트위터에 또다른 악재가 터졌다. 전 트위터 보안책임자가 보안 문제 해결에 미온적인 회사의 관행을 폭로한 것이다. 

가짜 계정 문제로 인수철회에 나선 일론 머스크 테슬라 CEO의 주장에 힘을 실어줄 뿐 아니라 규제기관으로부터 대규모 벌금까지 받을 수 있는 주장으로 논란이 일 것으로 보인다.

피터 잣코 전 트위터 보안책임자는 증권거래위원회(SEC)에 트위터를 고발하는 동시에 CNN, 워싱턴포스트 등과 인터뷰를 통해 보안 문제 해결에 미온적이며, 봇(가짜 계정) 문제를 방치했다고 폭로했다.

트위터는 보안 허점을 숨기고 규제 기관을 오도했으며, 플랫폼의 봇을 제어하지 못했다다는 게 핵심이다.

관심을 모으는 부문은 가짜 계정으로 불리우는 봇 계정 문제다. 트위터는 5% 미만의 가짜 계정을 주장하는 반면, 트위터 인수를 발표했던 머스크는 이 수치를 신뢰할 수 없다고 주장하면서 인수 철회를 발표하면서 법정 소송으로 이어지고 있다. 잣코 전 보안책임자의 폭로에서 가짜 계정 문제는 초미의 관심사다. 

잣코 전 보안책임자는 트위터가 가짜 계정 집계에 오해의 소지가 있는 방법을 의도적으로 사용하고 있다고 주장했다.

그가 주장하는 오해의 소지가 있는 방법이란 플랫폼 총 계정수의 백분율이 아닌 수익화된 일일 활성사용자(mDAU) 백분율로 가짜 계정을 표시하는 트위터의 방식이다. mDAU는 소셜미디어 업계에서 유일하게 트위터만 사용하는 사용자 집계 방법이다.

일일활성사용자(DAU), 월간활성사용자(MAU)를 사용하는 업계 관행과 달리 mDAU를 사용하는 이유에 대해 트위터는 플랫폼 내에서 광고를 볼 수 있는 사용자를 더 정확하게 공개하기 위해 것으로 설명하고 있지만, 잣코 전 보안책임자는 이는 가짜 계정의 실제 규모를 모호하게 하기 위해 의도적으로 사용하고 있다고 주장했다.

잣코 전 보안책임자는 트위터가 가짜 계정의 규모에 대해 전혀 파악하지 못하고 있다고도 주장했다. 2021년 초 봇 계정에 대해 질문했을 때 사이트 무결성 책임자로부터 회사가 플랫폼에 얼마나 많은 봇이 있는지 모른다는 말을 들었다는 것이다. 

실제 숫자가 공개될 경우 기업 가치와 이미지에 해를 끼칠 수 있기 때문에 봇 계정 파악에 적극적으로 나서고 있지 않을 뿐 아니라 회사 내부에서 관련 대화가 회피되고 있다는 설명이다. 

잣코 전 보안책임자는 경영진은 스팸 봇을 제거하는 대신 사용자 수를 늘리기 위해 최대 1천만달러의 인센티브 제공 정책을 펼치고 있다고 폭로했다.

트위터에서 보안문제와 관련한 의견을 무시하는 것도 일상적으로 이뤄지고 있다고 폭로했다. 전체 직원의 절반 가량이 플랫폼의 중요한 컨트롤에 접근할 수 있을 뿐 아니라 관련한 기록(중요 시스템 접속자, 접속 후 행위)이 전혀 저장되지 않는다는 설명이다. 

시스템과 엔드포인트 기기에 대한 제어, 가시성을 거의 확보하고 있지 않아 보안 정책 위반에 대해 책임을 물을 수 있는 역량이 없다는 것으로, 이는 엄청난 결함과 태만, 고의적인 무지라는 것이 잣코 전 보안책임자의 주장이다.

데이터센터의 취약점도 문제점으로 제기됐다. 시스템 재기동, 또는 회복을 위한 용량과 절차를 갖고 있지 않으며, 따라서 작은 규모의 시스템 다운에도 서비스 전체가 정지될 수 있다는 폭로다.

트위터가 보유한 50만대의 서버 중 절반 가량이 데이터의 암호화, 정기 보안 업데이트 등 기본 보안 기능이 적용되지 않고 운영되고 있다는 점도 언급했다.

