테크레시피

분산형 SNS 인스턴스…자기 방어 방법은?

마스토돈과 미스키, 블루스카이 등 분산형 SNS는 사용자마다 자유롭게 인스턴스, 그러니까 서버를 설치할 수 있는 걸 특징으로 삼고 있다. 하지만 미국에선 FBI에 의한 별도 가택 수사로 마스토돈 인스턴스 관리 기기가 압수되는 사태가 발생하고 있다. 이 상황에 따라 전자프런티어재단은 인스턴스 관리자와 사용자에게 자기 방어를 호소하고 있다.

트위터나 페이스북 같은 주요 SNS는 운영 기업이 관리하는 서버상에서 모든 서비스가 성립된다. 한편 마스토돈이나 미스키, 블루스카이 같은 분산형 SNS에선 사용자가 자유롭게 인스턴스를 설립할 수 있어 인스턴스마다 다른 제한이나 운영 방침을 내걸 수 있다. 분산형 SNS 인스턴스는 AWS 같은 클라우드 컴퓨팅 서비스를 사용해 호스팅할 수 있지만 사용자가 집에 있는 컴퓨터에서 호스팅하기도 한다.

2022년 5월 마스토돈 인스턴스(Kolektiva.social) 관리자 중 1명이 인스턴스 운영과 무관한 혐의로 FBI에 의한 가택 수사를 받았다. 당시 FBI는 이곳 운영 정보가 보관된 머신을 포함한 모든 전자기기를 압수했다고 한다. FBI가 압수한 머신에는 인스턴스에 참여했던 사용자 이메일 주소, 해시된 비밀번호, IP 주소 등 개인 정보가 포함되어 있었다. 더구나 가택 수사를 받았을 때 관리자는 인스턴스 메인터넌스 작업을 실시하고 있었기 때문에 보통 암호화되어 있어야 할 정보가 암호 해독 상태가 되어 있었다.

전자프런티어재단에 의하면 정부가 합법적으로 정보를 수집한 경우 수집한 정보를 원래 목적과는 무관한 범죄 수사를 위해 이용할 수 있다며 정부가 정보를 한 번 입수하면 이 정보는 자주 이용되며 법률은 정보 사용이 합법적임을 뒷받침한다. 또 재단 측은 정부로부터 정보 수집에 대한 자기 방어가 필요하다며 인스턴스 관리자와 사용자에게 자기 방어 방법을 짚고 있다.

방화벽 적용, 서버와 데이터베이스에 액세스할 수 있는 사용자 제한, 서버사 수집하는 데이터 최대한 줄이기, 액세스 로그를 저장해야 한다면 적절한 기간이 지나면 파기해야 한다. 또 분산 SNS 코드 취약성에 관한 정보를 수집하고 새로운 버전이 나오면 서버를 갱신한다. 사용자 정보 제공을 요구하는 법집행기관에 대한 대응에 대해 명확한 투명성 리포트를 정기 공개한다. 법집행기관으로부터 정보 제공을 요구받으면 가능하면 빨리 사용자에게 연락을 취한다.

그 뿐 아니라 사용자 입장에서 보면 규약에 법집행기관에 대한 대응 방법이 기재되어 있지 않다면 이용 규약을 갱신하도록 요구한다. 또 인스턴스 관리자 대응이 마음에 들지 않으면 다른 인스턴스로 마이그레이션을 하고 VPN 과 토르 사용을 하고 임시 이메일 주소를 사용한다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사