금주엔 쿠팡 사태를 다각도로 짚어볼 수 있는 여러 기업들의 사례를 짚어보고 있어요. 오늘은 데이터 유출 사태에 최악의 대응을 한 사례로 남은 #우버 이야기예요. 2016년 우버는 데이터 유출을 당하고도 내부에서 쉬쉬하며 소설을 써나갔어요. 강압적 리더십으로 악명높았던 창업자 트래비스 캘러닉은 주로 찍어누르고 덮고 보는 스타일이었죠. 조작과 은폐.. 이 엄청난 리스크는 놀랍게도 우버의 자백으로 밝혀집니다. 자백을 할 수 밖에 없었던 건, 이 범죄가 결국은 완전범죄가 될 수 없는 구조기 때문이에요.
금주엔 쿠팡 사태를 다각도로 짚어볼 수 있는 5개의 사례를 모아봅니다
- [ft. 쿠팡] 외국기업 제재 사례① : 미국 정부의 틱톡 매각 명령 (1월 12일)
- [ft. 쿠팡] 외국기업 제재 사례② : 프랑스 르노 CEO가 일본에서 체포되다 (1월 13일)
- [ft. 쿠팡] 외국기업 제재 사례③ : 미국·유럽의 Shein·Temu 제재와 중국 정부의 입장 (1월 14일)
- [ft. 쿠팡] 기업 데이터 유출 사례① : 쉬쉬하며 소설 쓰다 자백한 Uber (1월 15일) → 오늘은 여기
- [ft. 쿠팡] 기업 데이터 유출 사례② : 신뢰회복의 정석 Target (1월 16일)
이번 주는 쿠팡 사태를 다각도로 짚어볼 수 있는 여러 기업들의 사례를 모아보고 있어요.
오늘은 데이터 유출 사태에서 잘못 처신해 기업의 운명을 멸문지화로 이끌 뻔한 우버(Uber)의 이야기예요. 오늘날까지 사이버 보안업계에선 ‘데이터 유출 후 대응의 실패 사례’로 가장 많이 언급되는 사례가 바로 우버 사태랍니다. 쿠팡과 비슷한 면도 있는데요. 향후 데이터 유출은 모든 기업에서 발생할 수 있는 만큼, 이 사례로부터 배울 점이 많아요.
2016년 우버(Uber)에서, 개인정보가 유출되는 일이 발생해요.
우버는 “외부 해킹 사고가 아니라, 개발자 자격증명(credentials)을 통해 접근된 문제”라 밝혔죠. 즉, 시스템 침입이 아니라 “사람 관리 문제”라는 프레임으로 가볍게 공지하며 넘어갔어요. 공지에는 어느 만큼의 데이터가 유출됐는지도 포함되지 않았어요.
하지만 실제 일어난 사건은 엄청났어요.
해커들이 ‘피싱’으로 개발자 GitHub 계정이 탈취한 사건이 벌어졌고, 결국 개발자 계정 하나가 털리게 되어요. 그 계정에는 AWS 접근 키가 평문으로 저장돼 있었는데요. 해커들은 이를 통해 대규모 서버 접근이 가능했어요. 이 때 털린 데이터의 규모는 운전자 600만 명, 이용자 5,700만 명의 개인정보가 탈취당한 상황이었어요.
여기서 우리가 좀 짚고 넘어가야 할 것이요. 우리 개발자 계정으로 누가 침입했다고 해서 사이버 공격이 아닌 게 아니에요. 그 계정을 해킹으로 탈취해간 거라면 그건 해킹이죠.
우버 말대로 “외부 해킹 사고가 아니라, 개발자 자격증명(credentials)을 통해 접근된 문제”라면, 개발자가 실수로 남에게 크리덴셜을 주었거나, 혹은 개발자 자체가 데이터를 유출한 경우(쿠팡이 지금 이 경우라고 주장하는 중)인데, 그렇다면 개발자를 특정해 징계했어야 해요. 근데 우버는 해당 개발자를 특정하지도 않았어요.
우버가 명백한 사이버 공격임을 인지하고도 굳이 ‘사람 문제’로 돌리고 싶었던 이유는요. ‘사람 문제’라고 축소하면 사고 공시 의무, 규제 보고 수준이 낮아지면서.. 무엇보다 ‘서비스 중단’ 논의 자체를 회피할 수 있기 때문이에요.
