중국 정부의 틱톡 데이터 접근이 ‘보안 위험’인 이유 3가지

짧은 동영상 플랫폼 틱톡(TikTok)은 최근 몇 달간 빈축을 샀다. 미국 국회의원들과 국민은 틱톡의 데이터 수집 관행과 중국 정부와의 잠재적인 연계성에 의문을 제기했다. 이런 우려는 중국에서 일부 미국 사용자의 데이터에 반복적으로 접근했다는 버즈피드(Buzzfeed)의 보도 후 격화했다.

ⓒ Jeremy Bezanger/Unsplash

틱톡의 모회사인 베이징 소재 바이트댄스(ByteDance)는 중국 정부와의 정보 공유 사실을 부인했으며, 미국 사용자 트래픽을 오라클(Oracle)이 운영하는 서버로 이주했다고 발표했다. 그러나 의혹을 불식하기에는 부족했고 보안 및 개인정보보호 전문가들의 우려는 계속되고 있다.

인포시스 컨설팅(Infosys Consulting)의 사이버보안 담당 파트너 조셉 윌리엄스는 “중국에서 정치와 사업은 불가분의 관계다. 중국 정부는 흥미로울 만한 것은 무엇이든 파악하기 위해 특정 사용자, 특정 키워드 또는 특정 동영상 시퀀스에 집중할 수 있다”라고 주장했다.

이론적으로 틱톡은 문자, 이미지, 동영상, 위치, 메타데이터, 초안 메시지, 지문, 브라우징 이력 등 온갖 종류의 데이터를 수집할 수 있다. 지난 몇 년간 급성장한 틱톡의 월간 활동 사용자 수는 전 세계적으로 10억 명이 넘는다. 이 중에서 1억 명은 미국에 거주한다. 퓨 리서치 센터(Pew Research Center)의 설문조사에 따르면, 미국 십 대 67%가 틱톡 사용 경험이 있었다. 인스타그램(Instagram), 스냅챗(SnapChat), 페이스북(Facebook), 트위터(Twitter)보다 더 많았다.

기업이 정부에 정보를 넘기는 문제는 틱톡이나 중국 차원을 훨씬 넘어선다. 서비(Cerby) 최고 신뢰 책임자 맷 치오디는 “데이터 욕심에 끝이 없는 국가는 중국만이 아니다. 가장 인기 있는 소셜 미디어 플랫폼 중 여러 곳의 데이터를 가장 많이 요청한 국가는 미국이라는 점을 상기해야 한다”라고 말했다.

정부는 기업 소유 데이터를 다음과 같은 3가지 방식으로 활용할 수 있다.

1. 내외국인 대한 더 많은 정보 확보

크렙스 스태모스 그룹(Krebs Stamos Group) 컨설턴트 다코타 캐리는 정부가 할 수 있는 일 중에서 가장 우려되는 것이 “사람 사이의 관계를 이해하는 일을 물론 개인을 이해하고 표적으로 삼는 일은 더 잘하기 위해” 여러 소스의 데이터를 결합하는 것이라고 말했다.

데이터 결합의 가능성은 다양하다. 치오디는 “틱톡의 데이터를 별개라고 생각하지 말고 한 국가가 공공 및 다크웹의 데이터로 할 수 있는 것이 무엇인지 생각해 보라”라고 지적했다. 특히 중국 정부는 이미 사회 신용 시스템(Social Credit System)으로 이를 실험 중이다. 따라서 중국 정부가 틱톡 데이터에 접근하면 검열 계획을 새로운 차원으로 끌어올려 국내는 물론 해외 사용자에 대한 정확한 프로필을 만들 수도 있다.

