[디지털데일리 김보민기자] 고객 개인정보를 유출한 뉴스레터 서비스 '스티비'가 이번 사태를 계기로 보안 체계를 전면 개편하겠다는 뜻을 밝혔다.

27일 스티비는 고객 대상 메일을 통해 "2024년 12월17일 발생한 해킹 사고로 인해 그동안 신뢰를 보내주신 고객님들께 큰 불편과 심려를 끼쳐드린 점 깊이 사과 드린다"며 "이번 해킹 사고를 인지한 후 해킹조직 검거 및 2차 피해 방지를 위해 관계 기관의 수사 및 조사에 협조하고 있다"고 말했다.

그간 조사 경과도 설명했다. 스티비는 "유출된 개인정보는 이름, 이메일 주소, 암호화된 비밀번호 등이며 일부 스티비 회원의 경우 신용정보가 침해된 것으로 확인됐다"고 부연했다.

다만 스티비 고객의 유료 구독자에는 피해가 없다는 점을 강조했다. 스티비는 "스티비 회원이 발행하는 유료 뉴스레터 구독자의 신용정보는 유출되지 않았다"며 "개인 별로 유출 항목에 차이가 있어, 해당 고객께 개별적으로 상세 내용을 안내드렸다"고 일축했다.

안내 메일에 따르면 스티비는 사고 발생 직후 긴급 보안 점검을 실시해 시스템 취약점을 보완했고, 강화 조치 또한 실행했다. 불법 접근경로를 차단하고, 2단계 인증을 일괄 적용했다는 취지다. 유출된 신용정보에 대해서는 금융기관의 이상금융거래탐지시스템(FDS)을 통해 실시간 모니터링을 진행했다고 밝혔다.

스티비는 "이번 사고를 계기로 보안 체계를 전면 개편하고자 한다"고 말했다. 시스템 내 취약점을 보완하기 위해 수집하는 모든 개인정보를 암호화하고, 해외 접속 차단과 이상 로그인 감지 등 기능을 추가 도입한다는 계획이다.

이어 "개인정보 최소 수집 원칙에 따라 서비스 제공에 필요한 정보만 수집 및 보관하도록 정책을 변경하겠다"며 "기술적인 결제 오류를 해결하기 위해 한시적으로 보관했던 일부 신용정보를 즉시 파기 완료했고, 앞으로도 서비스 운영에 필수 정보만 보관할 것"이라고 언급했다.

그러면서 "정보보호 전문가를 영입해 보안 조직을 강화하고, 글로벌 수준의 보안 인프라를 구축해 고객이 안심하고 이용할 수 있는 서비스로 거듭나겠다"고 다짐했다.

한편 이번 해킹 사고로 인해 서비스 차질을 겪었다는 고객이 속출하고 있다. 일례로 롯데리조트는 최근 공지문을 통해 "20일 오후 5시23분경 이메일 발송 시스템 위탁업체인 스티비의 서버 해킹 사실을 통지 받았다"며 "롯데리조트를 사칭하거나 의심스러운 메일을 수신한 경우, 첨부파일과 링크를 클릭하지 마시기를 바란다"고 알린 바 있다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -