2017.11.29

글로벌 칼럼 | 우버는 CSO를 희생양으로 삼았나

Steve Morgan | CSO
뉴욕타임스 보도에 따르면, 우버의 CSO는 해고당했다. 이는 우버가 최근 공개한 1년 전 해킹에 대해 조 설리번에게 책임을 지게 한 것인가. 언론에 수없이 오르내리던 설리번의 명성은 돌이킬 수 없이 추락하고 말 것이다.

비공개, 해직 또는 고용 계약의 일부로 우버가 비밀유지를 위해 전 CSO에게 수십만 달러 또는 수백만 달러에 이르는 수수료를 지불했다면 이를 승락했을 수도 있다. 이와 함께 우버는 데이터를 훔쳐 간 사이버범죄자들에게 이 데이터를 파괴하기 위해 10만 달러를 지불했다.

한편, 설리번은 실제 그가 고의로 법을 어긴 것이라면 그는 해고당할만 하다.
기업과 정부기관은 해킹을 적시에 공개해야 한다는 캘리포니아의 새로운 데이터 보안법은 2016년 1월 1일부터 시행됐다. 물론 변호사인 설리번은 이 법을 잘 알고 있다.

해킹을 당한 이후 해고된 이에게, 특히 설리번 정도의 배경을 지닌 사람이라면 그의 이야기를 들어봐야 공평하다. 설리번은 페이스북에서 CSO로 5년 이상을 보냈고, 이전에는 이 회사를 위해 법률 자문위원으로 재직했다. 그의 이력서에는 페이팔과 이베이 수석 법률 및 보안 담당이 포함되어 있으며, 캘리포니아 북부 컴퓨터 해킹 및 IP 분야의 미국 변호사로 되어 있다.

지금 현재, 설리번은 다시는 고용되지 못할 정도로 비난받아 마땅한 수준이다. 하지만 그의 입장에서 이야기를 들어본다면 상황이 달라질 수 있다.

우버 전 CSO에 대한 5가지 질문
설리번이 대답을 할 수 있는 상황이라면, 필자는 그에게 다음과 같은 질문 5개를 하고 싶다.

- 최근에 공개된 우버 해킹 사건을 의도적으로 은폐했는가?
- 우버 경영진은 법에서 요구한 해킹 사건을 공개하도록 독려했는가?
- 협상을 통해 해커에게 10만 달러를 지불해 도난당한 데이터를 파괴하고 조용하는 것에 동의했는가?
- 의도적으로 우버 사용자와 운전자 데이터를 암호화하지 않아 해킹의 심각성을 높인 것인가?
- 버그 현상금 프로그램을 흉내내면서 해커들에게 돈을 지불한 것인가?


설리번이 이 질문에 답할 경우, 사이버보안 커뮤니티와 미디어는 지난해 우버에서 발생한 사건에 대해 훨씬 더 명확하게 파악할 수 있을 것이다.

우버에 대한 사이버 포렌식 질문
질문 내용을 사이버 포렌식 조사로 넓힌다면 우버는 대답해야 할 것들이 많다. 뉴욕에 본사를 둔 디지털 포렌식 및 사이버보안 정보 업체인 리파르(LIFARS) 설립자이자 디지털 포렌식 CEO 온드레이 크레헬은 위반 사항을 조사할 때 묻는 5가지 초기 질문을 제공했다.

- 이 해킹 사건은 어떻게 발견됐는가?
- IT 관리자가 해킹 당한 시스템에서 취한 조치는 무엇인가?
- 해킹당한 시스템의 디지털 포렌식 사본을 얻거나 만들 수 있는 방법은?
- 분석 및 포렌식 선별 검사에서 도움이 될만한 로그나 메타 데이터 정보가 있는가?
- 보안 코드 리뷰나 침투 테스트 또는 유사한 것과 같이 해킹 당한 인프라에서 수행된 기술 평가를 검토할 수 있는가?


일단 유능한 조사관이 우버의 IT 상황을 살펴본다면, 지금까지 공개되지 않았던 많은 문제점들을 파악할 수 있을 것이다. 설리번에 대해서는 유죄로 판결나기 전까지는 그는 무죄다. editor@itworld.co.kr  


2017.11.29

글로벌 칼럼 | 우버는 CSO를 희생양으로 삼았나

Steve Morgan | CSO
뉴욕타임스 보도에 따르면, 우버의 CSO는 해고당했다. 이는 우버가 최근 공개한 1년 전 해킹에 대해 조 설리번에게 책임을 지게 한 것인가. 언론에 수없이 오르내리던 설리번의 명성은 돌이킬 수 없이 추락하고 말 것이다.

비공개, 해직 또는 고용 계약의 일부로 우버가 비밀유지를 위해 전 CSO에게 수십만 달러 또는 수백만 달러에 이르는 수수료를 지불했다면 이를 승락했을 수도 있다. 이와 함께 우버는 데이터를 훔쳐 간 사이버범죄자들에게 이 데이터를 파괴하기 위해 10만 달러를 지불했다.

한편, 설리번은 실제 그가 고의로 법을 어긴 것이라면 그는 해고당할만 하다.
기업과 정부기관은 해킹을 적시에 공개해야 한다는 캘리포니아의 새로운 데이터 보안법은 2016년 1월 1일부터 시행됐다. 물론 변호사인 설리번은 이 법을 잘 알고 있다.

해킹을 당한 이후 해고된 이에게, 특히 설리번 정도의 배경을 지닌 사람이라면 그의 이야기를 들어봐야 공평하다. 설리번은 페이스북에서 CSO로 5년 이상을 보냈고, 이전에는 이 회사를 위해 법률 자문위원으로 재직했다. 그의 이력서에는 페이팔과 이베이 수석 법률 및 보안 담당이 포함되어 있으며, 캘리포니아 북부 컴퓨터 해킹 및 IP 분야의 미국 변호사로 되어 있다.

지금 현재, 설리번은 다시는 고용되지 못할 정도로 비난받아 마땅한 수준이다. 하지만 그의 입장에서 이야기를 들어본다면 상황이 달라질 수 있다.

우버 전 CSO에 대한 5가지 질문
설리번이 대답을 할 수 있는 상황이라면, 필자는 그에게 다음과 같은 질문 5개를 하고 싶다.

- 최근에 공개된 우버 해킹 사건을 의도적으로 은폐했는가?
- 우버 경영진은 법에서 요구한 해킹 사건을 공개하도록 독려했는가?
- 협상을 통해 해커에게 10만 달러를 지불해 도난당한 데이터를 파괴하고 조용하는 것에 동의했는가?
- 의도적으로 우버 사용자와 운전자 데이터를 암호화하지 않아 해킹의 심각성을 높인 것인가?
- 버그 현상금 프로그램을 흉내내면서 해커들에게 돈을 지불한 것인가?


설리번이 이 질문에 답할 경우, 사이버보안 커뮤니티와 미디어는 지난해 우버에서 발생한 사건에 대해 훨씬 더 명확하게 파악할 수 있을 것이다.

우버에 대한 사이버 포렌식 질문
질문 내용을 사이버 포렌식 조사로 넓힌다면 우버는 대답해야 할 것들이 많다. 뉴욕에 본사를 둔 디지털 포렌식 및 사이버보안 정보 업체인 리파르(LIFARS) 설립자이자 디지털 포렌식 CEO 온드레이 크레헬은 위반 사항을 조사할 때 묻는 5가지 초기 질문을 제공했다.

- 이 해킹 사건은 어떻게 발견됐는가?
- IT 관리자가 해킹 당한 시스템에서 취한 조치는 무엇인가?
- 해킹당한 시스템의 디지털 포렌식 사본을 얻거나 만들 수 있는 방법은?
- 분석 및 포렌식 선별 검사에서 도움이 될만한 로그나 메타 데이터 정보가 있는가?
- 보안 코드 리뷰나 침투 테스트 또는 유사한 것과 같이 해킹 당한 인프라에서 수행된 기술 평가를 검토할 수 있는가?


일단 유능한 조사관이 우버의 IT 상황을 살펴본다면, 지금까지 공개되지 않았던 많은 문제점들을 파악할 수 있을 것이다. 설리번에 대해서는 유죄로 판결나기 전까지는 그는 무죄다. editor@itworld.co.kr  


X