라인 게임(LINE GAME) 서비스 종료 이후 환불 페이지 입력 정보 노출|일부 정보는 아카이브로 삭제 요청 중
라인(LINE)이 일부 라인 게임(LINE GAME)의 서비스 종료 이후 개설된 환불 페이지에 입력된 메일 주소, 은행 계좌 정보 등이 2년이 넘도록 무방비 노출돼 뒤늦게 삭제 조치에 들어갔다. 이는 올해 2월 4,225건과 9월 73,978건의 불법 로그인 시도에 이어 발생한 세 번째 보안사고다.
특히 2월과 9월은 불법 로그인 시도에 그쳤지만, 이번 개인정보 노출건은 환불 페이지 접근 권한을 외부에 노출된 것으로 이전 사안과 다르다. 단순히 환불 페이지에 접속하는 것과 환불 페이지에 입력된 정보를 확인할 수 있는 것은 다르기 때문이다.
8일 라인에 따르면 2018년 4월 12일부터 2020년 9월 20일까지 서비스를 종료한 '라인 게임' 환불 페이지에 등록된 메일 주소, 은행 계좌 정보, 영수증 번호 등 총 18명의 고객정보가 아카이브 사이트의 검색 결과에 노출됐다.
특히 라인 게임의 환불 페이지는 2014년 6월 16일부터 2018년 4월 12일까지 접속할 때 결함이 있었으며, 이번 개인정보 노출은 2018년 4월 12일부터 2020년 9월 20일까지 무려 2년 5개월 동안 방치되어 있었다.
<본지>의 '모바일 게임 서비스 종료 DB'에 따르면 2018년 4월 12일부터 2020년 9월 20일까지 환불 페이지가 개설된 라인 게임을 추정하면 ▲2018년 6월 5일 6종 ▲2018년 9월 25일 1종 ▲2018년 10월 12일 1종 ▲2018년 12월 4일 5종 ▲2019년 6월 11일 2종 ▲2019년 12월 4일 1종 ▲2020년 6월 11일 1종 ▲2020년 9월 29일 1종 등 18개의 게임이다.
이 중에는 라인 윈드러너(위메이드), 라인 쿠키런(데브시스터즈), 라인 도저(NHN 스타피쉬), 라인 사커 일레븐(한빛소프트), 라인 겟리치(넷마블), 라인 블리치(와이디온라인), 라인 디즈니토이 컴퍼니(NHN 픽셀큐브), 라인 우파루랜드(NHN 스튜디오629), 크로스 크로니클(플로피게임즈) 등 국내 게임업체가 개발한 게임이 50%를 차지한다.
라인 측은 환불 전용 고객 페이지의 결함을 알고 있었으며, 2018년 4월 12일 이전에 외부에서 접근한 시도는 없었다고 설명했다. 또 지난달 20일부터 현재까지 라인 직원과 라인 시큐리티 버그 바운티 프로그램(LINE Security Bug Bounty Program) 제보자 외에는 외부 접근은 없었다고 강조했다.
라인 시큐리티 버그 바운티 프로그램은 지난해 11월 버그바운티 전문 플랫폼 해커원(HackerOne)과 구축해 보안 취약점을 발견해 해결하는 일종의 신고 보상제다. 국내외 보안업계는 내부 모니터링과 함께 외부 전문가의 도움을 받고, 이를 지원하는 '바운티 프로그램'을 운영한다.
현재 라인은 아카이브 사이트에 삭제를 요청했으며, '버그 바운티 프로그램'을 통해 알게 된 개인정보도 삭제했다.
라인 관계자는 "이번에 개인정보가 유출된 18명의 고객에게 상황을 설명했으며, 걱정과 폐를 끼쳐 진심으로 사과드린다"라고 말했다.
'뉴스 센터 > 기획' 카테고리의 다른 글
| 넥슨, 피파 모바일 12일 전격 출시...2선발 조기 투입 (0) | 2020.10.12 |
|---|---|
| 오세치의 저주였나...소셜 커머스 '그루폰', 일본 철수 (0) | 2020.09.29 |
| YJM게임즈, 中 개발사 불량품에 속아...버그 난무 (0) | 2020.09.28 |