주요 콘텐츠로 건너뛰기

리소스

인텔리전스 다이제스트

히코리 디코리 도크: 전 세계적으로 문제가 되고 있는 개인정보 보호 문제

데이터가 다른 박자에 맞춰 춤을 추고 있나요?

2023년 4월 24일

로드먼 라메자니안 - 글로벌 클라우드 위협 책임자

코로나바이러스 팬데믹 기간 동안 짧은 동영상 클립을 통해 웃음을 자아내기 위한 수단으로 시작한 TikTok은 짧은 형식의 동영상으로 시선을 사로잡으며 가장 인기 있는 소셜 미디어 앱 중 하나로 자리 잡았습니다. 그러나 입소문을 타고 있는 다른 외국계 앱과 마찬가지로, 중국계 TikTok도 데이터 수집 및 개인정보 보호 관행에 대한 조사를 계속 받고 있습니다. 하지만 이번에는 미국에서만 경종을 울리는 것이 아닙니다.

호주는 '주권과 무결성'에 대한 위협을 이유로 인도, 영국, 미국, 캐나다, 유럽 전역의 여러 국가를 포함한 몇몇 글로벌 정부에 합류하여 모든 공무원의 휴대폰에서 TikTok 앱을 삭제할 것을 촉구하고 있습니다. 각국 정부가 TikTok의 위험을 더욱 심각하게 받아들이기 시작했지만, 월간 활성 사용자가 10억 명이 넘는 기업 및 비정부기구도 같은 조치를 취하고 있을까요?

인터넷 보안 센터에 따르면 "틱톡이 사용자로부터 수집하는 데이터에는 민감한 정보가 포함되어 있으며, 사용자 모르게 수집되는 경우가 많습니다." 이러한 데이터에는 "디바이스 브랜드 및 모델, 운영 체제(OS) 버전, 이동 통신사, 검색 기록, 앱 및 파일 이름과 유형, 키 입력 패턴 또는 리듬, 무선 연결, 지리적 위치" 등이 포함되지만 이에 국한되지 않습니다. TikTok은 나이, 이미지, 개인 연락처 및 통합 싱글 사인온(SSO) 기능을 통해 수집한 기타 데이터와 같은 기타 개인 식별 정보(PII)를 수집하는 데까지 나아갑니다.

이 앱이 "[메시지]의 내용 및 [메시지] 전송, 수신 및/또는 읽기에 대한 정보"를 수집할 수 있고, 특히 최근 TikTok CEO의 의회 청문회에서 전반적인 논의에 더 많은 내용이 추가된 것을 고려하면 전 세계의 대기업과 기업들이 TikTok을 점점 더 경계하고 수집하는 개인 및 기업 데이터 보호에 대한 우려를 표명하는 이유를 쉽게 알 수 있습니다.

이러한 침해가 발생하는 이유는 무엇인가요?

소셜 미디어는 피싱과 사기에 대한 취약성 등 다양한 보안 위험을 항상 안고 있지만, 정부, 기업 및 기타 대규모 조직에서 가장 우려하는 부분은 TikTok이 설치되고 소비되는 디바이스의 개인과 기업 사용의 경계가 모호해진다는 점입니다.

또한, 외부 및 내부 당사자 모두에 의한 데이터 오용 가능성도 심각한 문제입니다. 이는 공유 인증 토큰, 싱글 사인온 통합, 데이터 이동성 등 온라인 플랫폼과 서비스가 서로 얽혀 있기 때문입니다. 특히 웹 및 클라우드 서비스의 광범위한 사용을 고려할 때 잠재적인 데이터 도난 및 오용의 파급 효과는 심각할 수 있습니다.

문제는 얼마나 많은 조직이 틱톡 금지 조치를 지지할 만큼 보안 위협에 관심을 갖고 있는지, 그리고 얼마나 많은 조직이 위험을 전혀 인식하지 못하고 있는지에 대한 것입니다.

모든 웹, 클라우드 또는 모바일 위협과 마찬가지로 보안팀은 주요 위험 요소를 파악하고 이해하는 것이 중요합니다. TikTok은 데이터를 어떻게 처리하나요? 사용자와 디바이스를 안전하게 식별하고 인증하는 방법은 무엇인가요? 어떤 종류의 트래픽과 콘텐츠가 공유되고 소비될 수 있나요? 서비스의 존재 지점은 어디에 있으며, 이는 조직의 위험 성향에 어떤 의미가 있나요?

오늘날에는 사용자, 디바이스, 위치, 비즈니스 요구 사항 등이 방대하기 때문에 특정 서비스에 대한 액세스를 하룻밤 사이에 명시적으로 차단하는 강력한 접근 방식을 취하기 어려울 때가 있습니다. 조직에서 갑작스럽게 서비스를 한꺼번에 차단하고 싶지 않은 경우 사용자를 교육하고 보안 가드레일을 도입해야 할 필요가 있습니다.

