|
뉴욕타임스(NYT)는 틱톡 내부자료를 입수, 2019년부터 지난해까지 틱톡 직원들이 내부 메신저 라크(Lark)에서 이용자의 사진과 주소지, 생년월일 등 개인정보가 포함된 여권과 신분증, 운전면허증 이미지를 공유했다고 24일(현지시간) 보도했다. 이 이미지는 이용자가 본인 확인을 위해 틱톡에 업로드한 것이었지만 1100명 이상이 참여한 라크 대화방에 공유됐다. 라크에 공유된 게시물 중에 아동 성 학대 관련 자료도 있었다.
이처럼 민감한 자료가 오가는 메신저지만 보안은 허술했다. 지난해까진 라크에 게시된 이용자 데이터를 어떻게 처리할 것인지 규정조차 없었다. 또한 틱톡은 물론 틱톡의 모회사 바이트댄스에서도 라크에 올라온 틱톡 이용자 데이터에 접근할 수 있었다. 틱톡이 이용자 정보를 중국 정부에 제공할 수 있다는 우려가 나오는 가운데 틱톡의 선임 보안 엔지니어조차 이용자 데이터가 오용될 수 있다며 “라크 데이터를 중국 밖으로 옮기고 라크를 싱가포르에서 운영해야 한다”고 회사에 건의했다. 지난해 틱톡은 뒤늦게 라크의 대화방을 대거 폐쇄했다.
알렉스 호렉 틱톡 대변인은 NYT가 입수한 내부자료가 ‘프로젝트 텍사스’라고 불리는 틱톡의 보안 강화 조치 이전의 것이라고 해명했다. 틱톡은 프로젝트 텍사스를 통해 자사를 향한 의심을 불식하기 위해 미국 이용자 데이터를 미국 회사인 오라클에 저장하기로 했다. 다만 프로젝트 텍사스가 언제 완료될지는 아직 불투명하다.
틱톡의 해명에도 불구하고 허술한 보안이 확인되면서 틱톡을 향한 공세는 더욱 거세질 것으로 보인다. 최근 미국 등에선 틱톡이 개인정보와 국가안보에 위협이 될 수 있다며 아예 시장에서 퇴출하려는 움직임이 일고 있다. 이미 몬태나주에서 주내에서 틱톡을 다운로드하거나 사용할 수 없도록 하는 법안을 제정, 내년부터 시행할 예정이다. 틱톡은 이 같은 법안이 헌법상 ‘표현의 자유’를 침해했다며 소송을 제기한 상태다.