전 트위터 보안 책임자가 트위터가 사용자 보호를 게을리 해 겉핥기식 스팸 대책으로 사용자를 속이고 있었다는 내부 고발을 했다는 보도가 나왔다. 트위터봇 계정 문제로 인수 중단을 선언해 트위터와 법정 투쟁을 벌이는 일론 머스크에게 유리하게 작용할 가능성이 있을 것으로 보인다.
이번에 트위터를 고발한 건 회사 전 보안 책임자인 피터 자트코(Peiter Zatko). 그는 머지(Mudge)로 알려진 유명 해커로 구글이나 미 국방부 산하 DARPA 등에서 사이버 보안 담당자를 역임한 뒤 2020년 트위터 보안 담당자에 기용됐다. 그러다가 2022년 1월 회사에서 해고됐다.
이후 자트코는 지난 7월 6일 내부 고발 문서를 미 의회나 증권거래위원회 등 복수 정부 기관에 제출하는 동시에 내부 고발자 지원 단체(Whistleblower Aid)와 협력해 이번 내부 고발 공개와 자신의 정체 공개 절차를 밟았다.
200페이지에 달하는 고발 문서 중 자트코는 트위터 보안 취약성, 사용자 데이터 관리에 관한 문제, 봇 계정 집계와 대책에 대한 게으름 등을 지적하며 부적절한 설명을 하며 대중을 속여 왔다고 지적했다.
고발에 따르면 트위터 서버 절반이 취약한 구식 소프트웨어를 이용하고 있으며 경영진은 데이터 침해 발생 건수와 사용자 데이터 보호가 불충분하다는 걸 숨기는 대신 중요하지 않은 부분을 측정해 그럴듯한 자료를 이사회에 제시했다는 것. 이는 개인정보보호를 철저하게 하기 위해 트위터가 연방거래위원회와 사이에 합의한 화해 조건에 대한 중대한 위반에 해당된다고 한다.
자트코는 트위터 최고 경영 책임자인 파라그 아그라왈 트위터 CEO 등 임원에 대해선 광범위한 법률 위반을 실시했다는 명목으로 비난하고 해커 대책에 관한 극단적이고 중대한 결함이 있었다고 주장했다. 더구나 인도 정부 당국 직원 2명을 고용해 내부 데이터에 액세스할 수 있는 부서에 배치했다는 등 트위터가 미 당국으로부터 직원이 해외 정보기관을 위해 활동하고 있다고 경고받고 있었다는 것도 고발 문서에 기록하고 있다. 자트코는 이런 주장을 뒷받침하는 자료와 함께 문서를 미 사법부 등에 보냈다.
내부 고발 내용은 트위터와 일론 머스크와 갈등 관련해 트위터가 일론 머스크와 주주, 사용자에 대해 봇 대책에 관해 거짓말을 하고 있다고 규탄하고 있다. 이는 트위터가 봇 수에 대해 과소 보고했다는 일론 머스크의 주장을 직접 뒷받침하지는 않지만 10월 17일부터 델라웨어에서 열릴 트위터와 일론 머스크 재판에 큰 영향을 줄 수 있다.
일론 머스크는 트위터에 영화 피노키오에 등장하는 지미니 크리켓 인터넷밈 영상을 올렸다. 이는 지미니 크리켓이 작중 피노키오에 양심을 주는 캐릭터로 그려져 있으며 극중 노래(Give a little Whistle)는 내부 고발자(whistleblower)를 의미하는 걸 더한 것으로 여겨지고 있다.
트위터는 자트코가 비휴율적인 리더십과 실적 부진 등을 이유로 2022년 1월 트위터 고위 임원에서 해고했다고 밝힌 바 있다. 트위터 측은 자트코의 고발은 트위터 프라이버시 그리고 데이터 보안에 관한 잘못된 담화이며 모순이나 부정확한 점이 많고 중요한 맥락이 부족하다면서 고객과 주주에게 손해를 주는 걸 목표로 하고 있는 것 같다고 지적했다. 또 보안과 프라이버시는 트위터에게 전사적 우선 사항이며 앞으로도 계속 유지될 것이라는 성명을 발표했다.
파라그 아그라왈 CEO 역시 자사 직원에게 보낸 메일에서 내부 고발자인 자트코가 내부 고발을 보도하는 기사에 대해 조사 중이라면서도 모순과 부정확함으로 가득 차 있으며 중요한 문맥을 무시한 허위 내용으로 평했다. 또 트위터에서 자트코가 일했을 때 많은 장면에서 책임을 다하고 있었지만 해고 6개월 이상이나 지난 지금 부정확한 표현을 하고 있기 때문에 기사를 읽고 좌절하고 혼란스러워 하는 걸 이해한다고 덧붙였다.
다만 그는 자트코가 고발한 내용에서 구체적으로 어떤 부분이 허위인지에 대해선 밝히지 않았다. 관련 내용은 이곳에서 확인할 수 있다.