트위터의 다이렉트 메시지는 항상 보안 책임이 있었다. 친구와 낯선 이에게 직접 개인적으로 보낼 수 있는 다이렉트 메시지는 단대단 암호화 기술이 적용되지 않았다. 이 때문에 트위터 보안 공격 발생 시 개인 대화 내용이 외부에 유출될 수 있다. 혹은 트위터 직원이 사용자 개인 메시지에 접근하기 위한 허가 권한을 가진다. 두 가지 상황 모두 일론 머스크가 운영하는 트위터에서 더 심각한 논쟁이 될 확률이 높다. 핵심 보안 및 데이터 보안 인력 대부분 정리해고 사태로 트위터를 떠났기 때문이다.
2022년 11월, 일론 머스크가 트위터를 인수한 뒤 직원 수천 명을 해고함과 동시에 자신의 비전에 따라 트위터를 개편하여 수많은 트위터 사용자의 트위터 사용 중단 결정이 대거 이어졌다. 트위터 사용을 중단하고자 할 때, 많은 사용자가 종종 개인 트위터 아카이브를 내려받고 다이렉트 메시지를 삭제하려 했다. 그러나 다이렉트 메시지 삭제 과정에서 결함이 자주 발생한 탓에 혼란이 발생했다.
유럽에서는 사용자가 유럽연합의 개인정보보호 규정(GDPR)에 따라 개인의 정보 수집과 저장, 사용 권리를 갖게 된다. GDPR이 인정하는 권리 중에는 개인 데이터 삭제 권한도 있다. 그러나 와이어드가 확인한 바와 같이 트위터는 사용자 개인의 데이터 관련 요청 문의에서 다이렉트 메시지 삭제라는 구체적인 문의를 무시하고는 자사 서버 내 개인 다이렉트 메시지 삭제 여부를 설명하지 않는 일반 지침만 전달했다. 이에, 유럽 데이터 규제 당국이 개입했다.
유니버시티 칼리지 런던 디지털 권리 및 규제 전문 부교수 마이클 베일(Michael Veale)은 “트위터에서는 삭제 버튼이 사용자가 생각하는 역할을 하지 않는다. 트위터 앱이나 웹사이트에서 다이렉트 메시지를 삭제해도 트위터 서버에서는 삭제되지 않는다”라고 설명했다.
지난 몇 년 동안 메시지 삭제 목적으로 트위터 내부에 설계된 툴의 실제 역할이 분명하게 밝혀지지 않았다. 이론적으로 트위터 웹사이트에서 사용자가 전송한 다이렉트 메시지를 삭제할 방법은 두 가지이다. 개인 수신함에서 대화 전체를 삭제하는 방법과 동시에 메시지 내부에서 개별 게시물을 삭제하는 방법이다.
두 가지 방법 모두 메시지를 직접 삭제하지 않는다. 트위터 측은 사용자가 대화 전체를 삭제하면, 메시지 수신함에서 대화 내용이 삭제되는 것은 맞다. 하지만 개인 메시지 자체는 여전히 존재한다. 반면, 개인 메시지를 삭제하더라도 메시지를 보낸 상대는 메시지를 계속 볼 수 있다. 트위터의 도움 지원 센터는 메시지와 대화 모두 개인 계정에서만 삭제할 수 있다고 안내한다. 메시지가 트위터 자체 시스템이나 서버에서 삭제된다는 언급은 없다.
이전 연구를 통해 삭제된 다이렉트 메시지가 트위터 서버에 수년간 보관된 사실이 밝혀졌다. 2022년, 트위터 내부 고발자이자 전직 최고 보안 관리자인 피터 머지 자트코(Peiter Mudge Zatko)는 간혹 트위터가 데이터 자체를 삭제할 수 없다고 주장했다.
2022년 11월 초 베일 부교수는 유럽 시민에게 트위터에 서버에서 다이렉트 메시지를 삭제하도록 요청할 때 사용할 지침을 제작했다. 베일 부교수는 해당 지침을 통해 트위터 다이렉트 메시지 삭제 거부의 재앙과 같은 상황으로 2015년 발생한 애슐리 매디슨(Ashley Madison) 해킹과 같은 데이터 침해 사건을 언급했다. 애슐리 매디슨 해킹 당시 사용자 개인 거주지 정보가 인터넷에 확산됐다. 지난 10년간 언론인과 사회 운동가, 시위대를 비롯한 수많은 사용자가 트위터 메시지에 의존하여 개인 정보를 공유하고, 위험한 상황에 노출된 것으로 추정된 이들과 연락하기도 했다.
[사진=Freepik]
그러나 유럽연합의 GDPR과 캘리포니아주 프라이버시 권리법(CPPA) 모두 인터넷 사용자가 기업에 개인 정보를 삭제할 권한을 인정하지만, 몇 가지 예외 사항이 있다. 게다가 GDPR에 따라 기업에 개인 데이터 삭제를 요청한다면, 해당 기업은 의무적으로 답변을 보내야 한다. 기업이 이를 거부한다면, 그 이유를 설명해야 한다. 베일 부교수의 지침은 “적절한 일정에 따라 백업 시스템을 포함한 모든 시스템에서 개인 데이터를 삭제하기를 원한다”라는 표현을 포함하여 다이렉트 메시지 삭제를 요청하도록 조언한다. 더 나아가 개인 계정으로 받은 메시지가 아닌 사용자가 직접 보낸 메시지만 삭제할 것을 요청하고, 트위터가 해당 메시지를 계속 보관해야 할 분명한 이유가 없다는 내용도 덧붙여야 한다고 전한다.
