Twitter가 사용자의 보안을 위험에 빠뜨리고 있습니까?

트위터의 전 보안 책임자인 Peiter "Mudge" Zatko는 2022년 7월 증권 거래 위원회에 내부 고발자 불만을 제기했으며 마이크로블로깅 플랫폼 회사가 심각한 보안 실패를 겪고 있다고 비난했습니다.

이러한 비난은 트위터가 Elon Musk에 매각될 가능성이 있다는 현재 진행 중인 드라마를 증폭시켰습니다.

Zatko는 윤리적 해커, 사설 연구원, 정부 고문 및 가장 저명한 인터넷 회사 및 정부 기관의 임원으로 수십 년을 보냈습니다.

그는 사이버 보안 업계의 거의 전설입니다. 그의 평판 때문에 그가 말할 때 사람들과 정부는 일반적으로 경청합니다. 이는 트위터에 대한 그의 불만의 심각성을 강조합니다.

더 읽어보기: FTC 소송은 중대한 개인정보 위험을 노출시키며, 이는 귀하의 휴대전화 잘못입니다.

전 사이버 보안 업계 실무자이자 현재 사이버 보안 연구원인 저는 Zatko의 가장 지독한 비난이 Twitter가 사용자 데이터를 보호하고 내부 통제를 배치하여 내부 위협으로부터 보호하며 회사 시스템이 최신 상태인지 확인하는 확실한 사이버 보안 계획을 세우지 못했다고 주장하는 데 중점을 두고 있다고 생각합니다. 제대로 업데이트되었습니다.

Zatko는 또한 Twitter 경영진이 규제 기관과 회사 이사회에 브리핑할 때 플랫폼의 사이버 보안 사고에 대해 덜 드러냈다고 주장했습니다.

그는 트위터가 플랫폼을 오염시키고 사용자 경험을 손상시키는 스팸 및 기타 원치 않는 콘텐츠를 줄이는 것보다 사용자 성장을 우선시했다고 주장했습니다.

그의 불만은 또한 회사의 비즈니스 관행에 대한 우려를 표명했습니다.

의심되는 보안 실패

Zatko의 주장은 소셜 미디어 플랫폼으로서의 Twitter의 사이버 보안 상태뿐만 아니라 회사로서의 Twitter의 보안 의식에 대한 불안한 그림을 그립니다.

글로벌 커뮤니케이션에서 트위터의 위치와 온라인 극단주의 및 허위 정보에 대한 지속적인 투쟁을 고려할 때 두 가지 점은 모두 관련이 있습니다.

아마도 Zatko의 주장 중 가장 중요한 것은 Twitter 직원의 거의 절반이 사용자 데이터와 Twitter 소스 코드에 직접 액세스할 수 있다는 그의 주장일 것입니다.

오랜 시간에 걸쳐 검증된 사이버 보안 관행은 이러한 수준의 "루트" 또는 "특권" 권한을 가진 많은 사람들이 민감한 시스템 및 데이터에 액세스하는 것을 허용하지 않습니다.

사실이라면 트위터가 내부에서 또는 제대로 검증되지 않았을 수 있는 내부 사람들의 도움을 받는 외부 적에 의해 악용될 수 있음을 의미합니다.

Zatko는 또한 Twitter의 데이터 센터가 회사가 주장하는 것만큼 안전하거나 탄력적이거나 신뢰할 수 없다고 주장합니다.

그는 전 세계에 있는 500,000개의 Twitter 서버 중 거의 절반이 공급업체가 지원하는 최신 소프트웨어를 실행하거나 여기에 저장된 사용자 데이터를 암호화하는 것과 같은 기본적인 보안 제어 기능이 부족하다고 추정했습니다.

그는 또한 회사의 강력한 비즈니스 연속성 계획이 없다는 것은 사이버 사고 또는 기타 재해로 인해 여러 데이터 센터가 실패할 경우 "실존하는 회사 종료 이벤트"로 이어질 수 있음을 의미한다고 언급했습니다.

이것은 Zatko의 불만에서 제기된 주장 중 일부일 뿐입니다. 그의 주장이 사실이라면 트위터는 사이버 보안 101에 실패했습니다.

외국 정부 개입 우려

Zatko의 주장은 국가 안보 문제를 제기할 수도 있습니다.

트위터는 최근 몇 년 동안 전염병 및 총선과 같은 글로벌 이벤트에서 허위 정보와 선전을 퍼뜨리는 데 사용되었습니다.

예를 들어, Zatko의 보고서에 따르면 인도 정부는 Twitter가 방대한 양의 Twitter의 민감한 데이터에 액세스할 수 있는 정부 요원을 고용하도록 강요했습니다.

