TechCrunch가 전한 소식이다.
틱톡(TikTok)의 CEO 수 지 츄(Shou Zi Chew)는 목요일 미국 정부 청문회에서 급성장하는 소셜 미디어 플랫폼과 중국 모기업인 바이트댄스(ByteDance)와의 관계에 대한 질문을 받았다.
츄는 미리 작성된 서두에서 인터넷 감시단체인 시티즌랩(Citizen Lab)의 보고서를 인용하며 “틱톡이 중국 정부에 노골적으로 데이터를 전송한 적이 없으며, 틱톡은 중국 내 서버와 접촉한 적이 없다”고 말했다.
시티즌랩의 론 데이버트(Ron Deibert) 소장에 따르면, 이는 보고서의 내용을 잘못 전달한 것이라고 언급했다.
청문회 전에 츄의 증언이 발표되자 데이버트는 트위터에 성명을 발표하여 이 연구가 잘못 해석된 것에 대해 실망감을 표명했다.
2001년 토론토 대학에서 시티즌랩을 설립한 데이버트 교수에 따르면, 2021년 연구진은 사용자 데이터가 수집되어 틱톡의 서버로 전송된 후 어떤 일이 벌어지는지 전혀 알 수 없다는 것을 발견했다고 한다.
데이버트는 성명서에서 “그런 일이 일어났는지 여부를 판단할 방법이 없었다. 하지만 중국 정부가 바이트댄스에 대한 압력을 진행한다고 했을 때, 틱톡의 사용자 데이터를 얻기 위한 기술 메커니즘이 사용되었을 것이라고 추측하기도 했다”고 밝혔다.
또한 틱톡에 원래 중국판 틱톡인 더우인(Douyin)을 위해 작성된 휴면 코드가 있는 것이 아니냐는 우려도 제기됐다.
시티즌랩 보고서에는 “틱톡의 서버에서 반환되는 설정값이 더우인을 위해 만들어진 휴면 코드를 활성화하여 중국 고유의 기능을 활성시킬 수 있다는 점을 우려하고 있다”고 설명한다.
빌 존슨(Bill Johnson) 의원은 츄 장관에 대한 질의에서 시티즌랩의 보고서를 언급하며, 틱톡 보고서의 입장과 보고서 실제 내용과의 차이를 지적했다.
조사 결과에 따르면 틱톡과 더우인은 모두 서버에서 반환된 검색 응답의 특수한 하위 집합을 처리할 수 있는 코드를 포함하고 있다. 예를 들어, 틱톡의 경우 사용자가 ‘자살’과 같은 단어를 검색하면 검색 페이지가 동영상을 표시하는 대신 자살 예방 리소스 허브로 사용자를 안내할 수 있다.
더우인의 코드에도 동일한 모듈이 있지만 중국 정부의 언론 규제가 미국 정부보다 훨씬 크기 때문에 더 제한적이다.
시티즌랩의 보고서에 따르면 “틱톡과 더우인의 검색 검열 모듈은 사전에 정의하여 제한 설정을 진행했지만 더우인은 서버에서 다른 값을 반환함으로써 틱톡과 다른 제한을 적용했다”고 밝혔다.
존슨 의원은 이러한 코드의 유사성에 대해 우려를 표명했고, 이에 츄는 “더우인의 특정 검열 매개변수는 틱톡에도 존재하지만 단지 꺼져 있을 뿐”이라고 말했다.
존슨은 츄가 엔지니어에게 이 코드를 변경하도록 지시했는지 반복적으로 물었고, 츄는 타사 전문가가 틱톡 코드에 접근 권한을 가지고 있다고 언급하며 질문을 피했다.
시티즌랩의 소장은 성명서에서 틱톡에 대한 많은 우려는 이 플랫폼에만 국한된 것이 아니라 다른 미국 기업에도 공통된 문제라고 지적했다.
또한 “틱톡의 잠재적 프라이버시 및 국가 안보 우려에 대한 논의는 대부분의 소셜 미디어 앱이 용납할 수 없을 정도로 침습적으로 설계되었다는 것을 상기시켜 준다”고 말했다.
기사원문 : TechCrunch (2023.03.24) <TikTok called out for misusing Citizen Lab research>
TikTok CEO Shou Zi Chew was questioned in a U.S. government hearing on Thursday over the relationship between the fast-growing social media platform and its Chinese parent company, ByteDance.
In Chew’s pre-written opening statement, the chief executive cited a report from internet watchdog Citizen Lab, saying that “there was no overt data transmission by TikTok to the Chinese government and that TikTok did not contact any servers within China.”
According to Citizen Lab director Ron Deibert, this is a misrepresentation of what the report found.
When Chew’s testimony was published before the hearing, Deibert took to Twitter with a statement, expressing his disappointment with how this research was misconstrued.
According to Deibert, who founded Citizen Lab at the University of Toronto in 2001, researchers found in the 2021 study that they had no insight into what happened with user data once it’s collected and sent back to TikTok’s servers.
Deibert said in his statement, “Although we had no way to determine whether or not it had happened, we even speculated about possible mechanisms through which the Chinese government might use unconventional techniques to obtain TikTok user data via pressure on ByteDance.”
The report also surfaced concerns that TikTok has some dormant code originally written for Douyin, the Chinese version of TikTok.
“We are concerned with the possibility where TikTok’s server-returned configuration values could enable those dormant code written for Douyin, which might lead to China-specific features being enabled,” the report reads.
Congressman Bill Johnson (R-OH) referenced the Citizen Lab report while questioning Chew, pointing out the discrepancies between TikTok’s positioning of the report and what the report actually says.
Per the research, TikTok and Douyin both contain code that can handle a special subset of server-returned search responses. In TikTok’s case, this might apply when a user searches for terms like “suicide,” for example — instead of surfacing videos, the search page will direct the user to a hub of suicide prevention resources.
Douyin has the same module in its code, but it’s more restrictive, since the Chinese government has far greater regulation over speech than the U.S. government.
Citizen Lab’s report says, “Even though the search censorship modules in TikTok and Douyin predefined the same set of restrictions that can be applied, Douyin applied these restrictions differently from TikTok by returning different values from the server.”
Rep. Johnson voiced concern over the similarity of this code.
“Specific censorship parameters from Douyin are present in TikTok, but just turned off,” the congressman said.
Johnson repeatedly asked Chew to say whether or not he had directed engineers to change this code. Chew dodged the question by pointing out that third-party experts have access to monitor TikTok’s code; Johnson admonished him for not answering what he posed as a yes or no question.
This was a constant throughout the hearing, in which congresspeople would ask Chew complicated questions, then demand a one-word response.
In his statement, Citizen Lab’s director pointed out that many of his concerns about TikTok are not unique to that single platform; they mirror those of other U.S.-owned companies.
“The conversation about potential privacy and national security concerns with TikTok should serve as a reminder that most social media apps are unacceptably invasive-by-design,” Deibert wrote.
