• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

우버, 호주에서 경쟁자 견제하기 위해 스파이웨어 사용했다? 2019.03.21

본사에서 지휘한 일로 보이지는 않지만...“과거에는 경쟁사 운전자 스카웃”
스파이웨어 제작한 직원은 호주에서 싱가포르, 싱가포르에서 유럽으로 이동

[보안뉴스 문가용 기자] 우버의 직원 한 명이 경쟁사를 견제하기 위해 정보 탈취형 멀웨어를 사용하다가 적발됐다. 이는 우버 호주 지부에서 발생한 일로, 아직까지 우버 본사와는 관계가 없어 보인다.

[이미지 = iclickart]


문제의 스파이웨어 프로그램은 서프캠(Surfcam)이라는 이름으로 알려져 있으며, 2015년 문제의 직원이 직접 개발했다고 한다. 이러한 내용은 스스로 2015년 우버의 직원이었다고 주장하는 익명의 제보자가 호주 매체에 고발하면서 알려졌다. 보도에 의하면 서프캠은 호주에서 우버와 경쟁하고 있는 고캣치(GoCatch)라는 회사를 견제하는 것이라고 한다.

“서프캠을 사용하면 우버 오스트레일리아(Uber Australia)가 실시간으로 고캣치 차량의 운행 현황을 파악하고, 정보를 빼내올 수 있었다”고 호주 매체들은 보도하고 있다. 서프캠을 통해 확보할 수 있었던 정보는 운전자의 이름과 차량 번호 등이었다고 한다. 우버 오스트레일리아는 이러한 정보를 활용해 고캣치 소속 운전자들에게 접근해 더 많은 돈을 주고 고용하거나 일을 그만두게 했다.

뿐만 아니라 운행 정보까지도 파악하게 되니 손님들을 가로채는 행위도 가능해졌다. 그래서 고캣치는 손님과 운전자를 슬금슬금 잃기 시작했다고 한다. “그런 식으로 조금씩 고캣치를 망하게 하고, 경쟁 관계에서 물러나도록 하는 게 우버 오스트레일리아의 목적이었다”고 익명의 제보자는 주장했다.

그러나 고캣치는 쉽게 망하지 않았다. 아직도 여전히 사업을 이뤄가고 있다. 그렇다고 해도 우버가 해킹 기술을 사용해 불법적인 행위를 했다는 사실에는 변함이 없다. 코캣치의 공동 창립자인 앤드류 캠벨(Andrew Campbell)은 “경악스럽다”고 표현했으며, “이러한 행위로 고캣치가 입은 피해가 엄청나다”고 말했다.

우버 측은 대변인을 통해 “서프캠이 스파이웨어라는 주장은 과장된 것”이라고 밝혔다. “언급이 되고 있는 직원은 코딩의 코자도 모르는 사람입니다. 인터넷에서 스크립트를 긁어다가 튜토리얼을 따라서 약간의 조작을 했을 뿐입니다. 웹사이트에서 대중에게 공개된 정보를 크롤링 하는 것이 서프캠 기능의 전부입니다. 스파이웨어와는 거리가 멉니다.”

우버가 ‘서프캠’ 때문에 헤드라인을 장식한 건 이번이 처음이 아니다. 2017년 우버 싱가포르가 그랩(Grab)이라는 경쟁자를 견제하기 위해 서프캠을 썼다는 보도가 블룸버그를 통해 나온 바 있다. 당시 블룸버그는 “서프캠은 경쟁사가 온라인에 공개한 데이터를 수집해 얼마나 많은 드라이버들이 어느 지역에서 운행 중에 있는지 파악하는 기능을 가졌다”고 설명했다.

문제의 개발자
이번 호주에서의 서프캠 문제를 폭로한 제보자에 의하면 “싱가포르에서 서프캠이 사용되었을 때도 캘리포니아 본사에 있는 우버 경영진들은 서프캠이 개발되고 사용되던 것을 몰랐다”고 한다. “시드니 사무소에 있던 직원 한 명이 자발적으로 웹 크롤링 키트를 기반으로 우버에 맞게 바꾸겠다고 나섰습니다. 그리고 그 직원은 동남아시아로 이사를 갔는데, 그 과정에서 서프캠도 가져간 것으로 보입니다. 아마 그랩을 견제하기 위해 초청을 받은 게 아닐까 합니다.”

우버 오스트레일리아 대변인은 우버 본사에서 서프캠의 존재를 파악하고 나서는 서프캠의 사용이 금지됐다고 주장했다. 하지만 과거 블룸버그 기사에 의하면 이 개발자 직원은 동남아시아에서 다시 한 번 네덜란드의 유럽 사무소로 옮겼고, 당시까지도 우버 직원인 채였다고 한다. 서프캠은 금지시켰어도, 해당 직원은 해고하지 않았다는 것이다.

서프캠이 실제로 활용됐던 건 우버가 프라이버시 침해 등의 불미스러운 사건으로 어려운 시기를 지나고 있을 때였다. 그 후 우버는 경영진까지 교체하며 ‘체질 개선’을 약속했다. 우버 대변인은 “당시에는 경쟁사의 운전자들을 우버로 스카웃하는 전략을 사용한 것으로 알고 있다”고 말하기도 했다. “경쟁사의 차를 불러서 탄 뒤, 목적지까지 가는 동안 우버로 오라고 설득하는 작업을 했던 것으로 알고 있습니다. 물론 경영진이 교체되기 전의 일입니다. 그렇다 해도 멀웨어를 만들어 사용했던 적은 없습니다.”

3줄 요약
1. 2017년, 우버 싱가포르에서 문제가 됐던 ‘서프캠’, 호주에서 다시 문제가 됨.
2. 서프캠을 사용해 경쟁사를 견제하고, 드라이버를 빼내려던 시도가 있었다는 제보 나옴.
3. 우버는 “서프캠은 스파이웨어가 아니며, 정보를 수집하는 도구였을 뿐”이라고 반박.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>