야후가 미 정보당국의 요청으로 수억 명의 고객 이메일을 감시했고, 또 비밀리에 고객 이메일을 검색할 수 있는 소프트웨어 프로그램을 만들었다는 보도가 나온 이후 인터넷 세계는 충격에 빠졌다.
야후 측은 5일 “기사가 잘못됐다. 우리는 고객의 정보 유출을 최소화하기 위해 정부의 자료 요청을 매건 마다 매우 협소하게 해석한다”고 해명했다. 또 로이터 기사에 나온 ‘메일 스캐닝 시스템’은 존재하지 않는다“고 강조했다.
그러나 야후의 해명은 설득력을 얻지 못하고 있다. 지난 2014년 에드워드 스노든의 ‘위험한 폭로’에도 야후는 IT 기업들 가운데 정보당국에 가장 협조적인 기업으로 그려져 있다.
앰네스티 인터내셔널의 셰리프 엘샤에드 알리 기술ㆍ인권 국장은 ”만일 사실이라면, 이는 인터넷의 신뢰를 크게 훼손하는 것이 될 것“이라며 ”정부의 포괄적 지시에 따라 모든 고객의 수신 이메일을 은밀하게 검색한 것은 프라이버시를 파괴하고 표현의 자유를 심각하게 위협한 것“이라고 말했다.
그는 이어 ”IT 회사들은 정부의 부당한 요구에 맞서 고객의 정보를 지키고 있는 자신들을 믿으라고 하지만, 이번 보도는 그들이 그럴 능력이 있는지에 대해 의문을 던지고 있다“고 덧붙였다.
그러나 로이터 보도는 다소 모호한 부분도 있다고 포브스는 지적했다. 기사에 나온 ‘스캐닝’(scanning)과 ‘서칭(searching)은 매우 다양한 방식으로 해석될 소지가 있는 단어라는 것이다.
포브스는 ”미 당국이 야후 네트워크를 이용한 사이버 범죄나 디지털 스파이 행위의 단서를 찾아볼 수는 있다. 또 이메일 제공자들은 악성 소프트웨어와 다른 보안 위협에 대비해 매일 메시지를 스캔한다. 누구도 메시지를 읽는 사람은 없다. 단지 자동화된 시스템이 범죄 코드와 행위의 단서가 될 신호를 찾을 뿐“이라고 말했다.
지난 2008년 해외정보감시법원(FISC) 개정 이후 야후 같은 미국 인터넷 기업들에 대해 미국 정보기관이 테러 공격 방지 등을 위해 고객 데이터 제공을 요청할 수 있게 된 것도 야후에는 변명의 구실이 될 수 있다.
또 야후는 자사의 사생활보호 정책에서 ”야후는 모든 통신 콘텐츠를 분석하고 저장한다. 여기에는 이메일도 포함된다“고 밝히고 있다. 이처럼 스캐닝과 서칭의 용어가 혼동을 일으킬 수 있고, 야후 전직 직원들의 증언 역시 머리사 메이어 최고경영자(CEO)와의 불화 등을 고려할 때 일방적일 수 있다는 것이다.
공교롭게도 야후가 지난 2014년 5억 명의 고객 정보가 특정 국가가 지원하는 해커에 의해 유출됐다고 지난달 밝힌 뒤 이 보도가 나왔고, 미국 최대 이동통신업체인 버라이즌과의 인수합병 계약이 위기에 처한 점도 야후에 유리한 것은 아니다.
포브스는 ”의심할 것 없이 야후는 해킹 범죄에 의해 희생됐으며, 또 많은 다른 곳들과 마찬가지로 정부의 압박에 굴복해야 했다“면서 ”그러나 가장 위험한 것은 야후 스스로 실수를 되풀이함으로써 그런 희생양이 됐다는 것“이라고 말했다.