특히 사이버 공격에는 사이트 중단과 격리가 따라오는데, 우버는 서비스를 중단하는 올스톱 상황은 격하게 피하고 싶었답니다. 왜냐면 리테일은 하루라도 멈추면 심각한 손실과 인프라 붕괴에 직면할 수 있어요. 우버의 실시간 매칭이 멈추면 운전자들은 우버 수입이 사라지게 되고, 우버 수입도 사라지게 되어요.
사이트가 해킹당했다고 해서 반드시 시스템을 중단하고 격리해야 하는 건 아니지만, 우버의 경우 외부인이 시스템에 들어왔고, 접근 권한이 살아있었고, 추가 피해가능성을 다 파악하지 못한 상황에서 서비스를 계속하는 건, ‘불법’이라 판단될 여지가 큰 상황이었어요.
그래서 우버는… 조용히 은폐해요. 해킹당한 사이트를 해킹당한채로…앱, 결제, 운행 모두 정상 운영하면서요.
그러면서 뒤로는 해커에게 $10만 달러를 지급해 쇼부를 봐요. 탈취한 데이터를 삭제하겠다는 서약과 비밀유지(NDA) 서약을 조건으로요. 근데.. 사실 이건 믿을 서약은 아니지요? 아니 도둑놈 말을 뭘 믿고..? 그 사람이 데이터를 지웠는지 과연 어떻게 확인이 가능할까나?
아울러 기업에서 나간 돈은 모두 기록이 남아요. 우버는 해커에게 지급한 돈을 재무적으론 ‘버그바운티’로 처리했어요. 버그바운티는 회사 시스템의 보안취약점을 찾아서 알려주면, 회사가 합법적으로 보상금을 주는 제도인데, 해커가 보안 취약점을 알려주어 보상했다고 구라를 친 셈이죠. 해커 입막음으로 줬다고 쓸 수는 없었기에….
해커에게 준 건 ‘범죄 은폐 대가’이기 때문에 사실상 그 자체가 불법일 수 있어요.
좌, 이 사건의 전말이 어떻게 세상에 알려지게 됐을까요? 놀랍게도 그건 우버의 자백 덕분이었어요. 우버가 자백할 수 밖에 없었던 건, 또 미국의 빡빡한 기업 감사 문화와 ‘제대로 작동하는 이사회’가 있었기에 가능한 일이었구요.
2017년 8월 우버에는 새 CEO Dara Khosrowshahi가 취임하는데, 그는 취임 후 내부 조사 과정에서 이전 경영진이 사고를 은폐했다 사실을 발견해요.
당시 우버는 잦은 규제 충돌 문제를 안고 IPO를 준비해야 하는 단계였죠. 이전 경영진은 바로 그런 시기이기에 이런 문제는 조용히 덮는 게 비용이 더 싸다는 오판을 했어요. 이 오판을 한 인물은 바로 우버의 창립자이자 이전 CEO였던 트래비스 캘러닉이에요. 그는 잘못된 기업 문화로 악명 높은 인물이죠.
당시 우버는 내부적으로도 찍어누르는 문화, 문제가 생기면 덮는 문화가 디폴트였어요, 캘러닉은 경쟁사, 규제 기관, 고객, 직원, 그리고 우버 운전기사에 대한 무자비한 태도로 악명 높았어요.
캘러닉은 내부 갈등을 초래하더라도 회사에서 승진하기 위해 무엇이든 할 의향이 있는 직원들을 선호했어요. 또 CEO로 재임하는 동안 이사회에 대한 강력한 통제권을 행사했답니다. 그의 주식은 일반주에 비해 10배 표를 행사하는 클래스B 주식이었으니.. 한국 쿠팡의 김범석 의장 또한 29배 표를 행사하는 클래스B를 가지고 있지요?
캘러닉은 이런 문제 땜에 결국 CEO 자리에서 사임해요. 회사가 마초 문화가 되다보니.. 성희롱 문제가 생겨버렸… ㅠㅠㅠ 캘러닉에 질려버린 이사회는 결국 그가 우버에 영원히 돌아오지 못하도록 초강수를 두어요. 그의 클래스 B 권한을 무력화시켰답니다. 이제 우버는 모든 주주가 동등한 투표권을 가지는 1주 1표 제도가 되었노라~~!
캘러닉의 뒤를 이어 들어온 새 CEO는 당근 캘러닉과는 전혀 다른 인물이었어요. 그는 회사가 데이터 유출 문제를 이딴 식으로 은폐했따는 걸 보고 깜짝 놀라요. 왜냐면 이 은폐는 완전범죄가 될 수 있는 상황이 아니었기 때문이에요.