내부고발자의 이러한 폭로가 사실로 밝혀질 경우, 트위터에게 막대한 벌금이 부과될 수 있다.

2010년 미 연방거래위원회(FTC)는 개인정보보호 등의 보안 조치를 트위터에 명령했으며, 2011년 트위터는 이를 받아들여 ‘포괄적인 정보 보안 프로그램’을 구축·유지할 것을 포함해 전반적인 보안 강화를 약속한 바 있다. 

하지만 잣코 전 보안책임자는 트위터가 반복적으로 거짓과 오해의 소지가 있는 진술로 FTC를 기만했다고 주장했다. 이 근거로 잣코 전 보안책임자는 비정상적으로 높은 비율의 보안사고를 제시했다. 

실제로 트위터는 2012년 런던 올림픽 개막식 당시의 서버 다운을 비롯한 서비스 중단, 트윗작성과 리트윗 장애, 원인 미상의 계정잠금 등 잦은 사고로 사용자들의 원성을 산 바 있다.

2010년의 대규모 계정 해킹사건 이후에도 2020년 제프 베조스, 일론 머스크, 조 바이든 등 유명인의 계정을 대상으로 한 해킹 사고가 발생하는 등 해킹사고가 보고됐다. 

잣코 전 보안책임자는 “10년 전 FTC가 제기한 취약점을 비롯한 다른 보안 취약점에 제대로 대응하지 못한 결과, 트위터는 엄청나게 높은 보안 사고율에 시달리고 있다”며 “이는 1주일에 1건 이상 정부 기관에 공개해야 할 정도로 심각하다”고 말한다. 그는 트위터 이사회에 보낸 이메일에서 “전문적인 경험에 비춰볼 때 이러한 규모의 보안 사고나 많은 보안 사고를 경험하고 있는 기업은 없다”고 언급하기도 했다.

한편 트위터는 지난 5월 보안 강화를 목적으로 동의를 얻은 사용자 개인정보를 광고에 무단 사용한 혐의로 FTC와 1억5000만달러의 과징금을 받은 바 있다.

워싱턴포스트는 FTC가 잣코 전 보안책임자가 주장한 사항을 면밀히 검토하고 있다고 보도했으며, CNN은 2011년 트위터와 FTC의 합의 당시 FTC를 이끌었던 존 레이비츠 전 FTC 의장의 발언을 인용해 명령 위반이 사실로 밝혀지면, 수십억 달러의 벌금이 부과될 수 있다는 전망을 전했다.

트위터는 해고에 앙심을 품은 악의적인 음해라고 일축했다.

트위터는 “잣코는 저조한 실적과 비효율적인 리더십으로 해고됐다”며 “불일치와 부정확성으로 가득 차 있고 중요한 맥락이 결여된 개인정보보호, 데이터 보안 관행에 대한 주장과 기회주의적 타이밍은 트위터와 고객, 주주에게 피해를 주기 위해 고안된 것으로 보인다”고 말했다. 

한편 잣코 전 트위터 보안책임자는 ‘머지’라는 별명으로 유명한 화이트해커로, 2020년 잭 도시 전 트위터 CEO에 의해 영입됐다.

트위터 합류 이전 사이버공격의 위험성을 알리기 위해 마이크로소프트(MS) 윈도우98용 해킹 프로그램을 개발해 공개하면서 유명세를 탔으며 버퍼오버플로우 취약점에 대한 초기 연구를 주도하기도 했다.

특히 cDc(The Cult of the Dead Cow)라는 유명 해커 그룹의 일원으로 인터넷 등장 초기에 정부, 보안업계와 연락하면서 해커커뮤니티가 우호적 관계를 맺도록 하는데 기여했으며, 1998년에는 미국 상원에서 인터넷의 심각한 취약점에 대해 증언하기도 했다.

이후 미국 국방고등연구계획국(DARPA)에서 사이버 전쟁 관련 연구를 수행하고, 구글에서도 보안 업무를 담당하기도 했다. 유명 기업인들과 정치인들의 트위터 계정이 무더기로 해킹당한 사태가 발생한 당시 잭 도시 CEO가 트위터의 보안 문제를 해결할 적임자로 영입한 인물이다.

허나 2021년 그를 영입했던 도시가 CEO에서 물러나고 파라그 아그라왈이 신임 CEO로 임명되면서 교체됐다.