버거킹 해킹: 인증 우회로 드라이브 스루 오디오 감시 성공

Hacker News 의견

• 블로그가 현재 접속이 안 됨, 대신 https://bobdahacker.com/blog/rbi-hacked-drive-thrus/">웹 아카이브 링크 공유함

• 글의 뒷이야기를 살펴보면, 이 보안 연구자가 책임 있는 공개 규정을 따르고 취약점이 수정된 후에 글을 올렸음에도 불구하고, 회사로부터 아무런 응답을 받지 못한 듯함. 즉, 사전 약속이 있어야만 보상받는다는 전제가 있지만, 보상이 기대됐음에도 결국 소식이 없었던 상황임. 나 역시 유명 스타트업에서 민감한 보안 취약점을 발견하고 정식 절차에 따라 여러 메일로 상세히 보고했지만, HackerOne 초대만 받은 뒤 기존 보상 사례가 $2,000 정돈데 내 발견은 $10,000~$50,000짜리라고 생각했음. 그런데 요구한 공식 보고서 작성을 할 시간은 없기도 했고, $2,000 때문에 굳이 하지 않았음. 이런 경우 나도 공개 블로그 글을 써도 되는지 궁금함

  • 실제로 기업으로부터 연락은 받았으나, 해당 글에 DMCA(디지털 저작권 침해 신고)가 들어왔음. 이메일 스크린샷을 봐도 무슨 이유로 DMCA 위반이 된 건지 불명확하지만, 전형적인 DMCA 남용 사례처럼 보임. 이 AI 기반 DMCA 요청을 만든 회사가 Y-Combinator의 투자를 받기도 했음. 참조
  • 정확히 말하면 "책임 있는 공개"는 "공동 조율된 공개(coordinated disclosure)"로 표현해야 하고, 책임 있는이란 말에 특정 행동을 더 도덕적으로 보이게 만드는 경향이 있음
  • 강력한 규제와 집행력이 없는 한 이런 상황은 끝나지 않을 것임. 지금은 버그 바운티를 주느냐, 아니면 나중에 소송이나 PR 문제로 더 큰 위험을 지게 되느냐의 선택인 셈임. 기업 입장에서는 지금 당장 확실히 돈을 지출하는 것과, 미래의 불확실한 위험 중 저비용 쪽을 선택하게 됨. 만약 미래에 보안 사고로 막대한 패널티, 예를 들어 $10만 달러 바운티 대신 $1,000만 달러 벌금처럼 실질적인 위협이 생긴다면, CEO라도 보고서를 무시하고 금전적 이득을 취하다 들통나면 자신의 집을 잃을 수 있음을 안다면 바운티를 오히려 지불하게 될 것임. 위험 부담의 무게가 업체로 옮겨져야 함
  • 이런 일을 공개적으로 올리면, 댓글이나 언론 제목이 더 직설적이거나 조롱조가 섞여 확산될 수 있고, 적시에 뉴스거리가 없을 때 전국적으로 바이럴이 될 수도 있음. '보상 못 받았다'는 스토리가 누구나 공감하는 부분이라, PR로서는 나쁜 선택임
  • 바운티를 적절히 지급하게 기업에 경각심을 주는 목적이면, 공개적으로 올리는 것도 윤리적으로 할 수 있는 일이라고 생각함

• 게시글이 내려간 이유가 Cloudflare에 DMCA 클레임이 들어갔기 때문이라 들었음. DMCA는 여러 단계가 있다 들었는데, 호스팅 회사에서 처리하는 것은 알겠으나 내가 만약 Cloudflare 없이 셀프호스팅한다면 어떻게 되는지 궁금함. 내 ISP나 도메인 쪽으로 DMCA가 들어오는기도 더 궁금함

  • 왜 DMCA 때문이라 확신하는지 궁금했지만, 관련 포스팅 확인해서 이해했음
  • 보통은 ISP로 DMCA가 전달됨. ISP에 따라 이를 이용자에게 전달하기도 하고 안 하기도 함. 옛날(토렌트로 영화 내려받던 시대)엔 영화사가 무차별로 DMCA를 날려 이런 일이 더 흔했음
  • 2008~2009년에 SoftLayer(댈러스, TX)에서 베어메탈 서버를 여러 대 운영했었고, 고객 중 남미 음악 포럼이 있었음. 누가 MP3를 올리면 데이터센터는 DMCA 요청을 받는 즉시 서버에 대한 트래픽 라우팅을 차단했음. 앞으로는 2025년에 어떤 툴들이 등장할지 상상도 못하겠음