즉, 취약한 메시지 스캔 정책을 시행하면서 보안의 허점을 메울 보안팀의 지원요구를 묵살한 것은 야후가 하지 말았어야 할 실수라는 것이다.
연합뉴스
야후 측은 5일 “기사가 잘못됐다. 우리는 고객의 정보 유출을 최소화하기 위해 정부의 자료 요청을 매건 마다 매우 협소하게 해석한다”고 해명했다. 또 로이터 기사에 나온 ‘메일 스캐닝 시스템’은 존재하지 않는다“고 강조했다.
그러나 야후의 해명은 설득력을 얻지 못하고 있다. 지난 2014년 에드워드 스노든의 ‘위험한 폭로’에도 야후는 IT 기업들 가운데 정보당국에 가장 협조적인 기업으로 그려져 있다.
앰네스티 인터내셔널의 셰리프 엘샤에드 알리 기술ㆍ인권 국장은 ”만일 사실이라면, 이는 인터넷의 신뢰를 크게 훼손하는 것이 될 것“이라며 ”정부의 포괄적 지시에 따라 모든 고객의 수신 이메일을 은밀하게 검색한 것은 프라이버시를 파괴하고 표현의 자유를 심각하게 위협한 것“이라고 말했다.
그는 이어 ”IT 회사들은 정부의 부당한 요구에 맞서 고객의 정보를 지키고 있는 자신들을 믿으라고 하지만, 이번 보도는 그들이 그럴 능력이 있는지에 대해 의문을 던지고 있다“고 덧붙였다.
그러나 로이터 보도는 다소 모호한 부분도 있다고 포브스는 지적했다. 기사에 나온 ‘스캐닝’(scanning)과 ‘서칭(searching)은 매우 다양한 방식으로 해석될 소지가 있는 단어라는 것이다.
포브스는 ”미 당국이 야후 네트워크를 이용한 사이버 범죄나 디지털 스파이 행위의 단서를 찾아볼 수는 있다. 또 이메일 제공자들은 악성 소프트웨어와 다른 보안 위협에 대비해 매일 메시지를 스캔한다. 누구도 메시지를 읽는 사람은 없다. 단지 자동화된 시스템이 범죄 코드와 행위의 단서가 될 신호를 찾을 뿐“이라고 말했다.
지난 2008년 해외정보감시법원(FISC) 개정 이후 야후 같은 미국 인터넷 기업들에 대해 미국 정보기관이 테러 공격 방지 등을 위해 고객 데이터 제공을 요청할 수 있게 된 것도 야후에는 변명의 구실이 될 수 있다.
또 야후는 자사의 사생활보호 정책에서 ”야후는 모든 통신 콘텐츠를 분석하고 저장한다. 여기에는 이메일도 포함된다“고 밝히고 있다. 이처럼 스캐닝과 서칭의 용어가 혼동을 일으킬 수 있고, 야후 전직 직원들의 증언 역시 머리사 메이어 최고경영자(CEO)와의 불화 등을 고려할 때 일방적일 수 있다는 것이다.
공교롭게도 야후가 지난 2014년 5억 명의 고객 정보가 특정 국가가 지원하는 해커에 의해 유출됐다고 지난달 밝힌 뒤 이 보도가 나왔고, 미국 최대 이동통신업체인 버라이즌과의 인수합병 계약이 위기에 처한 점도 야후에 유리한 것은 아니다.
포브스는 ”의심할 것 없이 야후는 해킹 범죄에 의해 희생됐으며, 또 많은 다른 곳들과 마찬가지로 정부의 압박에 굴복해야 했다“면서 ”그러나 가장 위험한 것은 야후 스스로 실수를 되풀이함으로써 그런 희생양이 됐다는 것“이라고 말했다.
즉, 취약한 메시지 스캔 정책을 시행하면서 보안의 허점을 메울 보안팀의 지원요구를 묵살한 것은 야후가 하지 말았어야 할 실수라는 것이다.
연합뉴스
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
