• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

법정에 선 우버에 “도덕적으로 잘못됐고 법적으로도 비난 마땅” 2018.02.07

해커에 10만 달러 지급한 우버, “데이터 보호하기 위한 조치”
버그바운티와 범죄자들에게 내는 돈 사이의 회색 지대 드러난 사건

[보안뉴스 문가용 기자] 2016년 11월 우버에서 일어난 침해 사고로 5천 7백만 명의 개인정보가 유출되었다. 하지만 우버는 이를 보고하거나 고객들에게 알리는 대신 해커를 찾아내 10만 달러를 지급하고 입을 다물게 했다. 이에 대한 심리가 상원위원회 주재로 열렸다. 여기서 상원 의원인 리차드 블루멘탈(Richard Blumenthal)은 우버의 행위에 대해 “도덕적으로는 잘못됐고, 법적으로는 비난받아 마땅하다”고 말했다.

[이미지 = iclickart]


우버가 해커들에게 돈을 지불한 행위는 불법이기도 하고 일반적인 규범에도 어긋난다고 주장한 블루멘탈 의원은 “정작 피해 당사자인 운전자나 승객들 모두 이 사건에 대해 아무런 말을 듣지 못했으며, 관련 당국 역시 아무런 보고를 받지 못했다”고 말했다. “사법 방해 죄에 해당된다고 해도 지나치지 않는 것이라고 봅니다.”

우버의 CEO인 다라 코스로샤히(Dara Khosrowshahi)는 지난 11월 “우버가 한 해 전 우버에 침투해 개인정보를 훔쳐 간 두 명의 해커에게 10만 달러를 ‘버그바운티’ 형태로 지급하면서 정보를 파기해달라고 요구했다”는 사실을 공개했다. 그러면서 “약 60만 명의 개인정보(이름 및 면허 번호, 주소, 핸드폰 번호 등)가 도난당했다”고 밝혔었다.

하지만 코스로샤히는 “데이터 유출 사고 자체를 파악한 건 불과 얼마 전이며, 해커들에게 돈을 지급한 것도 지금 발표 직전의 일”이라고 말했다. 우버는 CISO였던 조 설리반(Joe Sullivan)과 또 다른 임원을 해고하기도 했다.

어제 심리에서 우버의 현재 CISO인 존 플린(John Flynn)은 “우버가 시간에 맞게, 적절한 대응을 하지 못한 건 맞다”는 걸 인정했으나 “해커들에게 돈을 지급한 가장 큰 목적은 데이터를 보호하기 위해서였다”고 주장했다.

플린에 의하면 우버가 해당 사고에 대해 처음 알게 된 건 2016년 11월 14일이었다. 해커 중 한 명이 우버로 이메일을 보내 데이터를 훔쳐냈다는 사실을 알려왔던 날이었다. 해커는 이메일을 통해 돈을 요구했고, “여섯 자리” 금액이었다. ‘10만’ 달러는 여섯 자리 숫자다. 당시 우버의 IT 팀은 해당 사실을 확인했고, 해커가 아마존 AWS 클라우드 내 우버 비밀 계정에 정말로 접근했다는 것도 파악할 수 있었다.

“수사를 더 진행했고, 공격자들은 우버에 소속된 엔지니어들이 깃허브(GitHub)에서 코드를 공유하면서 실수로 자신들의 크리덴셜까지 노출한 것을 파악하고, 해당 크리덴셜을 통해 데이터 저장소에 정상적으로 접근할 수 있었다는 것이 발견됐습니다. 그래서 우버는 곳바로 다중 인증 시스템을 도입하고 크리덴셜의 자동 만료 기능까지 적용했습니다.”

또한 플린은 해커들에게 버그바운티 형태로 10만 달러를 지급한 것이 실수였다고도 인정했다. 우버는 실제로 해커원(HackerOne)과 파트너십을 맺고 버그바운티를 진행하고 있는 회사 중 하나다. 블루멘탈 의원과 캐서린 코테즈 마스토(Catherine Cortez Masto) 의원은 왜 우버가 그러한 결정을 내렸는지가 제일 궁금하다고 물었다. “왜냐하면 본질적으로 범죄 행위이며, 일반적으로 사람들이 취할 만한 행동이 전혀 아니기 때문입니다.”

블루멘탈 의원은 “범죄자들은 취약한 점을 찾아냈고, 그걸 악용해서 악의적인 의도를 가지고 데이터를 훔쳐냈다”며 “그러한 행위에 대해 알아내고도 숨겨줬다는 건 사실상 그들을 도왔다고밖에 해석할 수 없다”고 강하게 비판했다. 마스토 의원 또한 “범죄 행위를 정상적인 행위로 앞장서서 포장해주려고 했던 건가요?”라고 물었다. “우버의 버그바운티 프로그램에 이것과 유사한 목적성이 없다고 어떻게 믿을 수 있을까요?”

이에 플린은 “이러한 악성 행위자들을 버그바운티에 참여하는 보안 전문가들과 같은 선상에 놓은 것은 잘못된 일”임을 인정했다. 그러면서 “당시 우버는 공격자들을 정확히 찾아내고 데이터를 보호하는 목적으로만 버그바운티를 활용하자고 결정을 내렸다”고 주장했다. “물론 현명한 결정은 아니었습니다만, 저희가 범죄자들을 돕고자 버그바운티를 활용하지 않은 건 분명합니다.”

또 다른 버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 창립자인 케이시 엘리스(Casey Ellis)는 “우버가 돈을 지급한 건 ‘협박에 대한 대응’이었지 절대 버그바운티가 아니었다”고 말했다. “그러나 둘의 차이가 아직 칼로 썰 듯 명확하지 않은 측면은 있습니다. 그 점이 이번 사건을 통해 드러났으니, 좀 더 분명해지는 계기가 되기를 바랍니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>