이미지 확대보기
트위터(Twitter)의 다이렉트 메시지(DM)는 카카오톡이나 페이스북 메시지처럼 일본의 SNS 서비스로, 1:1 대화가 가능한 기능이다. 그런데 트위터의 DM 메시지가 비록 계정을 삭제하고 몇 년이 경과하고도 내용을 복원할 수 있는 것으로 드러났다. 지난 2017년 가을, 미국 5대 통신사 중 하나인 'T-Mobile' 웹사이트의 보안 취약점을 신고해 유명세를 탄 보안 연구자 카란 샤이니(Karan Saini)가 이번에는 트위터 DM의 보안 취약점에 대해 지적했다.
이처럼 트위터에는 사용자가 어카운트(계정)를 삭제하고 데이터를 지울 권리를 가지고 있다. 다만 삭제 후 30일 이내에 어카운트를 부활시킬 수 있는 것으로 알려져 있다. 이는 실수로 어카운트를 삭제했을 경우를 대비해 '구제 조치'의 일환이라 할 수 있기 때문에, 누구도 이러한 기능에 대해 토를 달지 않는다.
하지만, 이처럼 메시지를 주고받던 양자가 DM 일부분을 삭제하거나 완전히 어카운트를 삭제하더라도 "30일은커녕 몇 년이 경과한 후에도 DM의 내용을 복원할 수 있다"고 샤이니는 지적했다. 그는 트위터 웹사이트를 통해 '아카이브(archive, 압축 기록)화' 된 몇 년 전에 삭제된 어카운트 데이트를 확보하는 데 성공했으며, 그중에는 DM의 내용까지 기록되어 있었다고 밝혔다.
또한 보안이 허술한 API를 이용하여, DM에서 대화를 나누고 있던 양자가 메시지를 삭제한 경우에서도 내용을 취득할 수 있었다고 한다. 이 때문에 그는 "트위터가 꽤 오랫동안 사용자의 데이터를 보유하고 있는 것에 대해 우려를 안고 있다"고 말했다.
이미지 확대보기
실제로 북미 최대 정보기술(IT) 온라인 매체인 테크크런치가 샤이니가 이용한 방법을 시도했는데, 이미 정지된 트위터 어카운트의 데이터를 입수할 수 있었고, 그속에서 2016년 3월에 송수신된 DM의 메시지를 발견할 수 있었다고 밝혔다.
이미 삭제되었던 어카운트의 DM이 여전히 트위터에 의해 기록되어 있는 점에 대해 샤이니는 "보안성 결함이라기보다는 기능적인 버그"라고 지적했다. 그러나 이러한 어카운트 데이터의 복원 방법은 사용자가 트위터에서 '삭제'를 선택해도 실제로는 삭제되지 않는 것으로, "삭제된 어카운트에 대한 '명백한 우회로'를 누구에게나 가질 수 있도록 허락하는 것"이 가장 큰 문제라고 경고했다.
트위터 측에서는 이 문제에 대해 현재 조사 중이라고만 밝혔다.
김길수 기자 gskim@g-enews.com
![[모바일 랭킹] 작혼, '블루 아카이브' 컬래버 후 매출 119위→11...](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=80&h=60&m=1&simg=2024042016003305766c5fa75ef8612254575.jpg)