이에 대해 인도의 적대적인 이웃 국가인 파키스탄은 인도가 “기본적인 자유를 억제하기 위해” 트위터 보안 시스템에 침투하려 한다고 비난했습니다.

통신 플랫폼으로서 Twitter의 글로벌 발자취를 감안할 때 러시아와 중국과 같은 다른 국가에서는 회사가 자국에서 운영되도록 허용하는 조건으로 자체 정부 요원을 고용하도록 회사에 요구할 수 있습니다.

Twitter의 내부 보안에 대한 Zatko의 주장은 범죄자, 활동가, 적대적인 정부 또는 직원을 모집하거나 협박하여 Twitter의 시스템과 사용자 데이터를 악용하려는 지지자가 국가 안보 문제를 제기할 가능성을 높입니다.

설상가상으로 사용자, 관심 분야, 플랫폼에서 팔로우하고 상호 작용하는 사람에 대한 Twitter의 자체 정보가 허위 정보 캠페인, 협박 또는 기타 사악한 목적을 위한 타겟팅을 용이하게 할 수 있습니다.

저명한 회사와 그 직원에 대한 이러한 해외 표적화는 수십 년 동안 국가 안보 커뮤니티에서 주요 방첩 문제였습니다.

낙진

의회, SEC 또는 기타 연방 기관에서 Zatko가 불만을 제기한 결과가 무엇이든, Twitter 인수를 철회하려고 시도하는 Musk의 최근 법적 서류의 일부입니다.

이상적으로는 이러한 공개에 비추어 Twitter는 회사의 사이버 보안 시스템 및 관행을 개선하기 위한 시정 조치를 취할 것입니다.

회사가 취할 수 있는 좋은 첫 번째 단계는 시스템, 소스 코드 및 사용자 데이터에 대한 루트 액세스 권한이 있는 사람을 검토하고 필요한 최소 수로 제한하는 것입니다.

또한 회사는 생산 시스템을 최신 상태로 유지하고 글로벌 운영을 크게 방해하지 않으면서 모든 유형의 비상 상황에 효과적으로 대처할 수 있도록 준비해야 합니다.

더 넓은 관점에서 Zatko의 불만은 현대 조직에서 사이버 보안이 담당하는 중요하고 때로는 불편한 역할을 강조합니다.

Zatko와 같은 사이버 보안 전문가는 사이버 보안 문제에 대한 홍보를 좋아하는 회사나 정부 기관이 없다는 것을 이해합니다.

그들은 이와 같은 사이버 보안 문제를 제기할지 여부와 방법, 그리고 잠재적 파급 효과가 무엇인지에 대해 오랫동안 열심히 생각하는 경향이 있습니다.

이 경우 Zatko는 자신의 공개가 "민주주의에 매우 중요"하다고 말하는 소셜 미디어 플랫폼의 보안 책임자로서 "그가 고용한 일"을 반영한다고 말했습니다.

Twitter와 같은 회사의 경우 나쁜 사이버 보안 뉴스는 종종 규제 기관과 의원의 관심을 끌 뿐만 아니라 주가와 시장에서의 입지에 영향을 미칠 수 있는 홍보 악몽으로 이어집니다.

정부의 경우 이러한 폭로로 인해 사회에 봉사하기 위해 설립된 기관에 대한 신뢰가 부족할 수 있으며 잠재적으로 혼란스러운 정치적 소음이 발생할 수 있습니다.

불행히도 사이버 보안 문제를 발견, 공개 및 처리하는 방법은 사이버 보안 전문가와 오늘날의 조직 모두에게 쉬운 솔루션이 없는 어렵고 때로는 논쟁의 여지가 있는 프로세스로 남아 있습니다.

이에 대한 생각이 있습니까? 토론을 트위터나 페이스북으로 가져오세요.

편집자 추천:

• Instagram 및 Facebook은 다른 웹사이트에서 사용자를 추적합니다. 방법은 다음과 같습니다.
• 무선(OTA) 자동차 업데이트란 무엇입니까?
• 모든 사람들이 짜증나는 쿠키 알림을 싫어하는 이유가 여기에 있습니다.
• iPhone 15주년: 기기의 과거, 현재, 미래 살펴보기

편집자 주: 이 기사는 볼티모어 카운티 메릴랜드 대학교 컴퓨터 과학 및 전기 공학의 수석 강사인 Richard Forno가 작성했으며 Creative Commons 라이선스에 따라 The Conversation에서 재출판되었습니다. 원본 기사를 읽으십시오.