일론 머스크가 440억 달러에 트위터 인수를 마친 뒤 트위터는 갑작스러운 격변 상태가 되었다. 머스크는 공개 트윗을 통해 트위터 직원 절반 이상을 해고했다. 디지털 인프라도 제 기능을 하지 못하는 상태가 되었다. 그리고 트위터 직원 75%가 장시간 집중 근무한다는 약속 조건 서명을 거부하면서 트위터 내 대규모 퇴사가 흐름이 촉발되었다. 현재 트위터에 재직 중인 이를 확실히 알 수 없다.
한마디로 말하자면, 트위터 내부 상황이 시끄러워진다는 의미이다.
혼란이 가중되면서 사내에 발생한 한 가지 여파는 디지털 보안 감시 집중도 저하와 트위터 사이버 공격 방어 전담 직원 수 감소이다. 결과적으로 트위터와 사용자 모두 대규모 데이터 침해나 다른 보안 공격 피해를 겪을 위험성이 커진다는 의미이다.
트위터 전직 최고 보안 관리자인 피터 자트코(Peiter Zatko)의 내부 고발자 보고서와 2022년 미 의회 증언 내용을 고려하면, 트위터 보안 침입 위험성이 특히 우려스럽다. 자트코는 트위터 내부 보안 방어 수준과 접근 관리 수준이 이미 절망적일 정도로 심각하다고 주장했다. 다시 말해, 트위터는 머스크가 인수하기 전부터 이미 보안 문제가 있었으며, 머스크의 인수 후 보안 문제가 더 심각해질 이라는 의미이다.
희소식이 있다면, 지난 8년 사이에 매우 민감한 개인 정보나 사내 정보 침입 문제를 겪었던 에퀴팩스(Equifax)나 소니 픽처스(Sony Pictures)와는 다르다는 점이다. 트위터는 광범위한 영역에서 데이터를 수집하거나 사회 보장 번호 등 정부 발행 신원 데이터를 저장하지 않았다. 트위터는 대다수 사용자의 금융 정보를 보유하지도 않았으며, 도로 주소나 생년월일 등 정보를 입력하도록 요청하지도 않는다. 게다가 사용자가 게재한 트윗 대부분 공개적으로 공유하지 않는다. 하지만 트위터는 여전히 사용자 데이터를 다량으로 보유했으며, 추후 다이렉트 메시지 콘텐츠와 주로 소통 및 상호작용한 대상을 분석하는 소셜 그래프, 이메일 주소, 그리고 기타 상세한 민감 정보까지 포함해 사용자의 중요한 데이터를 대거 수집할 수 있다. 사용자는 트윗을 게재하면서 위치 정보 공유 여부를 선택할 수도 있다. 그리고 트위터는 몇 년에 걸쳐 여러 차례 다양한 사용자 정보를 수집하고는 사용자가 인지한 것보다 더 많은 정보를 보유할 수도 있다.
트위터에서는 다이렉트 메시지를 삭제할 수 있다. 다이렉트 메시지는 사용자에게 ‘나에게서 삭제하기’ 옵션을 제공한다. 이는 사용자 자신의 계정에서만 메시지를 삭제한다는 의미일 뿐 메시지를 주고받은 상대도 볼 수 없도록 메시지 내용을 삭제한다는 의미는 아니다. 전반적으로 트위터는 사용자가 계정을 비활성화했을 때도 사용자 데이터 삭제와 관련된 정책을 분명하게 명시하지 않았다. 트위터는 계정 비활성화 정책에 단순히 “계정 비활성화 후 30일간 계정에 접속하지 않는다면, 계정은 영구 비활성화 처리된다. 계정이 영구 비활성화되면, 계정과 관련된 모든 정보는 트위터의 생성 툴(Production Tools)에서 사용할 수 없다”라고만 기술했다. 어떠한 형태로든 ‘삭제’라는 표현이 언급되지 않은 부분을 고려하면, 트위터 정책의 진정한 의미를 분석하기 어렵다.
[사진=Freepik]
트위터는 와이어드의 데이터 삭제와 관련된 여러 가지 질문 사항에 답변하지 않았다. 트위터 커뮤니케이션 부서 직원 전원이 트위터를 떠났다는 소문과 관련이 있는 것으로 보인다.
그러나 보안 연구원과 사건 대응 담당자 모두 트위터 인프라나 데이터 유출 피해가 반드시 사용자에게 영향을 미친다는 의미는 아니라고 말한다. 다만, 민감한 기업 정보 유출을 의미할 수 있다고 말한다. 트위터 인프라의 악의적인 통제는 거짓 정보 유포나 갈등 조장, 트위터 모바일 앱 탈취까지 여러 방식으로 무기화할 수 있다.
