13일 미 상원 청문회에서 소셜 미디어 업체 트위터가 보안 역량을 부풀려 홍보했다는 내부 폭로가 나왔다. 같은 날 미 연방수사국(FBI)이 트위터에 “최소 1명 이상의 중국 정보 요원이 침투했다”고 경고했다는 현지 언론의 보도도 나왔다.
“트위터에 中 정보요원 최소 1명 있었다…경고에도 색출 노력 안 했다”
트위터 보안 책임자를 지낸 피터 자트코는 13일(현지시간) 미국 상원 법사위 청문회에 출석해 “FBI로부터 최소 한 명 이상의 중국 정보기관 국가안전부( MSS) 요원이 트위터에 직원으로 근무하고 있다는 통보를 받았다”며 “이 문제에 대해 회사에 우려를 제기했으나 사측은 이를 색출하려는 노력을 하지 않았다”고 증언했다.
자트코는 이어 “심지어 경영진은 ‘이미 하나가 들어와 있는데 더 들어온다고 무슨 상관이냐. 회사를 키워나가자’라는 답을 했다” 며 “수익 확대에만 급급한 경영진은 보안 문제를 뒤로 미뤘다”고 지적했다.
자트코는 그러면서 “트위터는 외국 정보기관이 자기네 요원을 배치하기 좋은 요지(要地)가 될 것”이라며 “침투한 요원은 오랫동안 트위터의 결정과 토론, 회사의 운영 방향, 표적으로 삼은 누군가의 중요한 정보를 얻게 될 것”이라고 우려했다.
미 의회 “트위터 같은 플랫폼의 보안 취약 용납할 수 없어”
이날 청문회에서 척 그래슬리 상원의원(공화당·아이오와)은 모두발언을 통해 “우리는 자트코의 폭로로 트위터 사용자의 개인 정보가 외국 정보기관에 노출됐을 가능성이 있다는 것을 알게 됐다”고 지적했다.
그러면서 “인도는 트위터 내에 최소 2개의 외국 자산(assets)을 배치했고, FBI는 트위터에 최소한 한 명의 중국 요원이 트위터에 근무하고 있다고 통지했다”고 밝혔다.
그래슬리 의원은 “자트코의 폭로가 사실이면 트위터 최고경영자(CEO) 파라그 아그라왈은 어떻게 그 자리를 유지할 수 있을지 모르겠다”고 꼬집었다.
상원 법사위원장인 딕 더빈 상원의원(민주당·일리노이)도 “연초에 트위터에서 일하는 사우디아라비아 국적 직원이 사우디 체제를 비판한 반체제 인사의 개인 정보를 탈취한 혐의로 유죄를 받았다”면서 “자말 카슈끄지 암살에서 드러난 대로 이것은 반체제 인사에게는 죽고 사는 문제”라고 말했다.
더빈 의원은 이어 “트위터같이 매우 강력한 플랫폼에서 보안이 취약해지는 것은 용납할 수 없다”고 말했다.
자트코 “트위터, 업계 보안 표준에서 10년은 뒤처졌다”
이날 청문회에서 자트코는 트위터의 보안표준이 매우 낙후돼 있다는 폭로도 했다. 그는 “제가 2020년 트위터 보안 책임자로 입사했을 때 업계 보안 표준과 비교해 10년은 뒤처져 있다는 사실을 발견했다”며 “경영진에게 보안 취약점에 대한 우려를 제기했지만 조치를 취하지 않았다”고 주장했다.
자트코는 트위터의 데이터 보안 가운데 특히 두 가지에 대해 경고했다. 첫째는 트위터가 수집한 개인정보 중 일부만 보호할 수 있다는 점이다. 자트코는 트위터가 수집한 개인 정보의 20%만 수집 이유와 사용 목적, 삭제 시기 등을 인지하고 있다는 회사 내부 자료를 인용한 뒤 “트위터는 나머지 개인 정보가 어떤 데이터인지, 왜 수집했는지를 알지 못한다”고 폭로했다.
