보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

트위터의 고발한 전 보안 근무자, “트위터 보안 문제 크다”

입력 : 2022-08-24 18:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
트위터에서 내부 고발 사건이 발생했다. 전 보안 책임자가 트위터의 보안 윤리가 얼마나 해이한지 입증하기 위한 각종 자료를 200 페이지에 엮어 의회에 제출했기 때문이다. 내용에 의하면 트위터는 사실상 보안을 거의 염두에 두지 않고 경영을 해온 것으로 보인다.

[보안뉴스 문가용 기자] 트위터의 전 보안 책임자가 내부 고발을 실시했다. 트위터라는 플랫폼의 보안 상태가 그리 바람직하지 않으며 경우에 따라 국가 안보를 위협할 수도 있다는 내용이다. 고발자의 이름은 피터 자트코(Peiter Zatko)이며, 미국 의회에 200 페이지에 달하는 보고서를 전달했다. 해외 사용자들의 콘텐츠 및 여론 조작, 계정 탈취, 정찰, 가짜뉴스 살포 등의 행위가 사실상 트위터에 의해 허용되고 있다는 게 그의 주장이다.

[이미지 = utoimage]


이러한 내용은 외신인 CNN과 워싱턴포스트에서 처음 내보냈다. 한 명 이상의 직원들이 사실상 해외 정부 기관들을 위한 간첩 역할을 하고 있다고 하며, 최고 경영진들은 보안과 관련된 문제들을 덮는 데에 급급한 상황이라고 두 매체는 자트코의 말을 인용해 보도했다. 자트코는 트위터에서 근무하기 전부터 윤리적 해커로 명성이 뛰어난 인물이었다. 

자트코가 고발한 내용 중 중요한 것을 정리하면 다음과 같다.
- 보안을 위한 통합적이고 총괄적인 관리 체계가 부실하여 누구나 가장 민감한 정보에도 쉽게 접근할 수 있다.
- 봇들이 플랫폼 내에서 난무하다. 그런데도 경영진들을 이걸 애써 못 본척 하고 있다.
- 트위터의 CEO인 파라그 아그라왈(Parag Agrawal)은 자트코를 불러 보안 문제 관련 보고서를 좀 더 보기 좋게(큰 문제가 아닌 것처럼 보이게) 수정하라고 지시했다.
- 트위터가 보안과 프라이버시라는 측면에서 향상하고 있다는 점을 강조하는 뉘앙스의 데이터를 강조하라고 지시하기도 했다.

자트코는 트위터가 사용자 개인의 프라이버시에 큰 관심이 없다고도 밝혔다. 그래서 사용자의 데이터를 삭제해야 할 경우, 삭제하지도 않을 뿐더러 어디에 어떤 식으로 보관되어 있는지 모르고 그냥 방치할 때가 많다고 주장했다. 

세상은 이러한 보도에 크게 놀랐지만, 보안 업계는 잠잠하다. 그럴 줄 알았다는 것이다. 2020년 한 해커는 트위터의 내부 제어 플랫폼에 접근하는 공격에 성공하기도 했었고, 그러면서 트위터의 ‘보안 실력'의 밑바닥이 공개된 것이나 다름 없었기 때문이다. 보안 업체 벡트라(Vectra)의 아론 터너(Aaron Turner)는 “2020년 그 사건이 있은 후 트위터가 권한 높은 사용자 계정을 특별히 제어한다거나 관리하지 않는다는 것이 분명해졌다”고 말한다. “계정을 구분하거나 분류해서 보안 정책을 적용한다거나 하는 기술도 갖추지 않은 것으로 보였습니다. 이번에 내부로부터 고발된 내용이 사실로 보이는 이유입니다. 트위터는 기본 보안 실천 및 위생이라는 개념에서 정말로 많이 뒤쳐진 곳입니다.”

당연한 반응이지만 트위터는 자트코의 주장이 사실과 거리가 멀며, 자트코는 이미 지난 1월 직무 수행 능력이 현저히 떨어져 해고된 상태라고 밝혔다. “자트코는 올해 1월 트위터로부터 해고가 되었습니다. 리더십을 통해서나 개인적인 업무 수행 능력을 통해서나 부진한 모습을 보여주었기 때문입니다. 이번에 그가 트위터를 공격한 건 해고된 것에 대해 보복하고, 대중들의 관심을 사려고 하는 것으로 보입니다. 보안과 프라이버시 보호가 트위터의 중심 가치가 된 건 이미 오래 전의 일입니다.”

