Home > 전체기사
RSAC 2018, 소셜 미디어가 다시 화두다
  |  입력 : 2018-04-20 14:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 공간의 경계가 앱 중심으로 재설정되고 있어
국가 안보와 기업 보안에 소셜 미디어 영향력 매우 커
글로벌 리더뿐 아니라 공격자에게도 막강한 힘 부여


[보안뉴스 오다인 기자] 소셜 미디어를 둘러싼 각종 우려들이 쏟아진다. 소셜 미디어는 국가 안보와 기업 보안에 점점 더 큰 영향력을 발휘하고 있다. 이에 전 세계 정부기관과 기업은 소셜 미디어에서 파생되는 위험에 어떻게 대처할지 논의하는 중이다.

[이미지=iclickart]


18일 미국 샌프란시스코 RSA 콘퍼런스에서 ‘미국 대통령이 포스팅을 한다: 소셜 미디어와 국가 안보(POTUS is Posting: Social Media and National Security)’라는 세션이 열렸다. 이 세션에서 제로폭스(ZeroFOX)의 제임스 포스터(James Foster) 최고경영자(CEO)는 사이버 공간이 지금껏 목격하지 못한 경계를 재설정하고 있다고 말했다. 사람 간 경계는 원래 지리에 근거해 설정됐지만 이제는 애플리케이션(이하 앱)에 근거해 설정되고 있다는 것이다. 그는 각 앱의 규모를 보여주는 이미지 자료를 제시했다. 현재 페이스북은 20억 이용자, 유튜브는 15억 이용자, 왓츠앱은 12억 이용자, 위챗은 93만 8,000명의 이용자를 보유하고 있다.

코모도 그룹(Comodo Group)의 선임연구원인 케네스 기어스(Kenneth Geers) 박사는 “소셜 미디어는 피할 수 없다”고 말했다. 트위터나 페이스북 같은 플랫폼이 글로벌 리더들에게 커뮤니케이션 툴이 됐고, 위협 행위자들에겐 공격 매개가 됨으로써 국가 안보에 큰 영향력을 갖게 됐기 때문이다.

연사들은 도널드 트럼프 미국 대통령을 예로 들었다. 트럼프 대통령은 트위터 업데이트를 통해 국가정책의 결정사항을 공유하는 것으로 유명하다. 기어스 박사는 트럼프 대통령과 관계가 좋지 않던 전 국무장관이 그날의 백악관 외교 정책을 파악하기 위해 트위터를 출력해 봤다는 점을 언급했다. 18일 세션이 열리기 전, 트럼프 대통령은 미국 중앙정보국(CIA) 마이크 폼페오(Mike Pompeo) 국장이 북한의 김정은 국무위원장을 최근 만났다는 소식을 트위터에 업데이트했다.

기어스 박사는 “장담컨대 사람들이 이 트위터를 출력해서 오늘 무엇을 할 것인지 고민했을 것”이라고 말했다. 그는 “소셜 미디어의 힘은 그 자체로 분명한 부분이 있다”고 덧붙였다.

같은 맥락에서 포스터 CEO는 현대의 소셜 미디어가 수십 년 전 텔레비전이 그랬던 것처럼 메시지를 공유하는 기술적인 매체가 됐다고 말했다. 그는 “좋든 싫든 소셜 미디어는 정부에 새로운 소통 형태가 됐고 없어지지 않을 것”이라고 말했다. “역사상 최초로 전쟁 선포가 소셜 미디어에서 이뤄질 수도 있는 일”이라고 그는 강조했다.

소셜 미디어의 힘과 영역은 위협 행위자에게도 미친다. 위협 행위자들은 크고 위험한 공격을 감행하기 위한 플랫폼으로 소셜 미디어를 활용한다. 소셜 미디어는 정보작전이나 허위정보 전파에 완벽한 발판이다. 무엇보다 소셜 미디어는 완벽한 수준의 익명성과 거리를 제공해주기 때문에 공격자들이 원거리에서 가상의 무기들을 사용할 수 있도록 해준다.

기어스 박사는 소셜 미디어에서 보고 듣는 것 중 반만 믿어야 한다고 말했다. 특히, 국가 안보와 관련해선 모든 것을 의심해야 한다. 계정이나 활동을 거짓으로 꾸며내는 건 매우 쉬운 일이기 때문이다. 계정 탈취의 일례로 그는 미국 중부사령부(US Central Command)의 가짜 트위터 계정을 언급했다. 이 계정은 11만 명의 팔로어를 보유하면서 영향력도 컸다.

기어스 박사는 “소셜 미디어와 사이버 공격이 우리가 생각하는 것보다 더 중요해졌다”면서 “국가 안보에 심각한 영향을 끼칠 수도 있는 일”이라고 지적했다.