그러면서 그는 “트위터는 수집한 개인 정보를 보호하지 못하기 때문에 나쁜 사람들이 시스템에 접근해서 정보를 악용해도 모를 가능성이 있다”고 말했다.
둘째는 트위터의 많은 직원이 사용자 개인 정보에 쉽게 접근할 수 있다는 점이다. 자트코는 “내부 시스템에 액세스해도 기록이 남지 않는다. 외부에서 내부망에 접속하려는 시도가 매주 수천 번 있지만 아무도 알아차리지 못할 정도” 라며 “너무 많은 직원이 데이터와 시스템에 접근할 수 있다. 트위터 직원의 약 절반이 상원의원의 트위터 계정에 접속할 수 있다고 해도 과언이 아니다”라고 폭로했다.
지난달 1차 폭로 “트위터, 스팸 계정 수 파악 못 하고 중·러 영향력에 취약”
여러 차례 해킹과 데이터 유출 등의 보안 문제를 겪은 트위터는 2020년 11월 유명 화이트 해커이자 보안 전문가인 자트코를 보안 책임자로 임명했다. 하지만 트위터는 올해 1월 자트코를 해고했다.
지난 8월 23일 워싱턴 포스트와 블룸버그 통신 등에 따르면 자트코는 비영리 법무법인 ‘휘슬블로어 에이드(내부폭로자 지원)’를 통해 트위터가 연방당국에 ‘해커와 스팸 계정에 대해 강력한 보안 대책을 갖고 있다’고 거짓 주장을 했다는 고발장을 미 증권거래위원회(SEC), 연방 법무부, 연방거래위원회(FTC)에 제출했다.
그는 그러면서 트위터가 해킹·스팸 방어 능력을 부풀렸다고 폭로했다. 자트코는 또한 트위터가 2011년 개인정보 보호를 강화하겠다고 FTC에 한 약속도 제대로 지키지 않았다고 폭로했다.
자트코는 또한 트위터가 국가 안보와 민주주의에 치명적인 위협이 된다고 주장했다. 파라그 아그라왈 트위터 최고경영자(CEO)는 러시아 사용자 수를 늘리기 위해 러시아 정부의 검열과 감시 요구를 수용하는 것을 긍정적으로 검토했으며 익명의 중국 법인으로부터 자금을 받았다고 주장했다.
자트코는 이 중국 법인이 중국 당국의 검열을 피해 트위터를 사용하려는 중국인들의 정보를 열람할 수 있다고 밝혔다. 당시 트위터는 매출 확보에 급급해 ‘중국 자금을 받는 것이 중국 사용자를 위험에 빠뜨릴 수 있다’는 것을 트위터 경영진이 알고 있었음에도 돈을 받았다는 게 그의 주장이다.
자트코는 또한 트위터가 가짜 계정 수를 제대로 측정하려는 의지가 없다고 주장했다. 정확한 수치가 공개되면 기업 이미지와 가치에 해가 될 수 있기 때문이다.
이런 증언은 테슬라 최고경영자(CEO) 일론 머스크가 트위터를 인수하려다가 가짜 계정 문제를 이유로 철회한 상황에서 나왔다. 머스크는 트위터 인수 계약을 무효로 하기 위한 소송에서 자트코의 주장을 활용할 예정이며 재판은 다음 달 델라웨어주 법원에서 열릴 예정이다.
한편 이번 청문회의 폭로에 대해 트위터 측은 내용이 일관성이 없고 부정확한 거짓이라고 응수했다. 이는 지난달 고발 이후 내놨던 공식 입장과 동일한 주장이다. 이어 트위터의 채용 프로세스는 외부의 개입으로부터 독립돼 있으며 정보를 보호하기 위해 배경 조사나 접근 권한 조정, 시스템 모니터링과 같은 조치가 이뤄지고 있다는 입장을 내놨다.