2024-03-29 00:25 (금)
우버의 '해킹 은폐'로 드러난 서드 파티 코드 공유 서비스의 약점
상태바
우버의 '해킹 은폐'로 드러난 서드 파티 코드 공유 서비스의 약점
  • 김형우 기자
  • 승인 2017.11.24 11:00
이 기사를 공유합니다

2.jpg

사진 출처 : 위키미디어 커먼즈

국제적인 차량 공유 앱 서비스 우버(Uber Technologies Inc.)가 지난 1년 간 해킹을 은폐한 사실이 드러나면서 서드 파티의 서비스를 사용해 코드 공유 및 저장을 하는 방식이 취약하다는 것이 여실히 드러났다.

깃허브(GitHub), 소스포지(Source Forge) 및 깃랩(GitLab)과 같은 서드 파티 제어 저장소 호스팅 서비스는 소프트웨어 개발자가 코드 버그를 추적하고 초기 버전의 앱을 공유하는 등 팀 프로젝트에 참여하는 것을 용이하게 한다. 이런 서비스는 마치 구글 드라이브와 비슷하게 작동한다. 구글 드라이브는 개발자가 문서 등을 저장할 수 있는 공간이다. 하지만 보안 전문가들은 호스팅 서비스가 사이버 공격에 취약하다고 말했다.

블룸버그가 보도한 바에 따르면 우버 개발자들은 2014년에 깃허브에 로그인 코드 키를 게시했고, 그 결과 5만 명에 이르는 우버 사용자의 개인 정보가 도난당했다고 한다. 이 사건으로 우버는 2015년에 깃허브를 고소했다. 그런데 2016년에도 우버는 해킹 사건을 겪었다. 이때는 훨씬 많은 5,700만 명에 달하는 사용자의 개인 정보가 유출됐지만, 우버는 이 사실을 알리지 않은 채 해커들에게 10만 달러(약 1억 원)를 지불하며 해킹 사실을 공표하지 말고, 훔친 데이터를 지워달라고 요청했다.

인터넷 보안 업체인 멀웨어바이츠(Malwarebytes)의 악성 코드 분석 전문가인 크리스토퍼 보이드는 "코드 저장소는 큰 문제를 일으킬 수 있다. 많은 소프트웨어 개발자가 저장소에 로그인하는 세부 정보를 제대로 관리하지 않는다"라고 말했다.

또 다른 보안 연구원 에드윈 포딜은 많은 해커들이 이런 취약성을 노리고 있기 때문에 개발자들은 암호화 키 및 비밀번호 등 깃허브에 게시된 코드를 정기적으로 검사해야 한다고 조언했다.

현재 깃허브는 최근 공개된 우버의 데이터 유출 사건에 대한 진술을 거부하고 있다.


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★