트위터의 CEO인 아그라왈은 내부 메모를 통해 “현재 자트코의 주장을 검토하는 중”이라고 알렸다. “현재까지 알려진 내용은 거짓된 것이 대부분입니다. 주장에 일관성도 없고 부정확하며, 중요한 맥락적 정보마저 빠져 있어 오류로 가득합니다.”

법조계와 보안 업계의 반응
양측의 주장이 첨예하게 부딪히고 있지만 진실은 조만간 드러나게 될 것으로 보인다. 법조계와 정치인들이 자트코의 보고서에 깊은 관심을 보이기 시작했기 때문이다. 딕 더빈(Dick Durbin) 의원은 “이 주장의 진실을 파헤치기 위해 필요한 모든 조치를 취할 것”이라고 밝혔다. “국가의 안보에도 중대한 영향을 미치는 문제이기 때문에 간과할 수 없다”는 것이 그의 입장이다. 척 그래슬리(Chuck Grassley) 의원도 CNN과의 인터뷰를 통해 “심각한 문제로 발전할 수 있어 진실을 조속히 밝혀내야 한다”는 의견을 피력했다.

보안 플랫폼 버그크라우드(Bugcrowd)의 CTO인 케이시 엘리스(Casey Ellis)는 “소셜 미디어라는 플랫폼에 대한 보안이 좀더 규모 있게 논의되는 계기가 되길 바란다”는 의견이다. “아직 이번 내부자 공개에 대하여 구체적인 의견을 피력할 정도의 입장에 있지는 않습니다만 사회 기반 시설로서 소셜 미디어를 검토해야 될 때가 되긴 했습니다. 이번 사건이 보다 큰 사회적 논의의 장을 여는 데 일조하기를 바랍니다. 특히 미국으로서는 2024년 선거가 예정되어 있는데, 지금부터 소셜 미디어가 여론 조작과 가짜뉴스 살포에 활용되지 않는 방안을 마련해야 하겠습니다.”

그러나 보안 업계는 전반적으로 자트코의 손을 들어주는 편이다. “자트코는 보안 업계에서 윤리적 해커로 오랜 기간 활동해 오며 명성을 쌓은 인물입니다. 목소리를 낼 때 분명히 내는 성격도 잘 알려져 있고요. 그렇다고 아무 때나 소란을 떠는 사람도 아닙니다.” 엘리스의 설명이다. “머지(Mudge)라는 활동명을 모르는 보안 전문가는 있어도, 그를 비하하는 의견을 가진 보안 전문가는 아마도 찾기 힘들 겁니다. 오늘 보안 업계는 찬반으로 팽팽히 나뉘지도 않았고, 그의 의견을 깎아내리지도 않았습니다. 그럴 줄 알았다, 트위터가 고쳐야 할 부분이 많다며 고개를 끄덕였죠.”

터너 역시 비슷한 의견이다. “저는 머지를 ‘컬트오브더데드카우(Cult of the Dead Cow)’ 시절부터 알고 있었습니다. 제가 마이크로소프트에 있었을 때도 머지의 덕을 본 적이 있을 정도입니다. 정부 기관들과 다양한 프로젝트를 진행한 지난 20년 동안에도 머지가 DARPA(고등연구계획국)에서 이룬 업적들 덕분에 많은 도움을 받았고요. 그가 현재 미국 정부 기관의 사이버 보안 전략과 구조에 미친 영향은 결코 적다고 할 수 없습니다. 그런 머지가 트위터에 문제가 있다고 말한다면, 트위터에는 문제가 있는 겁니다.”

3줄 요약
1. 트위터의 전 보안 책임자, 트위터의 부실한 보안 경영을 고발.
2. 200 페이지에 달하는 상세한 보고서를 의회에 제출.
3. 정치인들이 큰 관심 보이고 있으며, 보안 업계는 대체적으로 “그럴 줄 알았다”는 반응.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)