“실수를 기회 삼겠다”고 한 우버지만, 고칠 게 한두 가지 아냐
이미 여러 고소장 접수되어 있어...험난한 법정싸움 예고돼

[보안뉴스 문가용 기자] 2016년에 발생한 5천 7백만 건 데이터 유출 사고를 숨겨왔다가 최근에서야 발표한 우버의 홍보팀은 최악의 시간을 지나고 있다. 이미 대중은 5천 7백만이란 숫자에 관심이 없다. 우버가 사고 발생 사실을 숨겼고, 해커에게 “비밀을 지켜달라”며 10만 달러를 지불했으니, 5천 7백만이 아니라 5억 7천만 건이라 해도 별반 다르지 않았을 것이다.


이 사건 때문에 CISO였던 조 설리반(Joe Sullivan)과 그를 보좌했던 부CISO 모두 해임됐다. 현재 우버의 CEO인 다라 코스로샤히(Dara Khosrowshahi)는 “탈취된 정보를 보호하기 위한 즉각적인 조치를 취했고, 승인되지 않은 접근이 더 이상 발생하지 않도록 했으며 다운로드된 데이터들이 전부 폐기되도록 했다”고 발표했다.

코스로샤히는 “이번 일을 계기 삼아 우버의 ‘사이버 보안 체질’을 바꿔놓을 것”이라고 발표했다. 그렇지만 이러한 말 몇 마디로 소비자들의 반응이 가라앉을 것 같지는 않다. 체질을 바꾼다면, 앞으로 시간을 두고 증명해야 할 것이다. 우버는 어디서부터 체질을 바꿔야 할까? 이번 사고를 통해 어디가 구체적으로 잘못된 것인지 살펴보자.

우버의 실수들
언급했지만 가장 먼저 언급해야 할 우버의 실수는 사고를 덮어두려고 했다는 것이다. 이는 윤리적이지도 못할 뿐 아니라 법적으로도 잘못된 결정이다. 보안 업체 지스케일러(ZScaler)의 CISO인 마이클 서튼(Michael Sutton)은 “우버는 데이터 침해 사실 공개와 관련된 미국 내 법과 국제법을 상당히 어겼다”고 말한다. 사업 운영자라면 미국 내 여러 주들도 그렇지만 세계의 많은 나라들에서 ‘보안 사고 발생 시 반드시 보고해야 한다’는 내용의 규정들을 갖추고 있다는 걸 기억해야 한다.

또한 우버는 ‘엄청난 양의 데이터를 가지고 장사하는 집단’이라는 걸 자각했어야 했다. 작년 사고의 경우 공격자들은 제일 먼저 우버 엔지니어들이 사용하고 있던 깃허브(GitHub) 계정에 접근했다. 개인 계정이었지만 회사 공용 AWS 계정의 크리덴셜 정보를 담고 있었다. 해당 AWS 계정엔 고객들의 개인정보가 저장되어 있었다.

데이터가 정말 중요한 장사 밑천이라는 자각이 있었다면, 그 자각이 조직 내 모든 사람에게 공유되고 있었다면, 데이터에 접근하는 루트가 이렇게나 허술하지 않았을 것이다. 얼마나 허술했으면 공격 난이도가 높지도 않았다. 보안 업체 임퍼바(Imperva)의 CTO인 테리 레이(Terry Ray)는 “온라인 플랫폼에 크리덴셜 관련 정보를 업로드시키고 보안을 강화할 생각을 했다는 것 자체가 충격적”이라고 말한다. 또한 “개발자들이 사용하는 데이터에 대해서 따로 관리하는 시스템이 부재했다는 것도 문제”라고 지적한다.

레이는 그밖에 다음 질문을 바탕으로 ‘체질 개선’을 이뤄야 할 것이라고 정리하기도 했다.
1) 엔지니어들이 5천 7백만 명의 개인식별정보에 접근 가능했던 이유가 애초에 무엇인가?
2) 이 데이터에 접근하고 자유롭게 옮겨 다니며 작업할 때, 올바른 인증 과정을 거쳤는가?
3) 5천 7백만 건이나 되는 방대한 양의 데이터에 누군가 접근할 때, 올바른 모니터링이 이루어지고 있는가?
마지막 질문에 대해 레이는 “아마 모니터링 시스템 자체는 있었을 것”이라고 말한다. “다만 일상 속에서 사용되지 않았을 거라고 봅니다. 대부분 기업들이 그렇거든요.”

보안 업체 스닉(Snyk)의 CEO인 가이 포쟈르니(Guy Podjarny)는 “크리덴셜이 애초에 깃허브를 통해 공유되고 있었다는 것 자체가 문제”라고 꼬집는다. 또한 “크리덴셜 하나로 5천 7백만 건이나 되는 정보에 접근할 수 있었다는 것도 간과하지 말아야 한다”는 의견이다. “해커 입장에서는 계정 하나 침해했더니 모든 것이 다 풀리게 됐거든요. 해킹 공격이 쉬웠다는 건 당하는 사람이 허술했다는 뜻입니다.”

그 ‘허술함’의 본질은 ‘안전한 것보다 쉬운 것이 우선시 되는 문화’라고 포쟈르니는 주장한다. 그러니 한 계정으로 그 많은 정보들을 한꺼번에 관리하고 있었고, 그 계정의 로그인 정보가 자유롭게 공유되고 있었다는 것이다. “데이터가 다운로드 되는 데에 제한을 두기만 했어도, 계정마다 관리할 수 있는 데이터 양을 줄이기만 했어도 얼마든지 막을 수 있는 피해였습니다.”

또 한 전문가는 “개인식별정보를 암호화하지 않은 채 관리하고 있었다는 것도 문제”라고 말한다. 맥아피(McAfee)의 부회장인 빈센트 위퍼(Vincent Weafer)다. “간혹 깃허브나 AWS의 시스템을 지적하는 분들도 있는데, 적어도 이번 사건은 그 둘의 문제는 전혀 아닙니다. 깃허브와 AWS의 사용자인 우버가 100% 잘못한 것이죠. 먼저는 보안의 기본 중 기본인 데이터 암호화조차 이뤄지지 않았다는 것만 봐도 우버가 얼마나 보안에 신경을 쓰지 않았는지 알 수 있습니다.”

공격자에게 큰 돈을 주었다는 것도 지적하지 않을 수 없다. 사이버 범죄를 당했을 때 해커에게 돈을 지불하는 건 오히려 문제를 키우는 것이라는 것이 중론이다. “돈을 준다는 건 범죄자들에게 용기를 주고, 다음에도 협박 범죄를 저지르라고 부추기는 것과 같습니다. 범죄 산업 내에서 돈이 많이 돌면 돌수록 새로운 범죄자들이 육성되고요.”

벌써 우버는 수많은 법정싸움을 눈앞에 두고 있다. 이미 윌셔로펌(Wilshire Law Firm)은 고객사의 요청에 따라 우버를 고소한 상태다. 캘리포니아 주법을 어기고 불공정한 경쟁과 관련된 규정도 어겼다는 고소장들도 속속 여러 법원으로 날아 들어오고 있다고 한다. 심지어 사기죄로 인한 고소 역시 접수됐고, 사생활 침해 등에 대한 죄목도 언급되고 있다. 우버의 가는 길이 한참은 험난해 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>