24세의 인도 해커, 결재 방식 조작해 무료 탑승 방법 증명
문제는 현재 해결된 상태...우버, 5백만 원 지급

[보안뉴스 문가용 기자] 인도의 보안 전문가인 아난드 프라카시(Anand Prakash)가 평생 우버를 무료로 활용할 수 있는 방법을 최근 공개했다. 물론 프라카시는 해커가 아니라 보안 전문가라 이 방법을 대중들에게 공개하는 대신 우버에게 먼저 알려 문제가 해결되도록 했다고 한다. 그 자신도 이 방법으로 우버를 이용해본 적이 단 한 번도 없다고 한다. 대신 프라카시에게 우버는 약 5백만 원의 보상금을 지불했다.


현재 우버에서는 이런 연구 조사 결과를 받아들이기 위해 버그바운티 프로그램을 상시적으로 운영하고 있으며, 버그의 중요도에 따라 적게는 10만 원에서 많게는 1천만 원까지 보상하고 있다. 그러므로 아난드 프라카시가 찾은 오류는 상당히 치명적인 것으로 우버 측에서 판단한 것으로 보인다.

아난드가 찾은 오류는 간단하다. 우버 회원들은 서비스를 이용한 후 직접 운전자에게 현금을 건넬 수도 있지만 신용카드 등의 전자결재 방법을 활용해 후불 처리도 할 수 있다. 이런 결재 방법은 회원들이 설정할 수 있는데, 문제는 이 외에 aaa나 1234 등 아무런 의미가 없는 문자열을 입력했을 때도 통과가 되게 만들 수 있다는 것이다. 이런 경우 회원은 결재 없이 자동차를 마구 타고 다닐 수 있게 된다.

이를 우버 측에 알린 아난드는 우버의 허가 아래 해당 오류를 증명해보이기 위해 미국과 인도에서 우버를 무료로 활용하기도 했다. 물론 아무나 현금 결재 방식을 그렇게 설정할 수 있는 건 아니다. 여기엔 역간의 스크립팅 및 코딩 지식이 필요하다. 또한 우버는 이미 해당 문제를 해결해놓은 상태다.

프라카시는 페이스북의 화이트햇(White Hat) 버그 탐지 프로그램에 소속된 해커로, 이미 보안 업계에서는 널리 알려진 24세의 ‘천재’다. 특히 페이스북 사용자가 아무 사용자의 암호를 마음대로 바꿔 계정을 탈취할 수 있게 해주는 버그도 발견한 것으로 유명하다. 페이스북 외에도 구글, 트위터, 레드햇, 어도비, 페이팔 등에서도 여러 오류를 발견해 보완한 전력이 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련