*아래의 내용은 틱톡 정보보호 최고책임자(TikTok Chief Information Security Officer) 인 Roland Cloutier가 작성한 내용이며, 원문은 Updates on our security roadmap를 통해 확인할 수 있습니다.
기술적 보호 조치 구축에는 예측, 계획 및 반응을 위한 지속적 노력이 필요합니다. 제가 약 3달 전 현재 직무를 맡게 된 후로 틱톡 보안팀은 당사 이용자의 개인정보를 보호하고 당사의 전반적인 보안 노력에 대한 투명성을 확보하기 위하여 전념하고 있습니다. 몇 주 전 말씀드린 바와 같이, 저희 팀의 보안 전문가들과 저는 당사의 보안 프로세스와 인프라에 대한 폭넓은 검토를 수행하고 있습니다. 이를 염두에 두고, 최근의 개선사항 소식 몇 가지를 말씀드리겠습니다.
먼저 몇 가지 환경적 맥락을 말씀드리겠습니다. 올해 초 어느 보고서는 틱톡과 기타 주요 엔터테인먼트 및 뉴스 앱을 포함하여 주목 받고 있는 많은 앱들이 이용자의 클립보드에 대한 접근권한을 요청하고 있다고 지적하였습니다. 이 같은 일이 일어나는 데에는 여러 가지 타당한 이유가 있습니다. 예컨대, 어느 앱 상에서 어느 웹사이트의 텍스트를 복사한 후 새로운 브라우저를 연다면 대부분의 브라우저는 해당 텍스트를 붙여 넣고 해당 URL로 바로 접속할 것인지 물을 것입니다. 이 예시는 브라우저에서 이용자 경험을 향상시키기 위하여 사용되는 방법을 보여주며, 이를 위해서는 클립보드에 저장된 URL을 앱이 알 수 있어야 합니다. 그 외에도 이용자의 클립보드에 저장된 정보를 앱이 확인해야 하는 이유는 매우 많습니다.
틱톡의 경우, 이번 알림은 Google Ads SDK 구축으로 인해 발생하였습니다. 이러한 유형의 정보는 틱톡으로 전송되지 않지만, 당사는 이 현상으로 인하여 많은 이용자들이 혼란을 겪었으며 틱톡이 불분명한 목적으로 해당 정보를 자체적으로 이용하였다고 오인할 수도 있었을 것이라는 점을 인정합니다. 또한 어디에서나 찾아볼 수 있다는 서드파티 광고 프로그램의 성격을 생각하면 다른 많은 앱에서도 유사한 현상이 발생하는 이유를 보다 잘 이해할 수 있습니다. 이에 대한 대응책으로 당사는 4월 16일에 광고 프로그램이 이용자의 클립보드에 접근할 수 없도록 앱을 업데이트하였습니다.
한편, iOS 14 베타 출시 후 틱톡 이용자들은 동영상에 댓글을 입력하려고 할 때 비슷한 iOS 알림을 받았습니다. 또한 이용자들은 다른 여러 인기 앱에서도 알림을 확인하였습니다. 다른 앱에서 알림이 발생하는 이유를 확실히 알지는 못하지만, 이러한 유형의 사건으로 이용자 보안이 침해될 수 있다는 인식이 있다는 점을 감안하여, 이 같은 현상이 틱톡에 발생한 이유나 이번 문제가 유사한 현상이 발생한 후 얼마 지나지 않아 발생하게 된 경위, 그리고 이 현상의 재발을 막기 위해 당사가 기울이고 있는 노력에 대해서 설명해 드리려고 합니다.
당사는 틱톡 이용 경험을 개선하기 위하여 꾸준히 신규 기능을 개발하고 있습니다. 본건의 경우 당사는 스팸 문제와 이용자가 수백 개의 동영상에 같은 댓글을 게시하는 문제에 대응하기 위한 작업을 수행하고 있었습니다. 당사의 기술 덕분에 당사는 여러 동영상의 댓글란에 반복적으로 댓글을 복사하여 붙여 넣는 이용자를 식별할 수 있었습니다. 당사는 그와 같은 행위를 하는 이용자에게 해당 이용자가 팔로워 수를 늘리기 위하여 스스로를 홍보한다거나 다른 이용자를 선동(troll)하는 등의 의도가 있다고 생각하였습니다.
이에 당사는 스팸 행위를 신속하게 감지하고 틱톡 커뮤니티 경험을 개선할 수 있는 스팸방지기능을 출시하였습니다. 해당 기능은 5월 22일 공개된 iOS 버전 앱에 추가되었습니다.