• 드라이브스루에서 별도의 녹음 고지 없이 대화가 녹음되는 것은, 이른바 '양측 동의 주(state)' 변호사가 탐낼 만한 케이스 아닐지 생각함. 물론, 공개적으로 소리치는 것이 프라이버시 기대가 없다고 항변할 수 있겠지만, 여전히 법적 리스크라고 봄

  • 공개된 장소에서 녹음은 통상 동의 없이 녹음해도 법적 책임은 없음. 만약 일반인이 드라이브스루에 들어갈 수 있는 곳이라면 별도의 허락‧고지 없이 녹음이 가능함. 다만, 일부 주에서는 공개 장소 녹음도 금지한다는 걸 알게 됨. 이런 법률들은 아직 미국 연방대법원에서 유지되거나 폐지된 적이 없음
  • 공개된 장소에서도 양측 동의를 반드시 받아야 하는지 궁금함

• 드라이브스루에서 대화하는 방식까지 정해놓은 시스템이 있다는 점이 가장 놀라움. 긍정 톤, "You rule" 같은 격려 멘트를 강요하는데, 일하는 사람 입장에선 내내 그럴 수만은 없을 듯함. 오히려 주문한 음식 일부만 제대로 들어 있어도 손님이 만족하는 현실임. 실제론 음향 시스템 품질도 워낙 낮아 "You rule"인지 알아채기 힘듦. 시급 $6 받고 버거 뒤집는 사람에게 이런 소프트웨어로 마이크로매니징하는 이유를 이해 못하겠음

  • 아이러니하게도 일자리의 보수가 낮을수록 관리자들이 더 까다롭고 엄격한 경향이 있음. 예를 들어 개발자로 연 $10만 이상 벌며 재택근무하는 경우 아파서 일주일 쉬는 건 전혀 문제가 안 되지만, 콜센터 시급 알바면 48시간 전에 미리 말 안 하면 바로 징계임. 심지어 징계 상태면 병가 수당도 안 줌. 진단서도 꼭 챙기지 않으면 해고임
  • 1. 사실, 버거 뒤집는 일을 한다고 해서 나쁠 것은 전혀 없음. 2) 본질적으로 이건 저임금 노동자들이, 더 저임금 노동자에게 이런 업무를 떠넘기는 구조임. 어느 정도 배려가 필요함

• 40여 년 전 L.A.에서 누군가 Burger King 드라이브업 키오스크가 식당과 RF 무선링크로 연결된 걸 발견함. 주파수와 변조 방식을 알아내 손에 들고 다니는 트랜시버로 같은 통신을 할 수 있었음. 인근 주차장에 캠코더를 설치해, 드라이브스루 손님들을 장난으로 골탕 먹이는 영상을 찍었고, "Attack on a Burger King"이라는 제목의 비디오가 만들어졌음. 이 사람들은 방송 엔지니어들이었고, 당시 스튜디오 내에서도 이 영상을 돌려봤음. 마지막엔 직원이 나와 손님 쪽으로 달려오고, 해커들이 손님에게 도망치라고 장난치는 장면으로 끝이 남. 이 비디오가 스트리밍까지 갔는지는 모르겠음

  • 예전 패스트푸드 드라이브스루 헤드셋은 대부분 VHF 비즈니스 밴드를 썼음. "Phone Losers of America"라는 집단이 이런 장난으로 유명했음. 참조 유튜브 영상 "I'm in the freezer at QuikTrip!"

• "비밀번호를 평문으로 이메일로 보내줬음. 그것도 2025년에. 오히려 보안이 안 좋은 것에 대한 집념이 인상적임"이라는, 냉소가 가득한 글이 재미를 더해줬음

• 굳이 지적하자면, 로그인 하자마자 비밀번호를 바꾸도록 되어 있다면 평문 임시 비밀번호를 이메일로 보내주는 게 꼭 문제는 아니라고 생각함

• 역시 블로그가 내려갔으며, archive.is 링크로 백업된 버전을 확인함

  • 해당 DMCA 안내 메세지 공유함
  • 좀 더 장기적으로 안전할 만한 https://bobdahacker.com/blog/rbi-hacked-drive-thrus/">웹아카이브 링크도 안내함

• 헉, 정말 나쁜 사례임. 꽤 심각하긴 하지만 이런 실수는 대기업에서도 여전히 많이 일어남. 분명 이런 실수를 반복하는 거대 기업이 수십 개쯤 더 있을 거라고 확신함