Offcanvas

SNS / 보안 / 비즈니스|경제 / 오픈소스

기고 | 일론 머스크의 트위터 인수, 지켜봐야 할 2가지

2022.05.09 제이미 몰레  |  IDG Connect
일론 머스크의 트위터 인수에 대한 보도 중 상당수는 ‘발언의 자유’에 초점을 맞추고 있다. 그러나 머스크가 트위터에 적용할 두 가지 변경 사항, 즉 트위터 알고리즘을 오픈소스화하는 것과 플랫폼에서 봇을 제거하는 것이 보안 측면에서 큰 의미를 지닌다고 엑스트라홉의 수석 기술 매니저 제이미 몰레는 분석한다. 
 
Image Credit : Getty Images Bank


오픈소스화 관련 우려
소스 코드를 대중과 공유하는 것은 비교적 쉽다. 깃허브(GitHub)와 같은 공용 보관소에 코드를 공개하면 된다. 하지만, 트위터는 공유 내용을 신중히 고민할 필요가 있다.

코드에는 으레 노출되지 말아야 할 부분이 있다. 배경 설명을 하자면, 트위터와 같은 플랫폼의 근간에는 다양한 기능을 수행하는 많은 알고리즘이 존재한다. 그 중에서도 특히 흥미로운 것은 트위터 게시물의 인기를 모니터링하고 관리하는 알고리즘이다. 

특정 트위터 게시물을 우선적으로 적극 홍보하거나 트위터 상에서 인기 있는 게시물을 결정하는 알고리즘 등이 있다. 일례로 한 알고리즘은 신규 게시물들 속에 사용 중인 해시태그를 전체적으로 검토해 ‘트렌딩(trending)’ 게시물 순위를 정한다. 

결국 이런 알고리즘을 통해 어떤 게시물과 관점이 관심을 끌지 결정된다. 일론 머스크는 트위터 알고리즘을 오픈소스화 한다는 방침이다. 이와 관련해 흥미롭게 지켜볼 부분이 있다. 알고리즘 자체의 가치와 이들 알고리즘이 처리하는 데이터의 가치다. 

머신러닝(ML) 종사자라면 “특별한 것은 데이터이고 ML에는 특별할 것이 없다”는 개념에 익숙하다. 구글이 최초로 제안한 이 개념은 대부분의 ML 알고리즘이 그저 평범할 뿐이며, 가치의 원천은 데이터임을 강조한다. 이른바 쓰레기를 넣으면 쓰레기가 나온다.

그렇다면 트위터 알고리즘은 어떨까? 이미 다른 주요 SNS 서비스나 신규 업체가 사용 중인 것과 다를 바 없는 지극히 평범한 알고리즘일까? 트위터의 특별함은 단순히 사용자들과 그들이 올리는 게시물 덕분인 것일까?

오픈소스화, 트위터 아키텍처의 공개
자동차 후드를 열면 엔진 작동 방식을 눈으로 직접 확인해 이해도를 높일 수 있다. 이와 마찬가지로, 트위터 알고리즘이 오픈소스화 되어 트위터 후드가 열리면 트위터에 대한 이해 수준이 높아질 수 있다. 그리고 위협 행위자 또한 트위터 개발 코드를 연구해 트위터 플랫폼은 물론 같은 코드로 개발된 다른 시스템을 공격할 방법을 알아낼 가능성이 발생한다.

로그포쉘앤스프링포쉘(Log4Shell&Spring4Shell)의 사례에서 확인된 바와 같이, 널리 사용되는 애플리케이션의 취약점은 가치가 기하급수적으로 더 높다. 트위터 코드를 오픈소스화 하면 트위터 사용자들에게는 투명성이 높아지겠지만 트위터가 더 큰 공격의 표적이 될 위험도 있다.

머스크는 트위터 코드뿐만 아니라 API도 공개할 지 모른다. 다른 사람이나 조직에게도 트위터와 연동하는 소프트웨어를 코딩할 길을 열어주는 것이다. 잭 도시가 트위터를 이끌던 시절에는 크게 축소되었던 관행이다. 

API를 통해 서드파티 개발을 지원하면 플랫폼이 개방되면서 위협 행위자들이 활개를 칠 위험이 있다. 침투를 노린 위협 행위자들은 민감한 데이터를 빼낼 수 있을지 플랫폼을 테스트할 것이고 이는 페이스북(Facebook)/캠브리지 애널리티카(Cambridge Analytica) 데이터 유출 사건과 같은 또 다른 사태로 이어질 수 있다.

사용자 보안에 미치는 영향
만일 위협 행위자들이 트위터에 침투해 사용자 정보를 빼내는 데 성공한다면 당연히 보안에 미치는 영향은 더 커진다. 트위터에는 가명 내지 익명으로 활동하는 사람이 많다. 트위터의 익명성은 신분이 노출되면 곤란한 사람들에게 특히 중요하다. 

예를 들면, 전체주의 정권 국가에 거주하면서 신분을 감춘 채 트위터로 공개적인 발언을 하는 사람들에게 해당된다. 트위터는 중국, 베네수엘라, 사우디아라비아 등 언론 통제가 심한 국가의 언론인들에게 인기가 매우 높다.

