Offcanvas

CSO / 검색|인터넷 / 라이프 / 보안 / 비즈니스|경제

“열악한 보안이 국가안보와 민주주의 위협”··· 전 트위터 보안 임원 내부 고발

2022.08.26 Jürgen Hill  |  COMPUTERWOCHE
CNN은 전임 트위터 보안 책임자 피터 자트코의 200쪽 분량 보고서를 검토한 후 “트위터는 사용자 개인 정보는 물론, 트위터의 주주, 그리고 국가 안보와 민주주의를 위험에 노출시키는 큰 보안 문제가 있다”고 결론 내렸다. 
 
ⓒ Getty Images Bank

자트코는 지난 7월 내부 고발자로서 이 보고서를 미국 증권위와 의회에 제출했다. 언론으로는 CNN과 워싱턴 포스트에만 공개했다. 보고서를 검토한 CNN은 “지난 달 의회와 증권위에 제출한 폭로 내용은 혼란스럽고 부주의한 환경을 보여준다. 엉망으로 운영 중인 기업에서 수많은 직원이 적절한 감시도 없이 가장 민감한 정보에 액세스했다”고 강하게 비판했다.

자트코는 전임 트위터 CEO가 데이터 보호에 있어서 심각한 결함투성이였다고 비난했다. 서버의 절반은 업데이트가 되지 않아 공격에 취약했으며, 너무 많은 직원이 서비스의 중앙 시스템과 사용자 데이터에 액세스할 수 있었다. 게다가 탈퇴한 계정이 안전하게 삭제되지도 않았다. 

몇몇 임원은 감독기관에 트위터의 보안 상황과 취약점에 대해 거짓 정보를 제공해 속였다. 이런 임원 중에는 외국 정부의 스파이 활동이나 조작 시도, 해킹 공격, 가짜뉴스 선동 등을 위한 문을 활짝 열어버릴 수 있는 자리에 있는 사람도 있었다. 더 나쁜 것은 현재 직원 중에도 한두 명은 외국 정보기관을 위해 일할지도 모른다는 것이다.

자트코는 또한 트위터 경영진이 트위터 플랫폼 상의 실제 봇 수를 제대로 파악할 수 있는 역량이 없다고 지적했다. 그저 가짜 계정에 대해 불충분한 조처를 취하는 것이 전부라는 것이다. 가짜 계정 문제는 일론 머스크가 트위터를 440억 달러에 인수하겠다는 제안을 철회하는 데도 영향을 미쳤다. 머스크와 트위터 간의 소송은 오는 10월 시작될 예정이다. 머스크의 변호사 알렉스 스파이로에 따르면, 자트코는 이미 담당 법원의 소환장을 받았다.

트위터는 이런 혐의 제기에 민감한 반응을 보였으며, 전임 보안 책임자에 대해서는 “세간의 관심을 끌고 트위터와 고객, 주주를 해치려는 의도가 보이는” 교묘한 시기에 나온 고발이라고 비난했다. 또 “트위터에서 보안과 프라이버시는 오랫동안, 그리고 앞으로도 전사적인 우선순위를 갖는다”라고 강조했다.

트위터 대변인은 또 “자트코는 지난 1월에 능력없는 리더십과 낮은 성과 때문에 해고됐다. 지금까지 자트코의 말은 모두 트위터와 트위터의 프라이버시 및 보안 프랙티스에 대한 거짓말뿐이며, 일관성도 없고 정확성도 없다”고 덧붙였다.

내부 고발자 지원 단체인 휘슬블로어 에이드(Whistleblower Aid)의 설립자 존 타이와 자트코의  변호사는 트위터의 주장을 반박했다. 자트코는 머스크와 아무런 관계도 없으며, 머스크가 트위터에 개입한다는 증거가 나오기 전에 내부 고발을 시작했다는 것이다.

여기에 더해 자트코가 보안 업계에서 평판이 매우 좋다는 점에서 내부 고발자를 깎아내리려는 트위터의 시도는 다소 어설퍼 보인다. 자트코는 2020년 당시 트위터 CEO 잭 도르시가 유명인의 계정이 해킹 당하는 대형 보안 사고가 일어난 직후에 채용했다. 트위터 이전에는 구글과 미 국방부 등에서 일했다. 또한 자트코는 20년 전부터 멋지(Mudge)란 닉네임을 사용해 윤리적 해커로 활동한 인물이다.

보안 운영 전문업체 아틱 울프(Arctic Wolf)의 연구개발 담당 부사장 다니엘 타노스는 이번 내부 고발과 트위터의 대응에 대해 “피터 자트코는 보안 커뮤니티에서 매우 존경받는 리더이다. 자트코의 발언은 다른 소셜 미디어 업체가 보안이나 프라이버시, 정보 전쟁으로 어려움을 겪을 때 나타나는 것과 비슷한 패턴을 보여준다. 경영진의 간섭과 기만 수준이 문제의 원인이다. 트위터는 봇과 공격 집단 등이 정보 전쟁 목적으로 이용하고 있음이 증명됐다. 이 주제에 큰 관심이 없는 사람이라도 트위터에 봇과 남용 문제가 심각하다는 것을 알 수 있다. 그리고 이 문제가 제대로 해결되지 않고 있거나 아니면 제대로 파악되지 않고 있다는 것도 알 수 있다”라고 평가했다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.