문의해주시기 바랍니다.

Vivien Khoo,
최고 운영 책임 차장