작성일자 글쓴이 bylinenetwork

‘또’ 해킹 당한 우버의 속사정

🚖 ‘또’ 해킹당한 우버의 속사정

① 해킹을 대하는 우버의 자세

우버

2016년에 이어 우버가 또 해킹을 당했다고 합니다. 이번에는 해커가 우버 직원들이 소통하는 사내 메신저 ‘슬랙’의 계정을 탈취, 데이터베이스에 접근해 시스템을 장악했다고 하네요. 현재 알려진 대로라면, 해커의 나이는 18살로 추정됩니다. 그는 대범하게도 슬랙 메신저 방에서 “나는 해커이며 우버는 데이터 침해를 겪었다”고 밝히며 우버를 조롱했습니다. 또한 우버의 자체 보안 취약점을 신고받는 프로그램에 자신이 발견한 취약점을 코멘트하기도 했다네요.

우버는 미국 최대 차량 호출 서비스 업체입니다. 우리로 따지면 카카오택시와 같은 곳이죠. 거의 대부분의 시민이 쓰는 이런 거대 플랫폼은 이용자 편익과 안전, 정보 보호에도 영향을 미치기 때문에 보안에 아주 민감합니다. 해커가 무엇을 노리고 해킹을 했느냐에 따라 생각지도 못한 사고가 일어날 수도 있죠. 지난 번에 다뤘던 러시아 얀덱스 택시의 사례 기억하시나요?  정체 불명의 해커가 얀덱스 택시 시스템을 해킹해 한 지역에 몰려들도록 명령을 내려 도로를 아비규환으로 만들어 놓았다는 소식이었는데요(🔗관련 내용). 

이번 사건의 경우 직접적인 피해가 발생한 건 아니지만, 한 가지 주목할 부분이 있습니다. 해커가 우버 사내 메신저에 ‘정식’으로 로그인해 자신의 범행을 알렸다는 겁니다. 이 해커는 어떻게 로그인 계정을 얻은 걸까요?

인간은 모든 네트워크 중 가장 약한 고리

뉴욕타임스에 따르면 자신이 해커라고 주장하는 이는 “사회 공학적인 방법”으로 계정과 비밀번호를 얻었다고 말하고 있습니다. 보안에서 사회 공학이란, 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법을 말하는데요. 시스템이 아닌 개인의 취약점을 노려 필요한 정보를 빼낸 뒤 시스템에 침투하는 겁니다. 이 해커는 왓츠앱 메신저를 통해 우버 직원에게서 네트워크 비밀번호를 얻었다고 주장했습니다.

조금 황당해 보이지만 이 방법을 무시할 수 없는 게, 2020년 있었던 트위터 해킹 시도에서도 10대 청소년들이 유사한 방법을 썼던 전력이 있기 때문입니다. AP통신의 표현대로 기술이 고도화되고 연결이 강화될수록 인간이 가장 약한 고리가 아닐까 싶네요. 

해킹과 보안에 관해 우버는 안 좋은 전력이 있습니다. 2016년 10월에도 해커에게 당해 전세계 고객 5000만명과 운전기사 700만명의 개인 정보가 유출됐었는데요. 당시 우버는 무려 1년 동안 이 사실을 숨겼다가 거액의 벌금을 냈습니다. 이번에도 우버의 안일한 대응이 눈길을 모았습니다. 해커의 슬랙 메신저를 본 우버 직원들이 농담인 줄 알고 해커에게 이모지와 ‘움짤'(움직이는 그림 파일)로 답장을 보낸 겁니다. 정부 기관의 수사에 협조 중이고 해커의 접근을 차단하기 위해 노력하고 있다고는 했지만, 발빠른 대처를 하지 못했다는 비판을 피하지는 못했습니다. 

IT 업계 모두 긴장해야 한다는 시그널

한편 지난주까지만 해도 해커가 해킹 그 자체로 관심을 끌려고 한다는 분석도 나오고 있었는데요. 침묵을 지키던 우버는 지난 19일 해킹 사고의 전말을 공개하면서 이 사건의 배후에 ‘랩서스(Lapsus$)’라는 해커 그룹이 있다고 발표했습니다(🔗관련 기사). 랩서스는 시스코(Cisco), 마이크로소프트(Microsoft), 엔비디아(Nvidia), 옥타(Okta), 삼성 등 굴지의 기업을 해킹해 이름을 알린 단체입니다. 다중인증 장치를 우회하는 공격 도구로 유명하죠. 이번 사건에서도 이 기법이 쓰였고요.

