법률 전문가와 전직 연방 공무원에 따르면 이번 주 트위터의 전 보안 책임자의 폭발적인 내부 고발자 폭로로 인해 회사가 새로운 연방 조사와 잠재적으로 수십억 달러의 벌금, 더 강력한 규제 의무 또는 미국 정부의 기타 처벌에 노출되었습니다.
Twitter는 Peiter "Mudge" Zatko의 내부 고발자 공개로 인해 엄청난 법적 위험에 직면해 있습니다. 거의 200페이지에 달하는 공개 당국에 회사가 정보 보안 결함으로 가득 차 있으며 경우에 따라 경영진이 명백한 사기가 아닌 경우 회사의 조건에 대해 자체 이사회와 대중을 오도했습니다.
트위터는 2020년 XNUMX월부터 올해 XNUMX월까지 트위터가 말하는 저조한 실적으로 해고될 때까지 회사에서 근무한 자트코가 "트위터와 우리의 개인정보 보호 및 데이터 보안 관행에 대한 잘못된 이야기를 밀어붙였다고 비난했다. 중요한 맥락이 부족합니다.” Zatko는 Google, Stripe 및 국방부에서 고위직을 맡은 경험이 있는 높은 평가를 받는 사이버 보안 전문가입니다. 그의 내부고발자 폭로는 화요일 CNN과 워싱턴포스트가 처음 보도했다.
2011년 FTC 개인정보 보호 합의 준수
Zatko는 미국 정부에 공개하면서 Twitter가 사이버 보안 태세에서 "심각한 결함"을 겪고 있으며 사용자 데이터 처리에 대해 규제 기관을 의도적으로 오도했으며 회사가 아래의 의무를 이행하지 않고 있다고 주장합니다. 2011년 개인정보처리방침 연방 무역 위원회와 함께 — 무엇보다도 사용자의 개인 정보를 보호하기 위한 "합리적인 보호 장치"의 생성을 요구하는 법적 구속력 있는 명령입니다. FTC는 공개에 대해 논평을 거부했다.
Zatko의 끔찍한 공개에 따르면 모든 엔지니어를 포함하여 Twitter 직원의 약 절반이 회사 내에서 실제 사용자 데이터와 함께 "프로덕션"으로 알려진 회사의 라이브 제품에 과도한 내부 액세스 권한이 있다고 주장합니다. 또한 회사가 내부 위협, 외국 정부 및 우발적인 데이터 유출로부터 방어할 능력이 없다고 주장합니다.
"기본 엔지니어링 및 보안 원칙은 라이브 프로덕션 환경에 대한 액세스를 최대한 제한해야 한다는 것입니다." "그러나 Twitter에서 엔지니어들은 Twitter 시스템의 실시간 고객 데이터 및 기타 민감한 정보에 액세스하여 프로덕션에서 직접 새로운 소프트웨어를 구축, 테스트 및 개발했습니다."
트위터는 2011년 동의 명령에 따라 기관에 제출된 제XNUMX자 감사를 인용하여 FTC 준수 기록이 그 자체로 말해준다고 CNN에 말했습니다. 트위터는 관련 개인정보 보호 규정을 준수하며 시스템의 모든 단점을 수정하려는 노력에 대해 규제 기관에 투명하다고 덧붙였습니다. Zatko는 감사 작업에 참여하지 않았으며 Twitter의 FTC 의무나 회사가 이를 이행하는 방법을 완전히 이해하지 못했다고 Twitter는 말했습니다.
공개된 내용은 Zatko의 직원이 FTC 이전에 Twitter의 문제에 대해 "친밀하게 친숙"했으며 Zatko에게 Twitter가 2011년 명령을 준수하지 않았으며 준수될 예정이라고 말한 것도 바로 그들이었다고 주장합니다.
Zatko의 변호사이자 그를 대리하는 조직인 Whistleblower Aid의 설립자인 John Tye는 CNN에 "우리는 Mudge의 폭로 내용을 절대적으로 지지합니다."라고 말했습니다.