기술적 관점에서 말씀드리면, 봇 방지 기술은 클립보드에서 문자열(string) 대조 검사를 수행하는 것입니다. 그 유일한 기능은 애플리케이션으로 입력된 대조 대상 텍스트가 클립보드에서 온 것인지 여부를 검사하는 것입니다. 클립보드상의 정보 수집은 없었으며, 해시 검사와 같은 앱 내에서 입력되는 정보에 대한 검사일 뿐이었습니다.
비전문가 용어로 말하자면, 스팸방지 프로그램을 통해 이용자의 기기 외부로 이용자 정보가 전송되지 않습니다. 그럼에도 불구하고 당사는 알림으로 인하여 의도치 않게 당사가 스팸방지 기능으로 추가적인 행위를 한 것처럼 보일 수 있다는 결과가 발생하였다는 점을 이해합니다. 지난 주 당사는 해당 기능을 삭제하여 앱스토어에 업데이트를 전송하였으며, 6월 27일자 애플 앱스토어에 공개되는 틱톡 앱 16.6.1버전에서는 해당 문제가 해결되었습니다. 언제나 그렇듯이, 당사는 모든 이용자들이 앱을 최신 버전으로 업데이트할 것을 권장합니다.
스팸방지기능은 안드로이드 버전 틱톡 앱에는 추가된 적이 없으며, 현재 당사는 클립보드에 접근을 하지 않고도 다른 기술을 통하여 iOS와 안드로이드 모두에서 스팸 문제에 대응하고 있습니다.
5월 22일부터 6월 27일까지 가동되었던 스팸방지기능은 iOS 14상에서 수십, 수백 가지의 다른 앱들에서 알림을 발생시켰던 다른 종류의 기능과 비슷합니다. 동시에, 당사는 어떠한 상황에서도, 특히 다른 기능에 대한 이러한 유형의 접근을 제거하기 위하여 노력한 지 얼마 되지 않은 상황에서 클립보드에 대한 틱톡의 접근에 의문을 제기할 만한 기능의 추가는 피하는 것이 좋았을 것임을 인정합니다.
또한 비록 많은 앱이 이러한 유형의 알림을 발생시키며, 그 발생 이유가 대부분 무해한 경우이기는 하지만, 이용자 입장에서 기업들이 정보를 어떻게 활용하는지에 대하여 정당한 질문을 할 수 있음을 이해합니다. 당사는 이를 충분히 수용하며, 당사 이용자의 안전과 개인정보를 보호하기 위하여 매일 노력할 뿐 아니라 당사의 실무를 투명하고 솔직하게 알림으로써 업계 선두를 향해 노력하겠습니다.
이를 염두에 두고, 저는 현재 진행 중인 철저한 앱 보안 평가, 교정, 검증, 배포 전 테스트 및 검사 방지 노력을 수행하기 위하여 전력을 다할 계획입니다. 이 계획은 저희 팀의 최우선순위이며, 분석을 수행하고 조치를 취함에 있어 당사 최고경영팀으로부터 전폭적 지원을 받고 있습니다. 당사는 하나의 엔지니어 팀을 해당 프로젝트에 전담시킬 계획입니다.
또한, 당사는 추후 신규 기능을 출시할 때 그러한 문제가 발생할 수 있는 가능성을 차단하기 위하여 기능출시과정 검토를 수행하고 있습니다.
그 일환으로 당사는 문제가 발생할 수 있는 가능한 모든 다른 상황을 고려하기 위하여 모든 클립보드 사항에 대한 전면 검토를 수행하였습니다. 특히 당사는 이용자가 직접 개시하지 않은 유형의 클립보드 접근 행위가 발생할 수 있는 상황을 점검하였습니다. 예컨대, 틱톡에 정보를 붙여 넣는 것은 이용자가 시작한 행위이며 이용자에게 가치를 제공합니다. 향후 며칠 동안 당사는 서드파티 협력사와 협업하여 해당 검토를 완료하고 유사한 문제가 존재하지 않음을 확인할 계획입니다. 그 결과는 곧 다시 전해드리겠습니다.
당사는 당사 이용자의 개인정보를 존중하는 앱을 제작하고 틱톡 커뮤니티가 보다 투명할 수 있도록 하는 데에 전력을 다하겠습니다. 틱톡 개선 방안에 대한 새 소식을 앞으로도 지속적으로 알려드리려고 하며, 올해 말에는 투명성 센터(Transparency Center)를 설치하여 이용자 안전을 유지하고 이용자 개인정보를 보호하기 위한 당사의 숨은 노력을 전문가들이 확인할 수 있도록 할 계획입니다. 보안은 끝나지 않는 작업입니다. 하지만 틱톡 커뮤니티를 존중하고 보호하는 경험을 앞으로도 적극적으로 만들어나갈 것이라는 점을 말씀 드리고자 합니다.