세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
해킹 사고 숨기고 범인과 몰래 협상한 우버가 주는 교훈
  |  입력 : 2017-11-23 15:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각종 산업 표준과 보안 기본 수칙들 무시해...공개한 것도 사건 1년 후
GDPR 본격 도입되면 우버 같은 사고 많이 발생할 것...세 가지 교훈 적용해야


[보안뉴스 문가용 기자] 우버가 약 1년 전인 2016년에 있었던 해킹 침해 사고를 뒤늦게 공개했다. 당시 이 사건으로 운전자와 승객 5천 7백만 명의 개인정보가 유출됐었고, 우버는 아무도 몰래 범인에게 돈을 주고 데이터를 파괴해달라고 부탁까지 했다고 한다. “입을 다무는 값”으로 10만 달러를 범죄자들에게 바친 것. 그리고 이를 버그바운티인 것처럼 포장하기까지 했다. 또한 CSO와 부CSO 모두 이 사건 때문에 해임됐다.

[이미지 = iclickart]


우버의 발표에 의하면 공격자들은 우버 소프트웨어 엔지니어들끼라만 사용하던 사설 깃허브 코딩 사이트에 접근하는 데에 성공했다. 그리고 거기서 우버의 AWS 계정 크리덴셜을 찾아냈다. 우버는 각종 컴퓨터 관련 일들을 관리하고 해결하기 위해 이러한 플랫폼들을 사용, 유지하고 있었다. 그리고 이 계정에는 고객과 기사들의 개인정보가 같이 저장되어 있었다.

참 식상한 시나리오다. 유출 사고가 발생하고, 개인정보가 털리고, 회사는 이걸 또 덮겠다고 앞에서는 입 닫고, 보안 책임자들 줄줄이 해고시키고, 뒤에서는 검은 거래를 하는, 삼류 드라마 같은 일들이 전 세계적으로 주목 받고 있는 대기업들 사이에서 반복적으로 발생한다. 이게 기업들 사이에 ‘문화’처럼 고착화될까봐 무섭다.

일단 털린 것도 털린 것이지만, 그 후 우버의 대처가 참 저질스럽다. 사건이 발생한 걸 알고도 일단 아무런 발표를 하지 않았다. 그러므로 피해자들이 아무런 조치를 취할 수 없도록 했다. 업체로서 우버는 시장과 투자자, 정부의 신뢰를 대폭 잃었다. 영국 소비자의 절반 이상이 우버를 더 이상 사용하고 싶어 하지 않는다는 조사 결과도 나왔다.

시장 조사 기관인 포레스터(Forrester)에 의하면 데이터 유출 사고의 80%가 권한이 높은 계정의 크리덴셜이 도난당하거나 침해되어서 발생한다. 그러므로 권한이 높은 계정 관리는 대부분 산업에서 표준으로 자리 잡고 있다. 물론 우버는 이를 따르지 않았다고 한다. 덕분에 우버는 피해를 입은 것에 더해 벌금도 물어야 할 가능성이 커졌다. 실제로 미국의 두 주에서는 공식 수사가 시작되기도 했다.

게다가 이번에 드러난 사건은 우버가 아마존 클라우드 계정 관리를 제대로 하지 않아서 발생한 것이라고 하니, 할 말이 없게 만드는 수준이다. 사이버 보안 표준 및 규정을 지키는 것만으로 보안이 충분히 강화되지 않는다고는 하지만, 이렇게 아예 지켜버리지 않으면 말 그대로 무방비 상태가 되어버린다. 산업 표준을 지키느냐 안 지키느냐에 따라 사이버 사건이 그냥 지나가는 미풍이 될 수도 있고 기업의 뿌리를 뒤흔드는 쓰나미가 될 수도 있다.

혹시 이 기사를 읽는 기업 관계자 중 우버와 같은 비밀을 간직하고 있는 사람이 있다면 지금 우버가 겪는 일을 보고 배워야 한다. 그리고 한 시라도 빨리 사건을 알리고 조치를 취하는 편이 현명하다. 혹자는 우버 사건을 통해 ‘우리 회사에서 사건이 일어난 것을 몰랐다고 발뺌하면 되겠지’라고 생각할 수도 있다. 하지만 그런 변명이 통하지 않을 날이 다가오고 있다. GDPR 때문이다. 데이터를 수집했다면 그걸 관리하는 자에게 큰 책임을 묻겠다는 것이 GDPR이다.

실제로 데이터가 유출됐는데도 모를 수 있다. 그런 입장에 처하기 싫다면 즉시 회사 내 네트워크와 기기들을 점검해봐야 한다. 특히 유럽에 소비자를 두고 있는 기업이라면 그 사용자들의 개인정보가 어디에 저장되어 있는지, 어떤 식으로 관리되고 있고, 누가 접근할 수 있는지를 빠르게 점검해야 할 것이다. 전문가들은 내년에 GDPR이 발효되면, 지금 우버가 겪고 있는 일을 많은 기업들이 당할 것이라고 예측하고 있다.

사이버 보안은 ‘일단 나중에 하자’라고 할 수 없는 성격의 일이다. 여태까지는 그랬을 수도 있지만 더는 아니다. 우버처럼 ‘혁신’과 ‘생산성’에만 초점을 맞추다가 해커들에게 뒤통수를 맞고 유야무야 덮으려 했다가 탄로 난 경우가, 정말 우버에게만 국한된 일일까? 우버에게 손가락질 할 자격이 우리에겐 있을까?

우버 사건을 보고 1) 숨겨왔던 비밀을 공개한다든지, 2) GDPR로 인해 본격화될 정보보호의 엄중함을 미리부터 적용시킨다든지, 3) 즉시 회사 내 데이터와 네트워크를 점검하지 않았다면, 그리고 그저 ‘우버, 내 그럴 줄 알았어’라고만 생각하고 넘어갔다면 당신은 두 번째, 세 번째 우버가 될 가능성이 크다. 물론 나쁜 의미에서 말이다.

글 : 조셉 카슨(Joseph Carson)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#우버   #은폐   #해킹   #뒷거래   #창피   #GDPR   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)