Zatko는 내부 고발자 활동의 결과로 미국 정부로부터 금전적 보상을 받을 수 있습니다. SEC는 "성공적인 집행 조치로 이어지는 독창적이고 시기적절하며 신뢰할 수 있는 정보"를 통해 내부 고발자는 벌금이 30만 달러 이상인 경우 해당 조치와 관련된 기관 벌금을 최대 1%까지 감면받을 수 있다고 밝혔다. SEC는 1년부터 270명 이상의 내부 고발자에게 2012억 달러 이상을 지급했습니다.
Zatko는 "기관이 법을 집행하는 것을 돕고" 연방 내부 고발자의 보호를 받기 위해 SEC에 자신의 정보를 공개했다고 Tye가 말했습니다. “포상 가능성은 머지가 결정한 요소가 아니었고, 사실 그는 합법적인 내부 고발자가 되기로 결정했을 때 보상 프로그램에 대해서도 몰랐습니다.”
내부 고발자 공개는 FTC 이후 몇 개월 후에 이루어집니다. 자신의 혐의를 인정했다 트위터는 2011년 명령을 위반하여 광고 목적으로 계정 보안 정보를 오용했습니다. 트위터 150 억 XNUMX 만 달러를 지불하기로 합의 XNUMX월에 두 번째 FTC 합의에서 이러한 청구를 해결합니다.
이제 Zatko의 공개는 Twitter의 FTC 약속에 대한 또 다른 위반 가능성에 대한 가능성을 높입니다. Twitter의 2011년 합의 당시 FTC 의장이었던 Jon Leibowitz에 따르면 회사와 경영진은 매우 위험한 위치에 있어야 합니다.
라이보위츠는 CNN과의 인터뷰에서 "사실이 사실이라면 명령과 FTC법 위반으로 트위터가 세 번이나 패하게 될 것"이라고 말했다. “FTC가 그들에게 책을 던지지 않을 이유가 없을 것입니다.” 물론 Leibowitz는 FTC가 새로운 위반이 발생했는지 여부를 스스로 결정하기 위해 먼저 철저한 조사를 수행해야 한다고 덧붙였습니다.
상원 소비자 보호 소위원회 위원장이자 전 코네티컷 주 법무장관인 Richard Blumenthal 상원의원은 화요일 성명에서 Zatko의 공개는 "트위터의 보안 실패에 대한 책임이 최고위층에 있음을 보여줍니다."라고 말했습니다.
그는 또한 FTC 법이나 트위터의 동의 명령 위반에 대한 책임이 있는 것으로 밝혀지면 관리들은 벌금을 물고 트위터 임원들에게 개인적으로 책임을 물을 것이라고 말했다. Blumenthal은 FTC 자체의 신뢰성이 걸려 있다고 밝혔습니다. 이 서한도 화요일에 FTC에 보냈습니다.
Blumenthal은 "위원회가 명령을 강력하게 감독하고 집행하지 않으면 심각하게 받아들이지 않을 것이며 이러한 위험한 위반은 계속될 것입니다."라고 썼습니다.
“상황이 실제로 의미있게 악화되었습니다”
그 헌장에 따라 FTC는 "불공정하거나 기만적인 사업 행위 및 관행"을 기소할 권한이 있습니다. 인터넷 시대에는 소비자의 디지털 정보를 보호한다고 주장하지만 실제로는 공공의 주장에 부응하지 못하거나 그러한 보호를 잘못 전달하는 회사를 찾는 것이 점점 더 중요해졌습니다.
Twitter의 원래 2011년 합의는 두 가지 의심되는 사건 사용자 개인 정보 및 보안 보호에 대한 Twitter의 공개 성명에도 불구하고 해커가 취약한 직원 암호를 손상시키고 그들의 액세스를 오용하여 Twitter 계정을 탈취하고 개인 정보를 스누핑할 수 있는 곳입니다.
트위터의 합의는 잘못을 인정하는 것이 아니었다. 그러나 그것은 필수 Twitter는 "비공개 소비자 정보의 보안, 개인 정보 보호, 기밀성 및 무결성을 보호하도록 합리적으로 설계된 포괄적인 정보 보안 프로그램"을 만들겠다고 약속했습니다.