Skyhigh Security 는 사용자가 플랫폼과 서비스인 TikTok을 둘러싼 격동의 바다를 탐색할 때 보안 분석가가 고려해야 할 수많은 위험 속성을 자세히 설명하여 이 문제를 해결합니다. 여기에는 데이터 자체, 사용자/디바이스, 서비스, 조직의 비즈니스 관행, 법적 문제, 사이버 보안과 관련된 위험 속성이 포함됩니다.

여기에서 보안팀은 로그인, 업로드, 다운로드 제한/차단, 데이터 대역폭 스로틀링, 맞춤형 사용자 교육 웹 페이지 도입, 기타 조치 등 데이터 보안 제어를 도입하여 디바이스에서 TikTok 플랫폼으로의 데이터 유출을 억제할 뿐만 아니라 데이터를 잘못 처리할 수 있는 다른 의심스러운 온라인 서비스를 이용하는 사용자의 디바이스로 민감한 데이터가 유입되는 것을 보다 총체적으로 제어할 수 있게 됩니다.

무엇을 할 수 있나요?

Skyhigh Security?

  • Skyhigh 클라우드 레지스트리를 사용하여 독점적이고 표준화된 위험 알고리즘을 활용하세요.
  • 활동 제어 규칙을 활용하여 관리되는 디바이스에서 로그인, 업로드, 다운로드 등 허용되는 사용자 활동에 대한 기준을 정의할 수 있습니다.
  • 이미 틱톡이 금지된 위치에서 섀도/웹 정책을 구현하고 다른 위치에서는 액세스를 제한하고 제어하기 시작하세요.
  • 다양한 위험 속성 범주에 걸쳐 조직의 글로벌 위험 가중치를 조정하세요.
  • 데이터 처리 관행, 글로벌 거점, 최근 침해 등 특정 특성에 따라 서비스 그룹을 만들고 할당하세요.
로드먼 라메자니안

저자 소개

로드먼 라메자니안

글로벌 클라우드 위협 리드

11년 이상의 광범위한 사이버 보안 업계 경력을 보유한 Rodman Ramezanian은 엔터프라이즈 클라우드 보안 고문으로 Skyhigh Security 에서 기술 자문, 지원, 솔루션 설계 및 아키텍처를 담당하고 있습니다. 이 역할에서 Rodman은 주로 호주 연방 정부, 국방 및 기업 조직에 중점을 두고 있습니다.

로드먼은 적대적 위협 인텔리전스, 사이버 범죄, 데이터 보호 및 클라우드 보안 분야를 전문으로 합니다. 그는 호주 신호 감독국(ASD)에서 승인한 IRAP 평가자이며 현재 CISSP, CCSP, CISA, CDPSE, Microsoft Azure 및 MITRE ATT&CK CTI 자격증을 보유하고 있습니다.

로드먼은 복잡한 문제를 간단한 용어로 표현하여 일반인 및 신규 보안 전문가가 사이버 보안의 대상, 이유, 방법을 이해할 수 있도록 돕는 데 강한 열정을 가지고 있습니다.

공격 하이라이트

  • 소셜 미디어 앱은 오늘날 개인용과 기업용으로 모두 사용되는 디바이스와 데이터에 깊숙이 자리 잡고 있습니다.
  • 모든 앱과 마찬가지로 TikTok은 잠재적으로 사용자의 휴대폰 전체에 대한 액세스를 허용할 수 있습니다. 휴대폰 애플리케이션은 해당 앱이 기기의 다른 항목, 즉 보유한 데이터에 대한 액세스를 연결할 수 있는 신뢰할 수 있는 잠재력을 제공할 수 있습니다.
  • 또한 TikTok은 다른 로그인 소스 또는 사용자 프로필에 연결된 로그인 소스로부터 정보를 액세스하고 수집할 수 있습니다. 여기에는 개인 및/또는 기업 Google, Facebook, Twitter 또는 TikTok에 사용자를 인증하는 데 사용되는 기타 서비스가 포함될 수 있습니다.
  • BYOD(Bring Your Own Device) 관행이 지속적으로 확산되면서 개인용과 기업용의 가상 경계가 모호해지고 있습니다. 우려스러운 애플리케이션과 방대한 양의 기업 데이터 포인트가 계속해서 공존하고 있으며, 이는 자칫 잘못하면 악용될 수 있습니다.
  • 이제 전 세계 각국 정부가 공무원용 디바이스에서 TikTok을 금지하는 조치를 취함에 따라, 기업과 기타 조직에서도 플랫폼 및 서비스로서 TikTok을 사용하는 방식을 재고하도록 권장하고 있습니다.