해커에게 돈이 지급된 명확한 기록과 그와 체졀한 NDA, 사고 기록 등이 고스란히 회사 내부 기록에 남아 있는 상태예요. IPO를 하려면, 미국 증권 규제 기준상 과거 중대한 리스크 사건을 전수 점검하는데 이 과정에서 내부 문서와 이메일, 법무·보안 기록을 외부 로펌·회계법인이 전부 훑어본답니다. 여기서 무슨 재주로 안들키지요?
계속 은폐하려면 저 기록들을 모두 스스로 뒤져 전부 완벽하게 말 맞춤을 해야 하는데 그게 가능할까요? 문서는 막는다 쳐도, 그 사건을 지켜본 내부 인원들까지 입단속을 완벽하게 할 수 있을까요?
그건 너무 큰 모험이에요. 왜냐면 이걸 은폐하다 들키면요. 똥을 싼 건 이전 경영진임에도 책임은 현 경영진인 자신이 져야 해요. 또 우버의 IPO는 물 건너간단 말이죠.
그는 차라리 지금이라도 자백하면 과거 책임은 이전 경영진의 몫이 되고 규제기관과 협상할 가능성도 생겨요. 당근 지금이라도 잘못을 되돌리는 것이 더 나은 선택이었죠. Dara Khosrowshahi는 결국 이 은폐를 스스로 공개해요. FTC·각국 규제당국 조사에서 은폐 사실의 소소한 디테일이 낱낱이 드러나게 되고, 이 과정에서 수천만명의 데이터가 털렸다는 것도 처음 공개 됐답니다.
우버는 이 사건으로 1억 4,800만 달러의 벌금을 내게 되는데요. 우버 역사상 가장 큰 벌금이었어요. 여기서 중요한 건, 이건 해킹을 당해서 내는 벌금이 아니라 알고도 숨기고, 사람 문제로 포장하며 은폐하고, 영업을 계속한 것에 대한 대가였다는 거예요. 사이버 공격을 받은 건 죄가 아니지만, 처리를 잘못하면 죄가 되어요.
이 사건으로 당시 CISO Joe Sullivan은 형사 기소되어요. 2022년 사법 방해와 은폐로 유죄 평결이 내려졌고, 미국 최초로 ‘침해 은폐’로 형사 책임을 진 CISO로 남았어요.
이런 은폐를 1년 이상 지속할 수 있었던 건, 우버가 맹랑해서 그런 것도 있지만, 2016년 당시 미국의 개인정보·보안 규제는 다소 느슨한 자진신고형이었다는 점도 문제예요. 기업이 말 안하면 정부는 딱히 모르는 상황요.
그런데 2023년부터는 SEC 사이버 보안 공시의무가 생기면서 규제가 강화되어요. 상당히 빡센 신고제가 되었단 뜻인데요. 이제 데이터 침해를 은폐하려면 집안 대대손손의 명운을 걸어야 하는 부담이 작동하게 돼요.
중대한 사이버 사고는 ‘신속 공시’ 의무가 있고, “중대한지 여부”에 대한 판단 근거를 문서로 남겨야해요.
공시 문서에서 거짓말을 하면 이건 증권 사기가 되는데, 증권 사기는 자본의 나라 미국에서 대역죄 중에 대역죄랍니다. 미국에서 경제사범은 거의 경제적 사약을 받는다고 보시면 돼요.
이 우버 사태는 데이터 침해 상황에서 가장 어리석었던 기업 대응 사례로 손꼽히는 사례예요. 우리가 잊지 말아야 할 건, 해킹을 당한 것 자체는 기업의 책임이 아니에요. 오늘날 누구라도 해킹을 당할 수 있어요. 그러나 이후 어떻게 대응했는가 하는 건 기업의 책임이에요.
그래도 새로운 CEO가 제정신을 찾을 수 있었기에 오늘날 우버가 존재할 수 있었어요. 트래비스 캘러닉의 리더십에 그대로 맡겨졌더라면, 오늘날의 우버는 없었을 것이고 캘러닉 또한 우버에서 강제퇴장했을 지언정 두 번째 비즈니스를 시작하는 행운을 맞이하지 못했을 듯요.
기업 활동을 하다보면 잃을 수 밖에 없을 때가 있어요. 모두가 벌자고 하는 게 기업이지만, 세상은 내 뜻과 다를 때도 있죠. 그럴 때에는 ‘덜 잃는’ 방법을 알아야 해요. 이런 순간에더 잃지 않으려고 발버둥을 치면 무리수를 두게 되어요. 빠르고 투명하게, 매를 먼저 맞고 앞서서 맞는 것이 가장 덜 잃는 방법이랍니다.