캐리는 “중국이 외국 국민에 대해 수집한 데이터는 모두 이런 종류의 시스템에 들어오며, 정부에서 누군가를 관심의 대상이라고 판단하는 경우에만 사용될 가능성이 크다”라고 덧붙였다. 예를 들어, 중국 정부는 자국으로 출장을 오는 서양 기업인들이나 국내 대학교에 등록된 서양 학생들을 감시할 수 있으며, 해외에서 근무하거나 유학 중인 자국민에 대해서도 더 가치 있는 정보를 입수할 수도 있다.

2. 지적 재산 도용

중국은 서양 조직의 지적 재산을 도용한다는 비난을 받은 지 오래다. 지적 재산 도용에 따른 경제적 비용은 수량화하기 어렵지만, FBI 국장 크리스토퍼 레이는 2020년 중국의 경제 간첩 행위가 미국 경제에 “가장 큰 장기적 위협”이라고 말했다.

지난 수년 동안 보안 업체들은 사이버 간첩 작전에 가담한 여러 중국 해킹 집단을 적발했다. 2022년 5월 사이버리즌(Cybereason) 연구팀은 쿠코비 작전(Operation CuckooBees)에 관한 보고서를 공개하고 윈티(Winnti)/APT41 집단이 지적 재산을 도용할 목적으로 동아시아, 서유럽, 북미 지역의 제조 회사를 표적으로 삼았다고 밝혔다.

중국 정부의 틱톡 데이터 접근이 허용된다고 가정해 보자. 치오디는 이 경우 중국 정부가 “표적 캠페인을 개발해 민감한 지적 재산에 접근권이 있는 사람들을 파악한 후 스피어 피싱 캠페인을 실행해 접근권을 획득할 수 있다. 예를 들어, 방위 계약업체나 무선통신회사에 근무하는 사람이 주요 표적이 될 수 있다”라고 지적했다.

3. 고도로 표적화된 영향력 캠페인

2016년 미국 대통령 선거 당시 러시아는 도널드 트럼프 후보 당선을 위해 개입했다는 비난을 받았다. 그 후부터 국가가 소셜 미디어 플랫폼을 이용해 사람들이 생각하는 것에 영향을 미친다는 개념이 인기를 얻었다. 치오디는 틱톡 같은 앱을 이용해 “한 국가와 그 동맹국의 지정학적 미래에 유리한 특정 관점을 홍보함으로써 집단의 의견을 좌지우지하는 것”이 가능하다고 말했다.

이는 사용자에게 특정 동영상을 추천하는 알고리즘을 통해 달성할 수 있다. 캐리의 표현을 빌리자면 중국은 “사회주의의 핵심 가치를 지지하는” 콘텐츠를 홍보할 수 있다. 캐리는 “정책입안자들이 소셜 미디어에 영향력을 미칠 자신감만 있다면, 추천 알고리즘을 이끌어 당 이념을 내세우려는 욕망을 틱톡 플랫폼에서 표출할 수 있다”라고 덧붙였다.

당분간은 추천 알고리즘을 ‘이끄는’ 기술적 세부 내용을 확실히 알아내기가 어려워 보인다. 이런 이유로 캐리는 중국이 ‘잘 만든 영향력’ 작전을 구축하는 대신 실행하기 쉬운 콘텐츠 조정과 같은 것에 집중할 수 있다고 전망했다.

더 비관적인 의견도 있다. 치오디는 중국이 알고리즘 없이 “향후 업계나 사회에 가장 많은 영향력을 발휘할 것으로 예측되는 개인을 특별히 식별하기 위한” 장기 캠페인을 만들 수 있으며, “예측은 다른 여러 요인 가운데 다양한 분리 단계를 기준으로 할 수 있다”라고 말했다. 치오디는 이런 개인들에게 이론상 다년에 걸쳐 영향을 미친 끝에 결국 간첩 행위를 목적으로 접근하는 것이 가능하다고 덧붙였다.

중국의 데이터 접근에 대한 기업의 대응

위험 관리 전문가들은 역동적인 지정학적 환경을 이해해야 한다. 캐리는 “틱톡이 상징하는 문제는 모든 종류의 중국발 소프트웨어에 깔린 전체적인 문제다. 틱톡을 포함해 중국 소재의 모든 기업은 데이터를 수집해 정부와 공유할 것을 강요당할 수 있다”라고 지적했다.