올해 최신 FTC 합의의 일환으로 Twitter는 사용자 데이터가 포함된 모든 데이터베이스와 직원에게 Twitter 계정에 대한 액세스 권한을 부여하거나 정보가 있는 시스템에 대한 "접근 정책 및 제어"를 포함하는 더욱 세분화된 사이버 보안 의무를 약속했습니다. 내부 Twitter 시스템에 대한 액세스를 "활성화하거나 촉진"합니다. 이러한 의무는 이번 봄에 판사가 명령에 서명한 후 이미 발효되어 트위터에 대한 잠재적인 법적 노출이 더욱 높아졌습니다.
트위터의 규제 요구 사항이 높아짐에도 불구하고 Zatko는 FTC가 XNUMX여 년 전에 처음으로 불만을 제기한 이후로 회사에서 별로 달라진 것이 없다고 주장합니다.
의회에 그의 공개는 "상황이 실제로 의미 있게 악화됐다"고 주장한다. 공개된 내용은 트위터가 지난해 FTC와 XNUMX차 합의를 적극적으로 협상하고 있었음에도 완전히 별개의 사건으로 동일한 유형의 광고 목적의 데이터 오용이 반복되도록 허용했다고 주장합니다.
공개와 관련하여 CNN에서 50개 이상의 특정 질문에 대한 응답으로 Twitter는 해당 사건을 둘러싼 Zatko의 주장에 대해 언급하지 않았습니다. 회사는 엔지니어링 및 제품 팀이 특정 비즈니스 정당성이 있는 경우 Twitter의 라이브 프로덕션 환경에 액세스할 수 있음을 인정했으며 재무, 법률, 마케팅, 영업, 인사 및 지원과 같은 다른 부서의 구성원은 액세스할 수 없다고 덧붙였습니다. 트위터는 또한 CNN에 직원 컴퓨터가 최신 상태인지 자동으로 확인하며 확인에 실패한 컴퓨터는 프로덕션에 연결할 수 없다고 말했습니다.
새로운 합의 또는 소송 가능성
공개의 이해관계는 매우 중요할 수 있습니다. 트위터가 세 번째로 명령을 위반했다는 FTC의 판단은 회사에 부과된 가장 가혹한 처벌을 초래할 수 있습니다. FTC는 현재 Lina Khan이 의장을 맡고 있습니다. 기술 플랫폼에 대한 음성 회의론자 그리고 그녀는 느슨한 국가 개인 정보 보호 규칙으로 이익을 얻는 "상업 감시"산업이라고 부릅니다. Khan 하에서 FTC는 초안 작성을 고려하고 있습니다. 전면적인 새로운 개인정보 보호 규정 트위터를 포함한 경제 전반의 기업과 기업이 개인 데이터를 수집, 사용 및 공유하는 방식에 직접적인 영향을 미칠 수 있습니다.
FTC가 위반이 발생했다고 결론을 내리면 트위터에 책임을 물을 수 있는 두 가지 주요 옵션이 있다고 전직 기관 관계자는 말했습니다. 회사와 XNUMX차 합의를 모색하거나 기존 동의 명령에 대해 트위터를 고소하고 법원에 적절한 처벌을 요청할 수 있습니다.
합의의 경우 FTC는 개별 임원의 이름을 지정하려고 할 수도 있습니다. 즉, 개인적으로 책임을 지도록 하고 자신이나 회사가 명령을 다시 위반할 경우 책임을 질 수 있는 자신의 행동에 대한 의무를 수락하도록 강요할 수 있습니다.
레이보위츠는 트위터가 법적 의무를 위반한 것으로 판명되면 FTC는 "책임 있는 경영진을 질서 아래에 두는 것을 매우 심각하게 고려해야 한다"고 말했다.
그는 개별 임원을 지명하는 단순한 위협이 효과적일 수 있다고 덧붙였다. FTC 의장으로 재직하는 동안 Leibowitz는 이렇게 회상했습니다. 나는 단지 이름을 짓고 싶지 않을 뿐입니다. 더 많은 돈을 지불해도 상관없습니다. 우리 회사가 더 강력한 명령을 받더라도 상관없어요. 그러나 나는 단지 이름을 짓고 싶지 않을 뿐입니다.'”
