2016년 우버에서 6천만 개인정보 훔쳐간 해커들, 우버에 돈 내라고 협박
당시 CSO는 범인들에게 10만 달러를 주며 버그바운티였던 것처럼 꾸며

[보안뉴스 문가용 기자] 미국 연방 검사들이 전 우버 CSO인 조 설리반(Joe Sullivan)을 기소했다. 2016년 발생한 해킹 사고를 은닉시키려는 시도를 했다는 게 그의 혐의다. 2016년 해킹 사고란, 해커들이 6천만 명에 이르는 고객과 운전자의 개인정보를 훔쳐간 사건을 말한다.


설리반은 CSO로 활동하던 당시, 해커들이 어미어마한 양의 개인정보를 훔쳐간 사실을 알게 되자 그것이 마치 버그바운티 활동의 일환으로 이뤄진 것처럼 해커들에게 10만 달러를 지급하고 해커들의 입을 닫으려고 했다. 해커들에게 협박을 받아 돈을 낸 것을 버그바운티처럼 바꿈으로써 우버는 유관 기관에 해당 사건을 통보하지 않아도 됐다.

미국 연방 검사인 데이비드 앤더슨(David Anderson)은 기자 회견을 통해 “실리콘 밸리는 무법천지거나 치외 법권이 아니”라는 걸 강조했다. “범죄 사실을 있는 그대로, 늦지 않게 정부 기관에 보고하는 건 시민이 마땅히 해야 할 바입니다. 그래야 범죄 수사가 좀 더 효과적으로 이뤄지기 때문입니다. 이를 은폐하고자 하는 행위는 반사회적 행동이나 다름이 없습니다.”

설리반 측 대변인은 다음과 같이 주장했다. “사건의 초기부터 설리반 씨는 우버 내 법무, 소통, PR 팀 등 사건과 관련이 있을 수 있는 부서들과 밀접하게 협력하며 사건을 처리했습니다. 또한 그의 모든 선택은 우버가 공식적으로 수립해 지키고 있는 정책 내에서 이뤄졌습니다. 이러한 사건을 외부에 보고하거나 공개하는 건 법무 팀에서 결정하는 일이지 설리반 씨가 아니라고 내규에 명시되어 있기도 합니다.”

3줄 요약
1. 2016년, 해커들이 6천만 건의 우버 개인정보를 탈취함.
2. 당시 CSO였던 조 설리반, 버그바운티였던 것처럼 포장해 범인들에게 10만 달러 지급.
3. 설리반 측은 “내규 상 법무팀이 상부 기관에 보고했어야 한다”고 주장.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>