한 가지 조언은 중국 기업에 적용되는 규칙을 이해하려고 노력하라는 것이다. 또 다른 조언은 기업의 자산 기록을 업데이트하고 데이터의 위치와 처리 방식을 인지하라는 것이다.

캐리는 “중국 내 기업 영업활동, 데이터의 속성과 저장, 기업 네트워크 전반에 걸쳐 중국 소재 직원들에게 허용되는 접근의 종류 등을 완전히 파악하는 것은 고부가가치 상품 및 서비스에 주력하는 기업에 매우 중요하다”라고 설명했다.

개인 또한 인터넷에 올리는 것은 무엇이든 제대로 암호화되지 않을 경우 국가 안보 목적으로 접근될 수 있다는 사실을 인지하고 본인의 공공 페르소나를 최대한 제한해야 한다. 미국에서 운영되는 서비스도 포함된다.

치오디는 “기술의 역사에서 대량의 데이터를 통합하여 이해하는 것이 가능한 시점에 와 있다. IT의 소비화 덕분에 이제는 자원이 한정된 국가도 클라우드 제공업체의 상용 서비스를 통해 한때 G7 국가만 이용할 수 있었던 데이터 수집과 분석 캠페인을 수행할 수 있다”라고 말했다.

기술 플랫폼에 대한 관점의 변화

일련의 추천 목록이 위험 관리 전문가들에게 도움이 될 수 있겠지만, 가장 필요한 것은 관점의 변화다. 인터넷은 최근 몇 년간 크게 달라졌다. 모든 기술 플랫폼을 통제하는 국가는 없다. 오늘날 모든 인터넷 사용자 중 절반 이상이 아시아 출신이며, 전 세계에서 방문자가 가장 많은 웹 주소 상위 20곳 가운데 12곳은 이미 중국 웹 사이트다.

위드시큐어(WithSecure)의 최고 리서치 책임자 미코 히포넨은 “미국은 온라인 세계에서 타의 추종을 불허하는 위치에 익숙해진 나머지 더 이상 모든 기술 플랫폼을 통제하지 않는 상황에 적응하기 어려워하고 있다”라고 지적했다.

반면 유럽은 수년간 이런 현실에서 살고 있다. 히포넨은 “우리의 기술 플랫폼과 애플리케이션의 출처는 멀리 떨어져 있다. 그것을 만든 사람들은 우리의 바람과 문화 또는 규칙에 관심이 거의 없다. 이런 사실은 추후 미국에도 적용될 것”이라고 덧붙였다.

유럽연합은 이런 위험을 최소화하기 위해 몇 가지 규칙을 만들었다. 가령 기업에 유럽 고객에 대한 데이터를 유럽 영토 내에 저장할 것을 요청하는 것이다. 오정보 및 허위 정보 방지 프로그램에 자금을 지원하기도 한다.

치오디는 “각국은 자국 소비자에 대한 데이터가 국내에 저장되도록 의무화해야 한다. 또한 서비스 제공업체는 기술적으로는 물론 사람과 프로세스 관점에서 국외로의 데이터 전송이 발생하고 있지 않으며, 가능하지 않다는 점을 독자적으로 증명해야 한다”라고 강조했다.

틱톡에 관한 우려는 앞으로 닥칠 일의 ‘미리 보기’에 불과하다. 히포넨은 “중국은 온라인 세계의 강국으로 부상하고 있으며, 이는 시작에 불과하다. 중국의 국내 총생산은 엄청난 속도로 성장하고 있다. 몇 년 후에는 미국을 따라잡고 그 직후에는 유럽을 넘어설 것이다. 중국은 우두머리가 되고 있다”라고 말했다.
editor@itworld.co.kr

Andrada Fiscutean editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지