|
“취약한 보안·가짜계정 파악 능력 전무…당국엔 거짓 보고”
23일(현지시간) CNN방송, 워싱턴포스트(WP) 등에 따르면 트위터에서 보안책임자로 일했던 피터 자트코는 지난달 비영리 단체인 ‘휘슬블로워 에이드’를 통해 미 증권거래위원회(SEC), 연방 법무부, 미 연방거래위원회(FTC)에 84페이지 분량의 고발장을 제출했다.
자트코는 고발장에서 트위터가 미 연방 규제당국을 상대로 해커와 스팸 계정에 대해 강력한 보안 대책을 갖고 있다고 거짓 보고했다고 주장했다. 보고와 달리 트위터의 서버 절반이 구식 장비여서 보안에 매우 취약한 소프트웨어를 사용하고 있고, 스팸 계정 규모를 파악할 수 있는 별도의 시스템도 갖추지 못했다는 지적이다.
그는 “트위터는 사용자의 개인정보, 회사 주주, 국가안보, 민주주의에 위협이 되는 주요 보안 문제를 갖고 있다. 사이버보안에 대한 잘못된 통제와 판단력으로 수많은 해외 정보 위험에 반복적으로 노출됐다”고 적었다.
자트코는 트위터에서 일할 당시 개인정보보호를 포함한 사이버보안, 플랫폼 통합, 콘텐츠 순화 등 자신이 맡고 있던 모든 영역에서 심각할 정도로 많은 결함이 있었으며, 보안 대책도 매우 허술했다고 비판했다. 그는 전체 정규직 약 7000명 중 절반 가량은 회사의 감독 없이도 사용자의 민감한 개인정보나 서비스 제어가 가능한 내부 소프트웨어에 접근할 수 있었다고 꼬집었다.
자트코는 또 트위터가 중국과 러시아의 영향에 특히 취약하다면서 “트위터 경영진이 익명의 중국 법인을 통해 자금을 받고 있다”고 주장했다. 그는 “트위터는 현재 수익에 지나치게 의존하고 있으며 수익을 늘리기 위한 시도 외엔 아무것도 할 수 없다는 말을 들었다”고 전했다.
가짜계정과 관련해서는 파라그 아그라왈 CEO를 비롯한 고위 경영진들이 스팸 계정 규모를 고의로 축소 집계했으며, 이를 토대로 작성한 거짓된 서류를 규제당국에 제출하라는 요구를 받았다고 주장했다. 그는 트위터가 가짜계정을 파악할 수 있는 능력도 의욕도 없다면서 “고위 간부들이 이사회, 사용자들, 주주들에게 거짓되거나 오도된 정보들을 제공하는 현장들을 수차례 직접 목격했다”고 폭로했다.
WP는 “고발 내용 중 연방 규제당국에 허위 보고했다는 것이 가장 심각한 문제”라며 “이는 FTC와 합의 조건을 11년 간 위반했다는 것을 의미한다”고 평했다.
‘인수 계약 파기’ 관련 對머스크 소송에 영향 끼칠수도
해리 헤머메쉬 펜실베이니아대 법학 교수는 “자트코의 고발이 사실이라면 머스크가 트위터와의 법정 싸움에서 이길 수 있는 ‘스모킹건’이 될 것”이라고 말했다. 칼 토비아스 리치먼드 대 로스쿨 교수도 “자트코의 주장은 머스크가 트위터 인수를 포기한 이유와 유사한 것으로 보인다”고 말했다. 다만 “자트코의 주장이 얼마나 신뢰할 수 있고 (재판과) 얼마나 관련이 있는지는 여전히 불분명하다”고 덧붙였다.
트위터 “모순되고 부정확한 주장”…해고 보복 가능성 제시
자트코는 30년 동안 ‘머지’(Mudge)라는 별명으로 불린 전직 해커다. 2020년 7월 트위터가 대규모 해킹을 당한 뒤 잭 도시 전 CEO의 요청으로 같은해 11월 회사에 합류했다가 올해 1월 해고됐다. 그는 “트위터가 전 세계적으로 중요한 정보의 자원이라고 믿어 회사에 합류했지만 보안 문제를 해결하기를 거듭 거부하는 파라그 아그라왈 현 CEO에 대해 환멸을 느꼈다”며 이번 고발에 대해 “(올바른) 정보를 공개해야 할 윤리적 의무가 있다”고 설명했다.
트위터는 자트코의 고발에 대해 “잘못된 설명으로 모순과 부정확함으로 가득차 있고 일관된 중요한 맥락도 없다”며 “우리는 보안과 개인정보보호를 최우선으로 여기고 있다”고 반박했다.
또 “자트코는 몇 달 전 비효율적인 리더십과 부진한 실적으로 해고당했다”며 “트위터와 회사의 고객 및 주주들에게 피해를 주기 위해 기회주의적인 타이밍에 고발한 것으로 보인다”고 덧붙였다. 해고에 대한 보복 차원에서 머스크와의 법정 다툼에 불리하게 작용할 거짓 주장을 하고 있다고 에둘러 지적한 것이다.