우버를 어찌할꼬... 잇따라 강력범죄 및 해킹 사건에 연루

레바논에서 사망한 영국 여성...우버 운전자 유력한 용의자로 체포
웨이모 기술 훔치다가 소송 말려들고...전 근무자 “우버는 해커” 폭로하기도

[보안뉴스 문가용 기자] 혁신 IT 기업의 대표주자 우버가 또 다시 강력한 사건들에 휘말렸다. 먼저는 강력범죄 사건이다. 레바논에 주재하고 있는 영국 대사관에서 근무하고 있는 30세 여성인 레베카 다이크스(Rebecca Dykes)가 지난 토요일 아침 고속도로가에서 주검으로 발견된 바 있는데, 레바논 경찰이 오늘 우버 운전자 한 명을 용의자로 체포한 것.

[이미지 = iclickart]

레바논 경찰은 이 인물에 대한 정보를 아직까지 공개하지 않고 있다. 파이낸셜타임즈는 이 자가 타릭 H(Tariq H)라고 보도했는데, 혐의가 인정된다면 우버는 운전자 선택 및 관리 체계와 관련된 비판을 면치 못할 것으로 보인다. 레바논 경찰은 CCTV를 분석해 레베카 다이크스가 SUV 차량으로 납치된 것을 파악했고, 우버는 타릭 H라는 인물이 SUV 차량을 운전한다는 사실을 확인했다. 용의자 역시 혐의를 인정했다고 경찰 측은 전하고 있다.

이번 건이 아니라고 하더라도 우버의 운전자 선택 및 관리 문제는 지속적인 비판 대상이었다. 승객의 안전 문제에 관한 확실한 체계가 잡혀있다고 보기 어려워 3년 전엔 뉴델리에서 잠시 우버 사업이 금지된 적이 있고, 지난 9월 런던의 교통국 역시 우버 운행을 중단시켰다. 우버는 운전자를 선정할 때 신원조사를 통해 전과 기록을 확인한다고 하지만, 이것만으로는 충분치 않다는 목소리는 계속해서 있어왔다.

또 다른 사건은 ‘해킹 사건’이다. 우버는 현재 웨이모(Waymo)라는 기업의 소송으로 법정싸움을 벌이고 있는데, 전망이 좋아 보이지 않는다. 법원으로 이전 우버 근무자의 공식 서신이 한 장 도착했는데, 우버가 그 동안 경쟁사들을 해킹하고 감시해왔다는 증언이 담겨 있었다고 한다. 서신은 사법부가 우버 대 웨이모 사건의 담당 판사에게 전달했다.

웨이모는 구글을 소유하고 있는 모기업 알파벳(Alphabet)이 운영하고 있는 자회사로 무인자동차 개발을 주력으로 하고 있다. 마찬가지로 무인자동차 기술 개발에 관심을 가지고 있는 우버가 웨이모의 기술과 영업 비밀을 훔쳐냈다고 웨이모가 주장하면서 소송이 시작된 건데, 전 우버 근무자이자 내부자의 ‘우버가 해킹했다’는 증언이 우버에 불리하게 작용할 것으로 보인다.

외신에 의하면 이 중요한 서신을 작성한 사람은 우버의 글로벌 첩보 책임자였던 리차드 제이콥스(Richard Jacobs)로 2016년 3월부터 2017년 2월까지 근무했었다. 제이콥스도 현재 “우버가 부당하게 날 해고했다”고 주장하며 우버를 고발한 상태다. 서신을 통해 리차드는 “우버는 다양한 해킹 전략을 활용해 경쟁사의 기밀들을 훔쳐냈다”고 밝혔다. 서신은 리차드가 변호사를 통해 작성했다.

리차드에 의하면 우버는 그 동안 특정 경쟁사의 비밀 데이터베이스에 불법적으로 접근했으며, 그 회사에 등록된 운전자 정보를 훔쳐 우버 운전자로 빼돌리려 했다고 한다. 또한 SIM 카드들을 사용해 또 다른 회사를 해킹했으며, 시스템 운영 방법과 여러 새로운 아이디어 및 사업 기획들을 훔쳐냈다는 주장도 있었다. 심지어 취약점이 있으면 익스플로잇도 했다.

더 경악스러운 건 우버 내에 전략 서비스 그룹(Strategic Service Group)이라는 부서가 있는데, 경쟁사나 우버에 대해 적대적인 인물들의 모바일 폰으로부터 메타데이터를 수집했다는 것이다. 전략 서비스 그룹이 직접 이러한 일들을 실시한 건 아니고, 우버가 불법 감시 및 감청 행위로 훔쳐낸 기술들이 전략 서비스 그룹에 전달되면, 그들은 그것이 마치 자신들의 것인 냥 사업을 진행했다. 감시 대상은 정치인들과 정부 정책 기관 담당자 및 수장들이기도 했다. 우버는 신호를 중간에 가로채는 장비를 이용하기도 했고, 모바일 기기를 해킹하기도 했다고 한다.

우버 측은 “아직 서신의 내용을 전부 검토하지 못했다”며 “우버의 아이디어와 기술력을 바탕으로 공정한 경쟁을 해나갈 것”이라고 발표했다.

우버는 각종 스캔들에 연루된 CEO 트래비스 칼라닉(Travis Kalanick)을 해고하고 다라 코스로샤히(Dara Khosrowshahi)를 고용하는 등 큰 변화를 겪더니, 최근 5천 7백만 건의 고객 정보 유출 사건이 발생한 걸 알고도 해커와 따로 연락해 사건을 더 이상 키우지 말아달라며, 버그바운티 형태로 돈을 지불한 것이 알려져 세간의 질타를 받고 있었다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)