보안 업계에서는 다중 인증 시스템 침투를 중대하게 보고 있습니다. 여러 번 인증을 해야 하기 때문에 보안에 철저한 듯 보이지만 사용자들 입장에서는 피로도가 누적되기 때문에 이 점이 공격의 열쇠가 됐다는 겁니다. 이번 우버 해킹 사건에서도 해커는 다중 인증 관련 메시지를 받도록 의도적으로 로그인 실패를 반복한 뒤 기술 부서 직원을 사칭해 인증을 허락해 달라고 요청했다고 합니다. 이런 직원이 적지 않기 때문에 담당 직원도 큰 의심 없이 허가했고요.

결국 이 문제는 우버만의 문제가 아니라 다중인증을 사용하는 모든 조직에 공통적으로 적용될 수 있는 취약점일 수 있습니다. 월스트리트저널은 우버 사태를 분석하면서 “보안은 테크놀로지의 아킬레스건”이라고 표현했는데요. 현대 IT 환경은 매우 빠르게 변하고 있습니다. 이번 사건은 그 속도를 보안이 따라잡지 못하면서 발생한 경우로 볼 수 있습니다. 기술이 발전하고 모두가 연결될수록 보안에 더욱 심혈을 기울여야 할 것 같습니다.

② 어도비, 피그마를 먹어치우다

지난주 시장에 가장 큰 충격을 준 소식, 어도비의 피그마 인수죠. 어도비는 현금과 주식을 반반씩 섞어서 200억달러(약 28조원)에 크리에이티브 소프트웨어 업계 경쟁자 피그마를 흡수했습니다. 천조국 미국의 민간 벤처시장에서도 가장 큰 규모의 인수합병이었다고 하는데요. 

피그마의 기업가치는 대략 2억달러의 자금을 조달한 작년 6월만 하더라도 100억달러(약 13조 9000억원)였습니다. 일년 만에 심지어 투자 한파 속에서 몸값이 두 배로 뛰었습니다. 하지만 시장에서는 피그마의 가치에 비해 어도비가 너무 많은 돈을 썼다고 보는 기류도 읽힙니다. 실제로 인수 직후 어도비의 주가는 17% 하락했고, 이후 주가 반등은 일어나지 않은 상황입니다. 거액을 들여 무리하게 인수를 추진할 만큼 업계의 골리앗 어도비에게 클라우드 협업 시스템을 무기로 압박하는 다윗 피그마가 큰 위협이었나 봅니다. 

피그마 창업자
피그마를 창업한 딜런 필드 대표(오른쪽)와 에반 월리스 최고기술책임자(왼쪽).

포토샵으로 유명한 어도비는 사진이나 이미지, 동영상을 다루는 소프트웨어 회사입니다. 이 회사가 높게 평가한 피그마는 협업 기반 디자인 소프트웨어 제작사고요. 샨타누 나라옌 어도비 CEO는 이날 피그마 인수를 공개하면서 두 회사가 공동으로 창의성과 생산성의 미래를 재창조하겠다는 거창한 포부를 밝혔는데요. 정말 이번 인수의 목적이 피그마와의 상생이었을까요? 

해외 언론들의 분석은 좀 다릅니다. 합병의 종류 중에는 새로운 경쟁자를 죽이기 위한 ‘킬러 합병(Killer Marge)’이 있습니다.  한 논문에 따르면, 2015~2016년 미국의 5대 기술 기업(Microsoft, Apple, Amazon, Google, Facebook)은 175개 기업을 인수해 대부분의 회사를 없애 버렸다고 합니다. 미국의 의료 스타트업 뉴포트는 기존 의료장비 제조업체인 코비디엔에 합병되면서 한창 진행하던 저가 인공호흡기 개발이 중단되기도 했습니다.

업계에서 이번 거래를 ‘킬러 합병’으로 보는 이유는 피그마가 어도비를 위협하고 있기 때문입니다. 피그마는 개인과 소규모 기업 이용자가 많았습니다. 디자인 협업 툴을 무료로 배포하기 때문이죠. 그런데 언제부터인가 대기업들이 피그마를 도입하기 시작했고, 어도비는 직접적인 위협을 느끼게 됐습니다. 심지어 어도비의 오랜 친구 마이크로소프트마저 최근엔 피그마를 공동 작업을 위한 최우선 도구로 이용하고 있습니다.

게다가 어도비와 피그마 사이에는 수익 차이도 큰데요. 어도비는 이미 크리에이티브 클라우드 서비스로 매년 10조원 넘게 벌어들입니다. 피그마가 아무리 떠오르는 혜성이라도 아직은 수익이 연간 5000억원에 불과합니다. 겨우 이돈이 아쉬워서 28조원을 쏟아부은 것은 아닐테니, 피그마가 무료를 앞세워 시장을 파괴하기 전에 미리 사서 없애겠다는 것이 어도비의 전략이라는 분석이 나올만 하죠.

③ 이더리움 머지 완료, 비트코인은?