트위터 오픈소스화가 악용되면 사용자 데이터를 훔쳐 개인식별정보(PII)를 노출하거나 트위터 상에서 타인을 사칭하는 등의 심각한 위험이 발생한다. 타인 사칭도 생각보다 심각하다.  머스크가 작성한 것처럼 보이는 게시물의 조회수가 얼마나 높을 지 생각하면 알 수 있다. 트위터가 사회와 선거 등에 영향을 미칠 수 있다는 것은 트위터 상에서의 타인 사칭이 엄청난 파문을 일으킬 수 있다는 의미이다. 알고리즘 공개도 마찬가지다.

봇과의 전쟁
머스크는 트위터에서 봇을 제거하는 임무를 수행 중이라고 밝힌 바 있다. 봇 제거는 실제로 보안 전문가들에게 꽤 도움이 될 수 있다. 

트위터에서 활동하는 봇은 크게 광고 봇과 인플루언스 봇 두 종류가 있다. 일종의 코드인 광고 봇은 트위터에 접속해 인기 있는 해시태그를 모니터링한 후 자신의 광고 게시물에 그 해시태그를 추가하여 사용자의 피드에서 더 눈에 띄게 만든다. 사실상 해시태그의 인기를 조작하는 것이다.

인플루언스 봇은 더 교활하다. 대개 선거와 같은 중요한 사건을 전후해 결과에 영향을 미칠 목적으로 나타난다. 게시물을 더 많은 사람에게 퍼뜨리는 재트윗 횟수를 기준으로 게시물의 인기를 모니터링하는 알고리즘을 사용해 이런 목적을 달성한다.

사용자의 계정 가까이에 광고 봇이나 인플루언스 봇이 하나만 있어도 사용자는 해당 봇의 메시지를 볼 수 있다. 관심사가 비슷하거나 똑같은 사람을 팔로잉하는 경우에 발생한다. 그런데 인스플루언스 봇은 포착하기가 꽤 쉽다. 대부분 “고양이 학대자 스미스 씨에게 투표하지 마세요”와 같은 똑같은 메시지를 빠르게 연속으로 게시하기 때문이다. 

트위터는 이처럼 똑같은 게시물을 게시한 봇의 계정을 색출해 30일간 또는 영구히 정지시킨다. 단, 해당 게시물에 의견을 남기고 재게시한 정상적인 사람의 계정까지도 정지될 위험이 있다. 이런 계정을 파악해 봇 계정과 구분해 내려면 더욱 분발해야 한다. 머스크의 봇 단속 작업으로 정상 사용자가 차단되는 경우가 늘고 있다. 물론 정상 사용자는 봇에 비해 지원 팀에 항의하여 차단을 풀게 할 가능성이 훨씬 더 높다.

머스크의 봇 제거 작전이 성공한다고 가정하면, 점점 커지는 봇 문제와 씨름 중인 타 플랫폼들도 오픈소스화 된 트위터 소프트웨어를 사용할 공산이 크다. 비단 SNS 사이트만이 아니다. 완벽한 포커 봇이 판돈을 쓸어가는 온라인 도박 사이트와 컴퓨터 게임도 마찬가지다.

피싱의 미래
만일 머스크가 성공적으로 봇 제거 알고리즘을 만든다면, 스팸 이메일, 스팸 게시물과 같은 위협과 기타 악성 침투 시도를 보다 효과적으로 탐지하고 파악할 새로운 기법이 만들어지는 바람직한 결과로 이어질 가능성이 있다. 피싱 공격 감지가 한 사례다.

위협 행위자들은 피싱 공격 성공률이 1%만 되어도 수지맞는 장사를 할 수 있다. 따라서, 대량으로 이메일을 배포한다. 쉽게 믿는 인간의 속성 상 표적이 이메일을 열기를 기대하는 것이다. 악성 링크와 첨부파일을 파악해 제거하는 이메일 일괄 확인 기술이 존재한다. 이와 더불어 지속적으로 최신 기법과 동기, 결과에 대한 교육을 병행해야 한다.

피싱 공격은 일상 생활 어디에나 존재한다. 최신 피싱 이메일과 게시물, 문자는 사이버보안 숙련자들도 당할 정도로 수준이 높다. 이런 피싱 시도를 식별할 기술을 강화하는 동시에 피치 못할 사람의 오류를 완화한다면 회사들은 큰 돈을 아낄 수 있다.

이렇듯 머스크의 향후 행보는 보안 분야에 여러 영향을 미칠 수 있다. 트위터 알고리즘을 조작하려는 자들부터 사용자 데이터 또는 프로필을 악용하려는 위협 행위자들까지 다양하게 출현할 것은 일단 꽤 분명해 보인다. 머스크가 이런 상황을 과연 어떻게 통제할 지, 그 과정에서 어떤 실수들이 나타날지 흥미롭게 지켜볼 일이다. 

* 제이미 몰레는 기술 및 사이버보안 분야에서 30년 넘게 활동해온 베테랑 컨설턴트다. ciokr@idg.co.kr
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.