티스토리 뷰
우버의 전 보안 최고 책임자는 2016년 회사 데이터베이스 해킹에 대해 미국 당국에 알리지 않은 혐의로 유죄 판결을 받았다.
샌프란시스코 배심원단은 2017년 우버에서 해고된 조 설리번이 공무집행방해와 중죄 은폐 혐의로 유죄 판결을 내렸다.
점점 더 많은 회사들이 랜섬웨어 해커들과 협상하고 있다.
그러나 수사관들은 그들의 시스템이 침해되었을 때 "옳은 일을 해야 한다"고 말했다.
이번 유죄 판결은 샌프란시스코 미국 검찰청에서 사이버 관련 범죄를 기소했던 설리번에게 극적인 반전이다.
설리번의 유죄판결 이후 그의 변호사인 데이비드 앤젤리는 "설리번 씨의 유일한 초점은 이 사건과 그의 뛰어난 경력 내내 인터넷 상의 사람들의 개인 정보의 안전을 보장하는 것이었다"고 말했다고 워싱턴 포스트가 보도했다.
그러나 검찰은 이 사건이 기업에 대한 경고라고 말했다.
스테파니 M 힌즈 미국 변호사는 "우리는 그 회사들이 그 데이터를 보호하고 그러한 데이터가 해커에 의해 도난당했을 때 고객과 해당 당국에 경고를 줄 것으로 기대한다"고 말했다.
힌즈 여사는 설리번이 미국 규제당국 연방거래위원회(FTC)의 데이터 유출을 숨기기 위해 노력하고 있다고 비난하며 "해커들이 잡히지 않도록 조치를 취했다"고 덧붙였다.
당시 공정위는 이미 2014년 해킹에 이어 우버를 조사하고 있었다.
미 법무부(DOJ)에 따르면 다시 해킹을 당하자 공격자는 설리번에게 이메일을 보내 대량의 데이터를 훔쳤으며 몸값을 받는 대가로 이를 삭제하겠다고 밝혔다.
설리번에서 일하는 직원들은 약 5,700만 명의 우버 사용자의 기록과 60만 개의 운전면허 번호를 포함한 데이터가 도난당했음을 확인했다.
DOJ에 따르면 설리번은 해커들이 해킹을 누구에게도 공개하지 않는 비공개 계약에 서명하는 대가로 비트코인으로 10만 달러(89,000파운드)를 지불하도록 주선했다.
해커들은 실명을 밝히기를 거부했음에도 불구하고 2016년 12월에 돈을 받았다.
이 지급은 취약점을 공개하는 사이버보안 연구원들에게 취약점을 고칠 수 있도록 지급하는 데 사용되는 보상인 "버그 현상금"으로 위장되었다.
워싱턴포스트는 이 과정을 통해 우버가 두 해커에 대한 단서를 수집할 수 있었다고 보도했다. 그 회사는 결국 2017년 1월에 두 사람 모두 범죄 혐의로 유죄 판결을 받은 두 사람을 확인하고 그들 자신의 이름으로 새로운 계약에 서명하도록 요구했습니다.
이 유죄 판결은 많은 사이버 보안 간부들의 등골을 오싹하게 했다.
조직화된 랜섬웨어 조직, 정부의 지원을 받는 해킹 팀, 그리고 무정부주의적인 아이들이 기업을 목표로 하고 있는 상황에서 최고 정보 보안 책임자가 되는 것은 이미 어려운 일이다.
설리번이 고용주를 대신해 내린 결정에 대해 개인적으로 유죄 판결을 받는 것은 무서운 선례가 된다고 일부 사람들은 말한다.
관찰자들에게, 설리번이 2016년에 저지른 범죄는 오늘날의 기준으로 볼 때 이상한 것으로 읽힌다.
해커들과 협상하고 조용히 하기 위해 그들에게 돈을 지불하는 것은 말 그대로 랜섬웨어 갱단에 의해 매일 행해지고 있다.
배심원단이 발견한 중요한 차이점은 설리번이 그것을 은폐하려 했다는 것이다.
사이버 범죄자들에게 그들이 원하는 것을 주는 것은 더 이상 예전과 같은 심각성을 수반하지 않지만, 회사들은, 그때나 지금이나, 그들과 그들의 고객들에게 영향을 미치는 사이버 사건에 어떻게 대응하는지에 대해 항상 투명해야 한다.
DOJ는 설리번이 "해커들이 우버뿐만 아니라 다른 회사들을 해킹하고 갈취하고 있으며, 해커들이 적어도 다른 회사들 중 일부로부터 데이터를 입수했다는 것을 알면서도 이러한 행위를 조직했다"고 말했다.
우버의 새 경영진은 결국 자체 조사를 거쳐 2017년 공정위에 위반 사실을 신고했다.
2018년, 우버는 해킹을 폭로하는 것이 너무 늦었다는 주장을 해결하기 위해 미국 주에 1억 4,800만 달러를 지불했다.
충격 판결
그 평결은 컴퓨터 보안 분야에서 일하는 많은 사람들에게 놀라운 것이었다. 당시 설리번은 우버의 고위 인사들에게 이 같은 위협에 대해 알려준 것으로 알려졌다.
재판부는 또 내부 법률 자문이 가해자가 확인되면 해킹 사실을 공개할 필요가 없다는 의견을 제시했고, 자료를 삭제하고 더 이상 유포하지 않기로 합의했다고 들었다.