정용환 기자
우버가 지난 9월 15일 내부 시스템이 누군가에 의해 해킹받았다고 보고했다. 9월 19일에는 해킹 피해에 관한 최신 정보가 보고되어 해커 수법이나 우버 대응, 유출 가능성이 있는 데이터 등이 밝혀지고 있다.
우버에 대한 9월 15일 해킹에서 해커는 사내 슬랙에서 자신은 해커이며 우버가 데이터 침해를 당했다고 발표한다는 메시지를 보내고 침해한 내부 시스템 목록을 공개했다. 또 해커는 우버 오픈DNS(OpenDNS)를 재구성해 일부 내부 사이트에서 음란한 이미지가 표시되도록 했다고 보도되고 있다.
9월 19일 우버는 이번 해킹 피해에 관한 최신 정보를 공시 사이트에서 보고했다. 첫째 이번 해킹은 우버 계약자 개인 장치에 악성 코드가 감염되어 우버 기업 계정 자격 증명이 다크웹에서 판매된 게 발단이었다고 한다. 해커는 자격증명을 구입해 로그인을 시도했지만 2단계 인증으로 차단됐다. 그런데 여러 차례 로그인 시도가 진행되는 가운데 최종적으로 계약자가 2단계 인증을 받아 버렸기 때문에 해커는 우버 사내 시스템에 로그인할 수 있었다고 한다. 이후 해커는 다른 직원 계정에도 액세스해 G-스위트, 슬랙 등 도구에 대한 권한을 획득해 슬랙에 메시지 게시와 내부 사이트에서 외설 이미지 표시 등 공격을 실시했다.
일련의 해킹에 대해 우버는 기존 보안 감시 시스템에 의해 문제를 빠르게 특정해 대응했다고 한다. 우버는 자사 최우선 과제는 사용자 데이터 안전성과 우버 서비스가 영향을 받지 않도록 하기 위해 공격자가 시스템에 액세스하지 못하게 하는 것이었다고 밝히고 있다.
우버가 취했다는 주요 대응은 이렇다. 먼저 침해되거나 침해될 수 있는 직원 계정을 식별하고 우버 시스템에 대한 액세스를 차단하거나 암호 재설정을 요청했다. 또 영향을 받거나 영향을 받을 수 있는 내부 도구를 비활성화했다. 이어 많은 내부 서비스에서 액세스키를 전환하고 액세스를 효과적으로 재설정했다. 코드베이스를 잠그고 새로운 코드 변경을 방지하는 한편 내부 툴에 액세스를 복원할 때 직원 재인증을 요구해 다요소 인증 정책을 강화했다. 내부 환경 모니터링을 추가하고 의심스러운 활동을 주시했다.
먼저 공격자 접근을 차단한 뒤 우버는 해킹으로 인한 피해 상황을 조사하기 시작했다. 보안 리포트 갱신 시점에도 조사는 진행 중이지만 사용자용 앱 시스템에 액세스한 흔적은 보이지 않고 사용자 계정, 신용카드 번호, 은행 계좌 정보, 여행 이력 침해도 확인되고 있지 않다고 보고하고 있다. 또 코드베이스 변경이나 클라우드 프로바이더에 보존된 고객, 사용자 데이터 액세스도 확인되어 있지 않다고 한다.
한편 해커는 여러 내부 슬랙 메시지를 다운로드했으며 재무팀이 인보이스 관리에 사용하는 내부 도구에서 정보를 다운로드했다고 확인했다. 또 보안 연구자가 버그나 취약성을 보고하는 보상금 플랫폼인 해커원(HackerOne) 대시보드에도 액세스 가능했다고 하지만 공격자가 액세스할 수 있던 버그 리포트는 모두 수정되고 있다. 우버는 보안 보고서에서 해킹 공격이 진행되는 동안에도 우버와 우버이츠, 우버플레이트 일반 서비스 운영을 유지하고 원활하게 실행할 수 있었다며 일부 사내 도구 중단에 따라 고객 지원 업무는 최소한의 영향을 받았지만 현재는 평소대로 가동되고 있다고 밝혔다. 또 이 사건과 관련해 우버는 FBI, 미국 사법부와 긴밀하게 협력하고 있으며 앞으로도 노력을 지원할 것이라며 미래 공격으로부터 우버를 보호하는 정책과 관행을 강화하기 위해 노력해나갈 것이라고 표명했다. 이번 공격을 한 해커는 마이크로소프트, 엔비디아, 삼성전자 등 대기업에 해킹을 한 국제 해커 집단인 라푸스$(LAPSUS$) 멤버이며 teapots2022(teapotuberhacker)라는 자칭 18세 인물로 지적되고 있다. 또 이 해커는 개발 중인 GTA 6 테스트 플레이 영상과 코드를 유출시켰다고 보도되고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