핀란드 커뮤니케이션 전문가이자 기업가인 라리 로히코스키(Lari Lohikoski)는 머스크가 트위터를 인수한 뒤 개인 다이렉트 메시지를 모두 수동으로 삭제했다. 그리고 트위터에 시스템에 보관한 개인 메시지도 모두 삭제하도록 요청했다. 로히코스키는 “트위터 사용자 인터페이스에서는 다이렉트 메시지를 볼 수 없더라도 트위터 서버에는 삭제한 메시지가 남아있을 것이라고 생각한다”라고 말했다.
처음 트위터는 로히코스키의 문의에 계정을 삭제해 메시지를 제거하라는 짧은 답변을 보냈다. 하지만 로히코스키는 자신이 문의한 것과 다른 답변이라고 언급했다. (2022년 11월, 필자도 트위터에 다이렉트 메시지 삭제 요청을 했으나 로히코스키와 비슷한 내용을 언급하는 답변 한 줄만 받았다.) 이제 커뮤니케이션 부서가 없는 트위터는 와이어드의 사용자 다이렉트 메시지 삭제 요청 관련 문의에 답변하지 않았다.
트위터가 GDPR을 존중하지 않는다고 비판한 로히코스키는 핀란드 데이터 당국과 유럽에서 트위터 문제를 관리하는 주요 규제 기관인 아일랜드 데이터 규제 기관에 대한 불만을 표출했다. 베일 부교수도 트위터에 다이렉트 메시지 삭제 요청을 한 뒤 비슷한 답변을 받았으며, 아일랜드 규제 당국은 물론이고, 영국 정보위원회(ICO)에 대한 불만을 이야기했다. 미국 테크 매체 테크크런치도 트위터 다이렉트 메시지 삭제 관련 불만을 토로한 리뷰 기사를 게재했다.
ICO는 베일 부교수에게 “트위터의 응답이 데이터 보호 법안 요구사항을 준수하지 못했다”라고 안내했다. 트위터가 자사 서버 내 다이렉트 메시지 삭제 요청에 제대로 답변하지 않고, 계정 삭제와 관련된 일반적인 정보만 제공했기 때문이다. GDPR을 준수하지 않는 기업은 거액의 벌금형을 선고받거나 법률 집행 대상이 된다. 그러나 실제 GDPR로 처벌을 받은 사례는 드물다.
1월 18일(현지 시각), 로히코스키는 트위터가 보낸 예상치 못한 메일을 받은 사실을 알렸다. 트위터 측이 보낸 메일은 도움 지원 센터에 안내된 다이렉트 메시지 관련 정보를 반복하기만 했다. 로히코스키가 처음 보낸 핵심 요청 사항에는 직접 답변하지 않았다. 로히코스키는 “이번에도 트위터가 요청 사항에 답변하지 않았다”라고 비판했다. (비슷한 시기, ICO는 베일 부교수에게 트위터가 적절한 답변을 보냈다고 안내했다. 그러나 트위터 측은 베일 교수의 메일 주소가 아닌 다른 주소로 메일을 보냈다. ICO는 트위터에 안내 메일을 잘못 전송한 이유를 설명하도록 지시했다.) ICO 대변인은 트위터 데이터 보호 책임자와 대화 중이며, 머스크 인수 이후 트위터의 변화가 미친 영향을 평가 중이라고 밝혔다. 그러나 트위터 다이렉트 메시지 삭제 관련 불만을 다룬 특별한 사안에는 답변하지 않았다.
머스크가 신임 CEO가 된 후 트위터는 규제 당국을 대상으로 유럽을 중심으로 모든 국가에서 법적 의무를 진지하게 준수한다는 점을 재차 확인시켜주고자 했다. 유럽 관료는 트위터의 언론인 계정 정지, 거짓 정보 연구에 영향을 미칠 수 있는 API 접근 변경 등을 비판했다. 트위터는 유럽연합이 새로 제정하는 디지털서비스법(Digital Service Act)의 가장 엄격한 적용 대상에 해당한다. 디지털서비스법은 규정 위반 기업에 거액의 벌금을 부과한다.
트위터는 다이렉트 메시지에 단대단 암호화를 적용하기를 원한다고 주장했다. 그러나 실제 단대단 암호화 기술 적용을 원했다면, 즉시 적용했을 수 있을 것이다. 트위터가 단대단 암호화 기술을 적용하기 전까지 다이렉트 메시지에 민감 정보를 포함하지 않는 것이 가장 좋다. 대신, 시그널(Signal)과 같은 암호화 메신저를 사용하는 방안을 고려해야 한다.
베일 부교수는 테크 업계 대기업이 결과적으로 사용자 정보 권리와 사용자에게 제공해야 하는 정보를 판단할 수 있는 방향으로 지위 변화를 시도할 것으로 예상한다. 베일 부교수는 테크 기업이 사용자에게 개인 게시글과 사진을 포함한 각종 데이터를 내려받도록 지원하는 ‘개인 데이터 다운로드’ 서비스를 제공하지만, 분석 정보와 같은 다른 형태의 데이터는 제공하지 않는다는 사실을 강조했다. 베일 부교수는 “사용자는 기업이 실제로 수집하는 개인정보의 양을 제대로 알지 못한다. 진짜 핵심 문제는 기업이 가짜 사용자 인터페이스 뒤에서 정보 권리처럼 보이도록 위장한다는 사실이다”라고 지적했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202302/4559_6008_177.jpg)
뉴스레터 신청