Breaking
사이버 보안(Cybersecurity)
데이터 유출 은폐 시도 '우버'…결국 1억 4,800만 달러 벌금
2019-05-28 17:25:42
김지연
▲우버의 데이터 유출은 2016년 10월에 발생했다출처(사진=ⓒ123rf) 

[라이헨바흐=김지연 기자] 미국의 스마트폰 기반 승차 공유 서비스 기업 우버가 데이터 유출 사실을 은폐한 정황이 드러나 거액의 벌금을 물게 생겼다.  

앞서 우버는 2016년 5,700만여개의 고객 및 운전자 정보가 유출된 것을 발견했다. 그러나 이를 알리지 않고 은폐해 1억 4800만 달러(약 1680억원)의 벌금이 부과됐다. 

우버의 데이터 유출 은폐 

CNBC에 따르면, 우버의 데이터 유출은 2016년 10월에 발생했다. 그러나 유출을 발견한 직후 해커들에게 10만 달러를 주며 사건을 조용히 무마하고 넘어갔다. 당시 10만 달러의 합의 조건에는 우버가 해킹 사실을 향후 외부로 알리지 않을 것이라는 약속도 포함돼있었다.  

그러나 이듬해 새로 선임된 다라 코스로샤히 최고경영자(CEO)가 이 사실을 발견하면서, 우버의 데이터 유출 사건은 그해 11월 만천하에 공개됐다. 물론 데이터 유출에 더해 은폐 사실이 드러나면서 우버는 미국과 영국, 호주 및 필리핀 등 비즈니스를 운영하는 세계 각 지역의 사용자들로부터 맹렬할 비판을 받았다. 

이와 관련 당시 캘리포니아 검찰총장인 하비에르 베세라는 이 사건을 우버의 배신적 행위라고 규정했다. 우버 앱을 사용하는 수백만명의 승객과 운전자들의 정보를 훼손시켜 대중의 신뢰가 위태로워졌다는 설명이다.  

베세라는 당시 우버의 은폐 결정은 국민의 신뢰에 반하는 뻔뻔스러운 위반 행위라며, 사용자들의 데이터를 보호하지도 못했으며 당국에 유출 사실을 통보하지도 않았다고 지적했다. 

우버의 유출된 사용자 데이터에는 미국 내 600만 명의 운전자 이름과 면허증 번호뿐 아니라 전세계 5,700만 명의 사용자 이름과 이메일 주소, 전화 번호가 포함돼있었다.  

사이버 보안 기업인 시만텍은 그러나 다행히도 사회보장번호(주민등록번호)와 최종 목적지, 신용카드 번호 및 은행 계좌 등의 필수적인 정보는 손상되지 않았다고 설명했다. 또한 우버는 유출된 정보가 사기 목적으로 도용된 증거도 발견되지 않았다고 밝혔다. 

문제 있는 비즈니스 관행 

그러나 로이터는 당시 우버의 윤리성에 대한 명성은 이미 현저히 부재한 상태라고 한층 더 높게 비판한 바 있다. 이에 데이터 유출과 은폐 시도가 사실 놀랍지도 않다는 것. 베세라 총장 역시 당시 우버의 고객 정보 처리에 대한 회사의 무능력을 인정했다.  

그는 우버가 법률을 고의적으로 무시해 왔다는 입장을 피력했는데, 실제로 유출 사건이 터지기 전인 2014년에도 연방거래위원회(FTC)로부터 별도의 사이버 보안 컴플레인을 받았다. 

▲우버 이미 악명 높은 비윤리적 비즈니스 관행으로 유명하다(사진=ⓒ123rf)

그러나 우버의 은폐 사실은 코스로샤히 새 CEO에 의해 낱낱이 밝혀졌다. 이전 트래비스 칼라라닉 CEO 지휘하에 있을 때 회사의 데이터베이스에서 방대한 해킹 사건이 발생했었다는 것을 인정한 것이다. 사건을 무마한지 겨우 1년만에 모든 사실이 다 드러난 셈이다.  

코스로샤히 CEO는 그러나 이전 CEO 상황에서 어떻게 관리가 이루어졌었는지는 언급하지 않았다. 다만 해킹 사실이 발견됐을 때 즉시 공개됐었어야 했다고 주장했다. 

1억 4,800만 달러 벌금 

당시의 데이터 유출 사실 은폐로 우버는 결국 1억 4,800만 달러라는 거액의 벌금을 지불하게 됐다. 이 금액은 우버측과 캘리포니아 검찰간의 합의로 인해 도출된 결과로, 당시 합의는 뉴욕의 바바라 언더우드 검찰총장이 주도했다. 코스로샤히 CEO는 또한 벌금 외에도 기존의 보안 관리들을 해고하고 새로운 관리자들을 임명하는 등 회사 이미지 쇄신에 나섰다. 

새롭게 우버의 대리인으로 임명된 토이 웨스트 최고법률책임자(CLO)는 이와 관련, 지난 해킹 사건을 공개한 회사의 결정은 올바른 행동일 뿐 아니라 오늘날 비즈니스를 운영하는 원칙인 투명성과 무결성, 그리고 책임성을 구현하는 것이라고 강조했다. 또한 자사가 사용자 보안에 대해 우려하고 있으며, 그러나 모든 사용자의 데이터를 일일이 모니터링하는 것은 어렵기 때문에 정부 기관의 도움을 받을 것이라고도 설명했다.   

그는 또한 로이터와의 인터뷰를 통해 전세계의 고객 및 규제 기관의 신뢰를 얻는 것이 결코 쉬운 일은 아니라며, 고객과 데이터를 안전하게 보호하기 위해 지속적으로 보호 장치에 투자할 것이라고 말했다. 이어 전세계의 정부 기관과 건설적인고 협력적인 관계를 유지할 것이라고도 덧붙였다. 

[라이헨바흐=김지연 기자]