미국 연방 통상위원회(FTC)와 우버(Uber)는 향후 20년간 고객 개인정보 사용과 보안 감사를 보장하는 합의를 이뤘다. 이번 발표는 FTC와 분쟁중인 우버가 한 걸음 나아간 것이다.

약 7개월 전, 우버는 자사의 자동차 공유 앱이 운전자들에게 과대 광고를 했다는 이유로 2000만 달러(약 228억 원)의 벌금을 냈다. 우버의 자동차 공유 앱은 앞으로 2년마다 제 3자로부터 개인 정보 보호 감사를 받아야 한다.

FTC 문서에는 “위임된 조항의 준수와 관련하여 피고소인은 최초 및 격년마다 평가를 받아야 한다”는 내용이 추가됐다.평가는 최초 평가 명령서 발급일로부터 180일 후에 이루어져야 한다.

우버의 기술 결정 및 명령에는 개인 정보 평가에 대한 전체 요구 사항 목록이 있다.

또한 FTC는 우버가 차량 사용자의 목적지에 대한 데이터를 보호하지 못했고 개인 정보에 대한 직원의 액세스를 감시하는 데 소홀했다며 고객을 속이고 있다고 전했다.

우버는 자사의 개인 정보 보호 및 데이터 보안 프로토콜을 강화했으며 보안 프로그램에 지속적으로 투자할 것이라고 밝혔다.

이번 합의는 3년 전부터 시작된 조사를 끝내는 것으로 보인다. 당시 우버는 수많은 사건들에 휘말렸는데 그 중 유명한 것이 ‘한 눈에 보기’기능이었다.

우버의 차량 공유 앱은 또한 단속을 피하기 위해 ‘그레이볼’을 사용했다는 혐의에 대해 면밀한 조사를 받았다. 그레이볼이란 우버가 도시의 법률로 제어되지 않는, 즉 감시되지 않는 구역을 피해 경찰에게 단속되지 않도록 하는 도구다.

우버는 자사의 느슨한 개인정보 보호법으로 인해 기업 문화를 해치고 있다는 것을 바로잡으려고 이번 합의를 이뤘다. 최근 트래비스 칼라닉은 법적인 경계를 시험했다는 비난을 받으며 우버 CEO 자리에서 물러났다. 회사를 떠난 사람들 중 일부는 사기 행위를 저지른 경영진이었다.

우버는 성명서에서 “우리는 FTC의 조사를 마무리 할 수 있게 된 것을 기쁘게 생각한다. 2014년으로 거슬러 올라간 관행도 포함한다. 우리는 그 이후 우리의 개인정보와 데이터 보안 관행을 크게 강화했으며 계속해서 투자할 것이다. 2015년에 우리는 처음으로 최고 보안 책임자(CIO)를 고용하고 사용자 정보 보호에 전념하는 수백 명의 숙련된 전문가를 고용했다. 이번 합의는 FTC와 협력하여 사용자 개인 정보 및 사이버 보안을 확인할 기회를 얻는 것이다”라고 밝혔다.

이번 합의 이전에 FTC는 우버가 다음과 같은 실패를 했다고 주장했다.

1. 고유의 액세스 키를 사용하는 대신에 모든 프로그램 및 엔지니어가 아마존 S3 데이터스토어의 모든 데이터에 완전한 관리 권한을 발휘하는 단일 AWS 액세스 키를 사용했다.

2. 직원의 업무 기능에 따라 시스템에 대한 액세스를 제한하지 않았다.

3. 아마존 S3 데이터스토어에 액세스하기 위한 다중 요소 인증을 도입하지 않았다.

FTC는 또한 우버가 2014년 9월경까지 "합리적인 보안 교육 및 안내"를 하지 못했다고 보고했다.

2015년 3월, FTC는 우버가 아마존 S3 데이터스토어에서 민감한 개인 정보를 담은 텍스트를 수집했다고 주장했다.

FTC는 또한 우버의 다양한 보안 실패가 2014년 5월에 발생한 데이터 유출 사고의 촉매제라고 불만을 표했다.

당시에 침입자는 엔지니어가 GitHub에 공개적으로 게시한 액세스 키를 사용하여 소비자의 개인 정보에 접근했다. 해당 파일에는 10만 명이 넘는 우버 운전자의 민감한 개인 데이터가 포함됐었다.