이더리움

이더리움이 네트워크 합의 알고리즘을 작업증명(PoW)에서 지분증명(PoS) 방식으로 바꾸는 ‘머지’ 업그레이드를 했습니다. 머지 업그레이드는 보유 지분에 중점을 두는 방식입니다. 기존에는 복잡한 연산 문제를 풀어 거래 유효성을 검증받고 코인을 받는 ‘채굴’ 형식이었다면, 머지에서는 지분 보유량에 비례해 블록 생성 권한을 부여받고 그 대가로 코인을 보상받습니다. 네트워크 처리 속도 증가, 수수료 감소, 에너지 낭비 예방에 효과적이죠.

이더리움 창시자인 비탈릭 부테린은 업그레이드 완료 후 자신의 SNS를 통해 “머지는 이더리움 생태계에 있어 중요한 순간”이라면서 “전 세계 전기 소모량을 0.2% 줄일 수 있다”고 언급했습니다.

머지 이후 신규 이더리움 발행량은 약 90%가량 급감했습니다. 수요∙공급의 법칙에 따라 공급량이 크게 줄어 이더리움 가격이 상승하게 되겠죠. 총 발행량이 2100만개로 한정된 비트코인과 달리 이더리움은 발행량이 사실상 무제한이었기 때문에 인플레에 취약하다는 평가가 있었는데요. 이번 업그레이드로 이더리움 공급량이 크게 줄며 수급 상황도 개선될 것으로 보입니다.

그런데 이더리움 머지를 두팔 벌려 환영하는 의외의 인물이 있습니다. 일명 ‘비트코인 신봉자’로 알려진 마이클 세일러 마이크로스트래티지(MSTR) 회장입니다. MSTR은 원래 소프트웨어 회사인데요. 빚까지 내면서 회사의 모든 운명을 비트코인에 걸고 있는 독특한 회사입니다. 

머지 이후 이더리움의 힘이 세지면서 반대로 비트코인의 힘이 약해지지 않겠느냐는 의견들이 있었는데요. 마이클 세일러 회장은 이런 의견에 정면 반박합니다. 작업증명을 사용하는 전체 가상자산 시장에서 비트코인의 비중이 95%이기 때문에 머지 이후에 오히려 비트코인의 영향력이 강화될 수 있다는 겁니다. 그의 말대로 비트코인은 약해지는 게 아니라 점점 강해지고 있는 걸까요?

④ EU “스마트폰 부품 최소 5년치 준비하라”

유럽연합 집행위원회(EC)가 스마트폰 예비 부품과 OS 업데이트를 최소 5년간 제공하도록 하는 법안을 추진한다고 합니다. 사용자가 기기를 오래 쓸 수 있는 환경을 만들어서 환경 보호를 실천하겠다는 건데요. 지난달 말 발표된 법안이 통과되면 유럽에서 판매하는 모든 스마트 기기의 OS 업데이트는 3년, 보안 업데이트는 5년간 제공돼야 합니다. 수리 가능한 부품 역시 5년간 전문 수리업자에 공급돼야 합니다. 재고로 보유해야 하는 필수 부품은 배터리와 디스플레이, 충전기 등 15가지입니다. 

흥미로운 점은 스마트 기기 분야 리더인 삼성과 애플이 이런 제약 흐름에서 의외로 비교적 자유롭다는 겁니다. 삼성전자는 현재 OS 업데이트 4년, 보안 업데이트 5년을 제공하고 있고, 애플은 OS 업데이트 5년, 보안 업데이트는 6년 이상 제공 중이기 때문이죠. 부품도 삼성전자는 유럽에서 2년, 국내에서 4년치 제공을 원칙으로 하고 있으니 보증 기간이 길어진다고 해도 아주 큰 일은 아니라는 겁니다. 하던 걸 조금 더 확대하면 된다고나 할까요. 애플도 비슷한 상황이고요.

그럼 이 정책이 누구에게 가장 큰 영향을 미칠까요? 중저가 제조사들이 될 확률이 높아 보이는데요. 예비 부품과 OS 업데이트를 오래 제공하려면 재고 비용이 늘어날 것이고, 단말기 가격 인상으로 연결될텐데 이런 결과가 중저가 제조사한테는 부담이 될 수 있다는 우려가 있습니다. 세계 개인정보보호 정책이 일반개인정보보호법(GDPR)을 기준으로 확대된 것을 감안했을 때, 이 같은 스마트폰 부품 정책은 전세계로 확대될 것으로 보입니다. EC의 정책이 최저가 폰을 주로 사용하는 개발도상국의 입장을 전혀 고려하지 않았다는 비판이 나오는 이유도 이런 맥락에서입니다. 규제안은 정식 정책으로 채택되기 전까지 의견 수렴과 표결 과정이 남았습니다. EC는 이 비판을 어떻게 수렴해 정책으로 만들어 낼까요?

바이라인네트워크
디지털 세계의 비즈니스 이야기를 전합니다.