미국 국가안전보장국(NSA)과 미국 해병대 신호 정보 부대에서 근무한 경력이 있는 사이버 보안 사건 대응 기업 트러스티드섹(TrustedSec) CEO 데이비드 케네디(David Kennedy)는 “트위터가 오랫동안 보안 관리를 소홀히 한 듯하다. 그리고 트위터의 모든 변경 사항이 적용되면서 사이버 보안 위험이 존재한다는 사실이 확실하다. 트위터 플랫폼 안정화와 보안을 위해 다루어야 할 문제가 많다. 그리고 모든 것이 변경되면서 악의를 지닌 내부자 측면에서의 위험성이 커질 것이라는 점이 분명하다. 시간이 지나면서 사이버 보안 사건 발생 가능성이 줄어들어도 보안 위험성과 기술 부채는 사라지지 않을 것이다”라고 분석했다.
트위터 계정 침해는 트위터나 사용자 정보를 무수히 많은 방식으로 유출할 수 있다. 특히 억압을 일삼는 정권의 감시 대상이 된 사회운동가나 반정부 인사, 언론인의 피해 위험이 우려스럽다. 2억 3,000만 명이 넘는 사용자를 보유한 트위터의 사이버 보안 침해 문제는 전 세계 사용자 신원 탈취와 희롱, 각종 피해라는 잠재적인 여파로 이어질 수 있다. 정부 정보기관의 관점에서는 수년간 충분한 가치가 있다는 사실이 입증된 데이터는 정부 산하 첩보 기관의 기업 네트워크 공격 동기가 될 수도 있다. 자트코의 폭로에 따르면, 트위터가 전혀 대비하지 못한 문제이다.
트위터는 과거의 관리 관행 때문에 미국 연방거래위원회(FTC)의 조사 대상이 되었다. 11월 17일(현지 시각), 민주당 상원 의원 7인은 FTC에 내부 검토를 통해 보고된 변경 사항과 데이터 보안 관행이 2011년 트위터와 FTC 간 부적절한 데이터 관리 문제 합의 사항을 위반했는지 조사할 것을 촉구했다.
데이터 침해가 발생했다면, 그 상세한 문제가 사용자와 트위터, 머스크에게 이어지는 여파에도 영향을 미칠 것이다. 하지만 머스크는 2022년 10월 말, FTC가 온라인 배송 서비스 드리즐리(Drizly)에 사용자 250만여 명의 데이터 유출 문제로 CEO인 제임스 코리 렐라스(James Cory Rellas) 제재라는 명령을 내린 부분에 주목하고자 한다. 명령은 트위터에 정보 삭제와 데이터 수집 및 보관 범위 최소화라는 엄격한 정책을 요구함과 동시에 코리 렐라스가 추후 근무하게 될 기업에도 같은 요구 사항을 준수하도록 지시했다.
11월 16일(현지 시각), 뉴욕에서 개최된 아스펜 사이버 정상회의(Aspen Cyber Summit) 현장에서 현재의 디지털 보안 위협 동향을 공개적으로 이야기한 롭 실버스(Rob Silvers) 국토안보부 차관은 기업과 기관의 자발적 감시를 촉구했다. 실버스 차관은 “데이터 보안 상황에 안주하지 않을 것이다. 매일 보안 침입 시도와 침입 성공 사례를 매일 철저하게 감시하여 현재 구축한 사이버 방어 체계가 조금이라도 무너지지 않도록 해야 한다. 방어와 회복성이 중요하다”라고 말했다.
2011년부터 2012년까지 트위터 보안팀에서 근무했던 사이버 보안 시뮬레이션 및 복원 기업 포보스 그룹(Phobos Group) 창립자 댄 텐틀러(Dan Tentler)는 현재 트위터의 혼란과 인원 감축 모두 잠재적인 사이버 보안 위험성을 일으키지만, 지금은 전략적 접근이나 통제할 확률이 있는 직원을 표적으로 삼을 의도로 트위터 내부를 구조화하기 어려울 것이라고 전했다. 또, 트위터의 규모와 전 세계에 접근한다는 특징 때문에 현재 혼란스러운 상황을 이용하여 공격을 개시하기에는 위험성이 크다고 덧붙였다.
텐틀러는 “트위터에 내부 공격자가 남거나 외부에서 누군가가 트위터를 공격했다면, 원하는 대로 수많은 공격을 개시하지 못할 수도 있다. 사이버 공격 방어 인력이 많이 남지 않은 환경을 직면하게 될 것이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202211/4351_5756_3339.jpg)
뉴스레터 신청