포스터 CEO는 민간 기업에 가장 큰 위협 중 하나는 가짜 계정이 될 것이라고 짚었다. 기업이 소셜 미디어를 플랫폼으로 갖고 있는 이상, 공격자들은 직원과 고객이라는 기업의 가장 중요한 두 그룹을 겨냥할 수 있다는 것이다. 이는 기업의 포지션을 난감하게 만드는 일이기도 하다. 직원들의 소셜 미디어 계정이 어떤 수준의 위협을 내포하는가? 기업이 소셜 미디어를 어떻게 관리할 것인가? 기업이 직원들의 계정을 보호할 책임이 있는가?

포스터 CEO와 기어스 박사는 기업이 소셜 미디어 기반의 위협을 줄일 수 있는 방법을 몇 가지 제시했다. △소셜 미디어 정책을 만들 때 커뮤니케이션 부서와 협업할 것 △어떤 걸 포스팅할 수 있고 어떤 건 포스팅하면 안 되는지 명시할 것 △오용이나 잠재적인 위협을 어떻게 보고할 수 있는지 직원들에게 알릴 것 △계정 보안 강화를 위한 모범 사례(best practices)를 가르칠 것 △침해사고 공지 및 크리덴셜 분실에 대한 정책을 수립할 것 등이다.

데이터 프라이버시 이슈는 계속될 것이다
국가 안보와 함께 데이터 프라이버시도 오늘날 소셜 플랫폼과 이용자가 직면한 중요한 이슈다. 몇 년 전, 페이스북은 프라이버시 정책을 설명하는 데 주력한 바 있다. 현재 페이스북은 그들이 고객정보를 어떻게 활용하는지와 관련해 미국 국회 청문회에서 가장 뜨거운 관심을 받고 있다. 페이스북 계정 소유자들도 향후 진행될 일에 대해 큰 관심을 보이고 있다.

사람들은 프라이버시에 점점 더 높은 가치를 부여하고 있다. 이에 기업이 그들의 정보를 어떻게 활용하는지에 대해 더 큰 우려를 나타내고 있다. 해리스 폴(Harris Poll)이 수행하고 IBM이 후원한 연구에 따르면, 미국 응답자의 78%는 기업의 데이터 보안 역량이 ‘매우 중요(extremely important)’하다고 답했다. 데이터 보안과 관련해 기업을 ‘완전히 신뢰(completely trust)’하겠다고 밝힌 응답자는 20%에 불과했다.

일전의 한 포스트에서 페이스북은 이용자가 페이스북 플랫폼에 있지 않을 때의 정보 수집에 대한 근거를 해명했다. 다수의 웹사이트 및 앱이 이용자 콘텐츠를 맞춤화하는 과정에서 페이스북의 로그인이나 분석 툴을 사용하고 있다. 이용자들이 페이스북 서비스를 사용하는 사이트와 앱을 방문할 때, 페이스북은 이용자가 로그아웃된 상태라도 해당 정보를 수집한다. 심지어 페이스북 계정 자체가 없는 이용자라 하더라도 페이스북은 해당 정보를 수집하고 있다.

페이스북의 데이비드 베이서(David Baser) 제품관리책임자는 페이스북의 데이터 활용과 이용자 정보 제어와 관련해 다음과 같이 밝혔다. “페이스북이 타 웹사이트 및 앱에서 수집한 정보를 활용하는 데는 3가지 주요 이유가 있다. 1) 이들 사이트 및 앱의 서비스에 페이스북의 서비스를 제공하기 위함이고 2) 페이스북의 안전과 보안을 향상하기 위함이며 3) 페이스북 자체의 제품과 서비스를 개선하기 위함이다.

이어진 포스트에서 페이스북의 에린 에건(Erin Egan) 부사장 겸 프라이버시최고책임자와 애슐리 베린저(Ashlie Beringer) 부사장 겸 법무자문 부위원은 페이스북이 새로운 프라이버시 법률을 어떻게 준수하고 있는지, 새로운 보호조치를 어떻게 추가하고 있는지 설명했다.

지속적인 프라이버시 보호 노력의 일환으로 페이스북은 이용자의 각종 활동에 대해 이용자의 의견을 반영하려는 계획도 갖고 있는 것으로 알려졌다. 앞으로 이용자들은 페이스북 파트너사가 제공하는 광고, 자신의 프로필 정보, 얼굴인식 기술 등에 개입할 수 있을 것으로 기대된다. 또한, 페이스북은 이용자 정보 접근·삭제·다운로드 시 유럽 일반 개인정보보호법(GDPR) 준수를 위한 툴을 선보일 예정이다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)