마이클 베커맨, 미주 공공 정책 총괄
틱톡의 데이터 보안에 대한 약속에 의문을 제기하는 최근 뉴스에도 불구하고 틱톡 커뮤니티가 틱톡에게 위임한 데이터 보안은 틱톡의 최우선 사항입니다. 틱톡은 이러한 문제 및 기타 사항에 대한 서한을 미 의회에 송부했습니다. 또한 미국의 사용자 데이터를 보호하기 위해 틱톡이 취하는 조치를 틱톡 커뮤니티와 공유하고자 합니다. 추가로 미국 사용자 데이터를 안전하고 비공개로 보존하며 보안을 유지하기 위한 약속을 지키기 위한 틱톡의 방향성을 공유하고자 합니다.
지난 5월에 발표한 바와 같이 틱톡은 최근 미국 데이터 보안(U.S. Data Security, USDS)이라는 부서를 신설했습니다. 이 부서를 통해서 틱톡의 데이터 보호 정책 및 프로토콜을 강화하고, 사용자를 더욱 보호하며, 미국 내 시스템 및 제어에 대한 신뢰를 구축하기 위한 노력과 거버넌스를 강화합니다.
USDS 부서의 신설은 2년 전 블로그 게시물에 틱톡이 공개한 목표인 미국 사용자 데이터에 대한 직원의 접근을 최소화하고 중국을 포함한 여러 지역간 데이터 전송 최소화에 있어 중요한 이정표였습니다. 틱톡은 보안 프로토콜의 두 가지 중요한 요소인 접근 권한이 있는 직원과 권한이 필요한 이유 및 해당 직원들의 위치를 다루고 있습니다.
접근 권한이 있는 직원과 접근 권한이 필요한 이유
일반적으로 보안 팀은 데이터에 접근할 수 있는 직원의 수를 최소화하길 원합니다. 또한 업무를 수행하기 위해 해당 접근 권한이 필요한 직원에 한해서만 권한을 부여하려고 합니다. 틱톡은 필요에 따라 직원이 어디에 위치하든 사용자 데이터에 대한 내부 접근을 제한하는 정책과 절차가 있습니다. 여타 많은 글로벌 기업처럼 틱톡은 마운틴뷰, 런던, 더블린, 싱가포르 및 중국을 포함하여 전 세계에 엔지니어링 팀 있으며, 이 팀들은 특히 그들의 역할과 관련된 엔지니어링 기능 수행을 위해 데이터 접근이 필요할 수 있습니다. 이와 같은 데이터 접근은 일련의 강력한 제어, 특정 데이터에 대한 암호화와 같은 보호조치, 미국 기반 보안 팀이 감독하는 권한 승인 프로토콜을 따라야 합니다. 이러한 승인을 용이하게 하기 위해 틱톡은 내부 데이터 분류 체계가 있으며, 데이터 접근에 필요한 승인은 분류체계에 따른 데이터 민감도를 기반으로 합니다. 이러한 절차와 프로토콜의 목적은 틱톡의 비즈니스와 서비스가 제대로 작동하는데 필요한 데이터를 요구하는 직원들만 해당 데이터에 접근하도록 하는 것 입니다.
접근 권한이 있는 직원들의 위치
글로벌 기업으로서 가능한 범위 내에서, 틱톡은 데이터에 접근하는 직원뿐만 아니라 데이터에 접근하는 위치도 제한하고자 합니다. 이와 같은 이유로 오라클 클라우드 인프라를 통한 모든 미국 트래픽 라우팅 외에도 지역 간 데이터 전송의 필요성을 줄이기 위해 미국 기반의 엔지니어링 역량을 구축하기 위해 노력하고 있습니다. 최근에 틱톡이 미국 의회 의원들과 공유한 바와 같이, 틱톡은 USDS 부서의 외부에서 미국 사용자의 데이터 접근을 강력한 데이터 접근 프로토콜로 제한하는 새로운 시스템을 만들고 있습니다. 해당 프로토콜은 오라클의 모니터링 및 감독 매커니즘이 적용됩니다.
사이버 위협 관리
미국 데이터 관련 노력 외에도 틱톡의 글로벌 보안 팀은 차세대 사이버 위협에 선제적으로 대응하기 위해 지속적으로 노력하고 있습니다. 틱톡은 지속적으로 보안 표준을 검증하는 한편 업계 최고의 전문가와 협력하여 틱톡의 방어 시스템을 테스트합니다. 작년, 틱톡은 커뮤니티를 안전하게 유지하기 위해 인적자원, 절차 및 기술에 투자한 공로로 미국, 영국, 아일랜드, 싱가포르 및 인도에서 ISO 27001 인증을 획득했습니다. ioXt 얼라이언스 또한 틱톡이 사이버 보안, 투명성 및 개인 정보 보호에 대한 엄격한 표준을 따르고 약속을 준수한 것을 인증한 바 있습니다.
틱톡은 글로벌 커뮤니티의 신뢰를 얻고 유지하는 데 전념하고 있으며 틱톡 플랫폼을 보호하는 동시에 안전하고 따뜻하며 즐거운 경험을 제공하는 데 지속적으로 집중할 것입니다.