FTC의 가장 큰 개인 정보 보호 사건을 담당한 전직 FTC 집행 변호사 메간 그레이는 FTC가 처리할 수 있는 도구가 많다고 말했습니다. (CNN은 Zatko의 주장이 공개되기 전에 그들의 존재를 공개하지 않고 Gray와 이야기했으며 CNN과 The Washington Post가 Zatko의 폭로를 보도한 후 화요일에 다시 말했습니다.)
그레이는 옵션 목록을 표시하며 "벌금 증가, 더 많은 규정 준수 보고서, 비즈니스 라인에 대한 더 세분화된 제어 및 제한"이라고 말했습니다. "또는 광고 대행사의 사전 승인을 받거나 특정 유형의 거래에서 광고를 제외하도록 요구합니다."
회사에 책임을 묻기 위해 더 많은 도구가 필요한 기관
Twitter는 FTC 약속을 지켰다는 증거로 제XNUMX자 감사를 인용했습니다. 그러나 일반적으로 FTC의 감사 요구 사항이 실제로 작동하는 방식으로 인해 회사는 너무 쉽게 문제에서 벗어날 수 있다고 Gray는 말했습니다.
예를 들어, 많은 FTC 명령은 회사가 무엇보다도 준수한다는 "증명"을 기반으로 의무를 이행할 수 있도록 충분히 광범위하게 작성된다고 Gray는 CNN에 말했습니다. FTC에 대한 보고서에서 제XNUMX자 감사를 수행하는 회사는 회사가 규정을 준수하고 있다고 단순히 말하거나 감사 대상 회사의 진술을 인용할 수 있습니다.
2011년부터 2022년까지 Twitter의 FTC 동의 명령에 따라 증명을 기반으로 한 감사 보고서가 허용되었습니다. 그런 다음 올해 두 번째 합의에서 FTC는 감사 요구 사항을 보다 구체적으로 설정하여 Twitter의 제XNUMX자 감사인이 Twitter 경영진의 증명에 "주로" 의존하는 것을 금지했습니다.
이러한 유형의 제한에도 불구하고 FTC 감사 보고서에 회의적인 이유가 있다고 Gray는 말했습니다. 그녀는 제XNUMX자 감사인이 FTC가 아니라 감사 대상 기업에서 보수를 받기 때문이라고 말했습니다.
"그래서 감사 회사에 대한 인센티브는 완전히 쓸모가 없습니다."라고 Gray는 덧붙였습니다.
트위터는 CNN에 감사는 트위터가 FTC 의무를 이행해야 하는 개인정보 보호 및 보안 프로그램 중 하나일 뿐이라고 말했다.
미국의 국회의원과 소비자 옹호자들뿐만 아니라 많은 전·현직 FTC 관리들은 특히 작년 대법원 이후에 기업들에게 책임을 물을 수 있는 더 많은 도구를 FTC에 제공하도록 밀어붙였습니다. 쳐 어떤 상황에서 금전적 구제를 추구할 수 있는 기관의 능력.
감독 강화를 주장하는 일부 을 요구했고, 예를 들어, FTC 법을 처음으로 위반한 회사에 FTC가 벌금을 부과하도록 합니다. 현재 FTC는 일반적으로 회사에 민사 처벌만 부과할 수 있습니다. 사전 합의를 위반한 후.
또 다른 전직 공정위 관계자는 트위터의 경우 더 솔직하게 이야기하기 위해 익명을 요구하며 세 번째 동의명령을 협상하는 모습이 이상하게 보일 수 있다고 말했다. 그러나 위반 사항을 발견한 경우와 여느 경우와 마찬가지로 FTC는 화해를 통해 트위터에서 얻을 수 있는 것과 에이전시가 재판에서 이길 수 있는 것의 무게를 비교해야 합니다.
법원이 실제로 FTC에게 더 적은 금액을 수여할 수 있는 길고 긴 소송의 위험이 있다고 전 관리는 말했습니다.
전직 관리는 “어떤 사람들은 이 명령이 아무 것도 아니라고 생각하지만 그렇지 않습니다. 어떤 경우에는 그럴 수도 있고 회사는 이를 심각하게 받아들이지 않습니다. 그러나 많은 경우에 그들은 그렇게 하고 FTC는 많은 고통을 요구할 수 있습니다. 많은 고통."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., Warner Bros. Discovery Company. 판권 소유.
