18세 해커에 또 뚫린 우버..직원 메신저 통해 '재미로' 침입

모빌리티 플랫폼 기업 '우버'. 사진 우버코리아

미국 최대 차량호출 서비스 업체 '우버'가 지난 2016년에 이어 또 다시 해킹 공격을 당했다.

16일(현지시간) 뉴욕타임스(NYT)와 CNBC방송 등에 따르면, 우버는 전날 밤 트위터를 통해 성명을 내고 "현재 사이버보안 사건에 대응하고 있다"며 "법집행 당국과 접촉하고 있으며 추가로 업데이트되는 상황이 있으면 게시할 것"이라고 말했다.

우버는 해커가 전날 오후 한 직원의 기업용 메신저 '슬랙' 계정에 침투해 회사 내부 시스템들을 장악했다고 밝혔다. 해커는 이 직원의 슬랙 계정을 이용해 다른 직원들과 대화를 주고받은 뒤 우버의 이메일, 클라우드 스토리지, 소스코드 저장소, 내부 금융 정보 등에 접근할 수 있었던 것으로 보인다.

이번 사이버 공격에는 시스템의 취약점이 아니라 개인의 취약점을 노려 필요한 정보를 빼낸 뒤 시스템에 침투하는 사회공학적 해킹 방식이 동원됐다고 미 언론들은 전했다. 맨 처음 해커는 우버의 정보기술(IT) 담당 직원에게 문자메시지를 보내 비밀번호를 넘겨받아 시스템에 침투할 수 있었던 것으로 전해졌다.

그는 내부 시스템을 장악한 뒤 슬랙을 통해 "나는 해커이고 우버는 데이터 유출을 겪고 있음을 선언한다"는 메시지를 우버 직원들에게 보냈다. 이 메시지를 받은 우버 직원들은 농담인 줄 알고 해커에게 이모지와 '움짤'(움직이는 그림 파일)로 답장을 보내기도 했다고 워싱턴포스트(WP)가 보도했다.

해커는 NYT에 자신이 18세이며, 우버의 보안이 취약하기 때문에 회사 시스템에 침투한 것이라고 설명했다. 이 해커는 WP에 자신이 "재미로" 우버 시스템에 침입했으며 몇 달 안에 우버의 소스코드를 유출할 수 있다고 밝혔다.

우버가 해킹 공격을 당한 것은 이번이 처음이 아니다. 이 회사는 지난 2016년 10월 해커들의 공격으로 전 세계 고객 5000만 명과 운전기사 700만 명의 개인정보가 유출된 사실을 1년간 숨겼다가 여론의 뭇매를 맞고 당국에 거액의 벌금까지 냈다.

김다영 기자 kim.dayoung1@joongang.co.kr