GN⁺ 5달전 | parent | ★ favorite | on: 믹스패널 보안 침해 사건(mixpanel.com)
Hacker News 의견

  • 이 글의 표현 방식이 정말 마음에 들지 않음
    어떤 시스템이 접근당했는지, 어떤 정보가 노출됐는지, 그리고 얼마나 “적극적으로” 대응했는지에 대한 구체적인 수치나 일정이 전혀 없음
    기사 인용문을 보면 “Mixpanel이 스미싱 캠페인을 탐지했다”고 하지만, 누가 대상이었는지나 규모는 불명확함
    “무단 접근을 차단하고 보안 조치를 취했다”고 하니 분명 침해가 있었던 건데, 어떤 계정이나 시스템이었는지는 언급 없음
    “직원 전체 비밀번호 초기화”를 했다는 건, 내부 자격 증명 유출 가능성을 예상했다는 뜻으로 보임

    • “가족 사고”를 “최근 가족 사건”이라 표현하는 것처럼, 이 글의 모호하고 방어적인 어조가 불쾌함
      “투명성을 위해 공유한다”는 문장도 마치 “선의의 제스처로 환불해드린다”는 식의 비인간적인 사과문처럼 들림
    • 같은 사건에 대한 OpenAI의 공지는 훨씬 명확하고 신뢰감이 있었음
    • OpenAI가 사실상 공개를 먼저 하면서 Mixpanel이 어쩔 수 없이 뒤따라 공개한 게 아닌가 하는 의문이 듦
    • 추수감사절 당일에 발표한 것도 의도된 타이밍으로 보임
    • 나도 하루 전 OpenAI 쪽에서 훨씬 정보가 풍부한 공지를 받았음

  • Mixpanel의 글이 OpenAI의 공지보다 훨씬 부족하고 불투명하게 느껴짐
    Mixpanel이 더 많은 정보를 갖고 있을 텐데도, 공개는 훨씬 적게 함
    이는 회사의 신뢰도에 큰 타격을 주는 일임

    • 결국 OpenAI가 Mixpanel을 공급업체에서 제외
      “보안과 프라이버시 기준을 충족하지 못해 Mixpanel 사용을 중단했다”는 문구는 매우 강한 메시지임
    • Cointracker도 거의 같은 시각에 비슷한 이메일을 보냈다 함. 아마 공통 템플릿을 사용한 듯함

  • Mixpanel이 사건을 인지한 게 11월 8일인데, 추수감사절 전날에야 발표한 건 실망스러움

    • 이는 GDPR의 72시간 통보 규정을 위반한 것으로 보임

  • Mixpanel의 공지가 혼란스러움
    이미 계정을 닫았는데도 “보안 사고 관련 이메일”을 받았음
    닫은 계정이 영향을 받은 건지 아닌지 알 수 없음

    • 계정을 닫았다고 해서 데이터가 즉시 삭제되는 건 아님
      이메일을 받았다면 데이터가 여전히 남아 있었을 가능성이 큼
    • 이메일을 받았다고 해서 반드시 영향받은 건 아님
      Mixpanel이 “영향받은 고객에게는 개별적으로 연락했다”고 했으니, 별도 통보가 없었다면 안전한 것으로 해석해야 함
    • 유럽 거주자라면, 계정 종료 후 데이터를 삭제하지 않은 점에 대해 GDPR ‘잊혀질 권리’ 위반으로 제소할 수도 있음

  • OpenAI가 Mixpanel을 사용했다는 이유로 주가가 오를 거냐는 농담이 나올 정도임

    • 하지만 OpenAI FAQ에 따르면 이미 Mixpanel을 제거했다고 명시되어 있음
    • 사용자에게 보낸 이메일에서도 OpenAI가 Mixpanel을 더 이상 사용하지 않는다고 분명히 밝힘

  • Mixpanel의 글은 위기 대응의 나쁜 예시로 교과서에 실릴 만함
    OpenAI의 공지가 오히려 Mixpanel보다 사건을 더 잘 요약하고 있음
    “파트너의 보안 기준을 충족하지 못해 Mixpanel 사용을 종료했다”는 문장은 공급업체에 대한 공개적 불신 선언

  • “스미싱(smishing)”이라는 용어를 처음 들었음
    SMS를 이용한 피싱 공격으로, 문자 메시지를 통해 개인 정보를 탈취하는 수법임

    • 실제 예로는 “OpenAI의 Josh인데, 2FA를 꺼줄 수 있나? 해외라 인증이 어렵다”는 식의 사회공학적 메시지가 있음

  • 이번 사건은 “공급업체가 곧 공격 표면”이라는 2025년의 보안 교훈을 보여줌
    신뢰했던 벤더가 뚫리면, 그들의 고객 데이터까지 연쇄적으로 노출됨
    민감한 작업일수록 제3자에게 공유하는 데이터를 최소화해야 함
    “신뢰하되 검증하라”는 옛 모델 대신, 이제는 “검증하거나 공유하지 말라”는 접근이 필요함

  • 기사 제목이 “침해(breach)”라고 되어 있지만, 원문에서는 그 단어를 쓰지 않음

    • “보안 사고(security incident)”는 법률 자문을 거친 완곡한 표현일 뿐, “무단 접근을 차단했다”는 문장에서 이미 침해가 있었음을 알 수 있음
    • 참고로 OpenAI의 공지CoinTracker의 공지를 보면, 사용자 이름·이메일·위치 정보가 노출되었다고 명시되어 있음
    • Mixpanel의 글은 회피성 표현으로 가득 차 있지만, 실질적으로는 명백한 침해임

  • 이런 중요한 정보를 명절 연휴 직전에 공개한 건 타이밍상 매우 계산된 선택처럼 보임