이원영 기자
전 트위터 보안 책임자로 내부 고발을 한 피터 자트코(Peiter Zatko)가 지난 9월 13일 미국 상원사법위원회에서 개최된 공청회에 참석했다. 공청회에서 그는 트위터 보안팀 중 적어도 1명이 중국 국가공안안전부 공작원이 포함됐다고 증언했다.
그의 증언에 따르면 트위터는 해외 첩모 기관에 의한 악용에 매우 취약하며 악용을 근절하는 건 어렵고 회사도 근절할 생각이 없었다고 한다. 또 보안팀 안에 적어도 1명은 중국 국가공안안전부 공작원이 있었고 인도로부터도 공작원이 보내지고 있었다고 한다.
중국 공작원이 있다는 정보는 자트코가 해고되기 일주일 전 FBI에서 트위터 보안팀에 접수된 것이었다고 한다. 이 정보가 나오기 전 자트코는 회사 임원에게 사내에 공작원이 있다고 확신할 수 있다고 말했지만 1명이 있다면 그 이상 있어도 어쩔 수 없다는 반응이 돌아왔다고 한다.
자트코는 트위터 취약성에 대한 책임은 안전보다 이익을 추구하는 경영진에 있다고 지적하며 트위터는 위험과 위기를 관리하는 기업이 아니라 위험과 위기에 의해 관리되는 기업이라며 그에 따르면 트위터는 좋은 결과만 보고하는 사내 문화가 있었다고 한다. 참고로 이 공청회에는 파라그 아그라왈 트위터 CEO로 소환됐지만 일론 머스크와 법정 싸움을 이유로 참여를 거절했다. 찰리 글래슬리 의원은 외국 영향으로부터 미국인을 지키는 건 델라웨어주에서 이뤄지는 트위터 민사소송보다 중요하다는 말로 아그라왈 CEO를 비난하기도 했다.
자트코에 따르면 트위터는 데이터를 제대로 제어할 수 없는 상태로 사용자 전화번호나 IP 주소, 이메일 주소, 사용하는 단말 정보, GPS 정보, 그 외 식별 정보에 대해 트위터 직원 중 절반이 액세스할 수 있는 상태가 됐다고 한다. 이 상태를 그는 문에 열쇠가 걸리지 않으면 누가 열쇠를 갖고 있든 상관없다고 표현하기도 했다.
또 트위터는 2010년 연방거래위원회로부터 사용자 보호를 위한 합리적 수단을 취하지 않았다며 소송을 당해 2011년 비공개 정보에 대한 액세스를 막는 조치 등에 대해 합의했지만 2022년 5월 합의에 반해 개인 정보를 부정하게 이용했다며 1,900억 원 벌금 지불을 명령받았다. 하지만 2020년 입사한 자트코에 따르면 원래 트위터는 2011년 합의한 내용을 계속 지키지 않았던 혐의가 있다고 한다.
딕 더빈 의원은 이에 대해 트위터는 강력한 플랫폼인 만큼 보안 취약점을 허용할 수 없다며 엄격한 관점을 보이기도 했다. 또 글래슬리 의원은 트위터가 합의를 지키고 있는지 여부에 대해 연방거래위원회가 10년간 몰랐거나 충분한 조치를 취하지 않았다는 것에 대해 우려를 품고 있다고 밝혔다. 그 뿐 아니라 리처드 브루멘탈 의원은 사용자 프라이버시와 보안을 보호하기 위한 새로운 연방기관 창설을 요구했고 에이미 크로브처 의원은 초당파 그룹으로부터 기술 기업 영향에 대해 우려했음에도 상원이 이에 대응하지 않았다며 의회도 단점을 직시할 필요가 있다고 지적했다.
참고로 자트코에 의한 내부 고발 후 자트코가 트위터 전에 근무하던 스트라이프, 구글, DARPA 멤버에 대해 적어도 6개 조사 회사가 접촉을 시도하고 있으며 협력자에 대해 비용은 전혀 신경쓰지 않는다며 1시간에 1,000달러도 기꺼이 지불했다는 보도도 있다. 이들은 자트코의 신용을 해치는 것 같은 정보를 요구하고 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
