텔레그램이라면 안심해도 되겠지?

- Advertisement -

둘 만의 은밀한 대화라도 메신저로 주고받았다면 안심하지 마세요. 메신저가 수집한 정보가 안전하게 관리될 것이라고 기대도 버리는 것이 마음 건강에 이롭습니다.

2014년 카카오톡 감청 논란이 벌어졌습니다. 당시 카카오톡을 서비스하던 다음 카카오는 처음에는 부인했지만 뒤늦게 정부에 카카오톡 대화를 제공했다고 시인했죠.

올해초 페이스북은 20억 명의 사용자를 보유한 초대형 메신저 왓츠앱이 수집한 정보를 페이스북과 공유한다는 내용의 프라이버시 정책을 공개했습니다. 왓츠앱 이용자 상당수는 이러한 조치에 불쾌감을 느꼈습니다.

(출처:Kakao)

카카오톡 감청과 왓츠앱 프라이버시 정책 변경 이슈가 터진 이후에는 어김없이 서비스를 이탈 움직임이 관측됐습니다. 메신저 사용에 불안함을 느낀 이용자들이 기존 서비스를 버리고 새로운 것을 찾아 나서는 일명 ‘사이버 망명’이었습니다.

선택은 텔레그램이었습니다. 텔레그램은 사용자 개인정보 보호에 강한 면모를 드러내면서 기존 메신저 사용에 아쉬움을 느꼈던 사람들을 끌어왔습니다. 카톡 감청 사건 때도 국내 이용자 300만 명 정도가 텔레그램으로 이동했다고 알려집니다.

텔레그램은 어느덧 안전한 메신저의 대명사가 됐습니다. 2013년에 출시되고 8년 만에 글로벌 이용자 수억 명을 자랑하는 거대한 서비스로 성장했습니다.

텔레그램에도 빈틈은 있다

텔레그램이 완벽한 메신저는 아닙니다. 최근 들어 텔레그램이 안전하다는 인식이 알려진 것보다 과장됐다는 의문들이 제기됩니다. 살펴볼 만한 지점들이 있습니다.

(출처:FT)

텔레그램에는 ‘종단간 암호화(End to End Encryption, E2EE)’를 사용한다고 알려졌습니다. 종단간 암호화란 쉽게 말해 메시지를 보내는 순간부터 받는 순간까지 암호를 걸어놔 누구도 중간에서 메시지를 확인할 수 없도록 만든 기술입니다. 메시지를 보낸 사람과 받는 사람, 그러니까 끝에서 끝에 있는 사람만이 메시지를 보게 하는 기술입니다. 암호를 풀 수 있는 암호키는 메시지를 받은 상대방에게 있습니다. 서버를 거쳐 상대방에 전달되는 과정에서 메시지가 탈취됐다고 하더라도 암호키를 모르면 내용을 파악할 수 없습니다.

종이 편지를 보낸다고 가정하면 우편을 보낸 순간부터 편지 내용은 인간이 이해할 수 없는 문장으로 바뀌고 상대방에게 전달된 뒤에 원래 내용으로 돌아온다고 보면 됩니다. 중간에 누군가 편지 내용을 훔쳐보더라도 내용을 파악하기는 불가능합니다.

들어보면 괜찮은 기술입니다. 우리가 사용하는 카카오톡이나 라인에도 종단간 암호화 기능을 적용하고 있습니다. 글로벌 메신저 이용자 순위 1·2위를 다투는 왓츠앱과 페이스북 메신저에도 종단간 암호화가 적용된다고 밝혔습니다.

연이어 보안 사고가 벌어졌던 글로벌 화상회의 서비스 줌도 종단간 암호화 구축에 나선다고 합니다. 지난해 보안기업 키베이스를 인수하면서 도입에 박차를 가하고 있습니다. 보안 문제로 논란이 되고 있는 만큼 암호화 구축이 현재의 줌에겐 당면한 최우선 과제인 셈입니다.

물론 종단간 암호화를 적용해도 모든 보안 위협으로부터 안전하다고 볼 수는 없습니다. 그래도 안 하는 것보다는 하는 것이 훨씬 더 났겠죠. 현재 가장 효율적인 암호화 기술로 사용되고 있습니다.

다시 돌아와서, 텔레그램도 종단간 암호를 사용합니다. 단, 비밀채팅에서만 적용됩니다. 그룹채팅에는 종단간 암호화가 적용되지 않습니다. 텔레그램은 기본적으로 메시지를 암호화한 상태로 전달하지만 이는 개별 장치에서 텔레그램 서버로 이동하는 동안에만 효력이 있습니다. 서버에 도착하면 메시지가 해독된 상태로 저장됩니다. 서버가 해커의 공격으로 무장해제된다면 메시지 유출을 피할 수 없습니다.

(출처:Telegram)

텔레그램은 암호화 프로토콜로 ‘MTProto’를 사용합니다. 텔레그램이 자체적으로 개발한 프로토콜로 강력한 보안을 자랑합니다. MTProto 해킹에 성공하면 20만 달러를 주겠다며 나름 자신감을 내비치기도 했습니다. 텔레그램을 창업한 파벨·니콜라이 두로프 형제가 MTProto 프로토콜을 테스트하기 위해 메신저를 만들었다고 하는 일화는 유명합니다.

문제는 텔레그램에서만 사용한다는 점에 있습니다. 널리 사용되는 프로토콜이 아니다 보니 상대적으로 취약점에 대한 충분한 피드백을 받기 매우 어렵습니다. 실제 다양한 보안 취약점들이 발견됐습니다.

스위스취리히연방공과대학과 로열홀러웨이 런던대학교의 공동 연구를 통해 텔레그램 암호화 기술은 조사해본 결과 치명적인 4개 취약점을 발견했습니다. 다행인 것은 연구원들이 해당 취약점을 텔레그램과 공유했고 현재는 패치가 완료된 상태입니다. 하지만 연구 결과는 MTProto가 널리 사용되는 암호화 프로토콜인 TLS의 보안 수준에는 미치지 못한다는 결론 내립니다. 곱씹어볼 필요가 있는 결과입니다.

텔레그램의 개인 정보 보호 정책에는 여러 예외 조항들도 포함돼있습니다. 특정 상황에 맞아떨어지면 사용자의 데이터를 공개하고 있는 것이죠. 예를 들어 테러 용의자 확인을 위해 법원 명령이 떨어지면 사용자의 IP주소와 전화번호를 당국에 제공할 수 있다고 명시해놨습니다.

대부분의 메신저와 마찬가지로 가입을 위해서는 전화번호 정보를 제공하게 되며 사용자의 IP 주소, 기기 정보, 사용자 이름 변경 기록 등도 일정 기간동안 보관됩니다.

텔레그램도 불안한 사람들을 위한 대안 서비스도 관심을 끌고 있습니다. 요즘이라면 시그널이 대표적이죠. 그럼에도 텔레그램은 여전히 선택지에 오르내리는 안전한 메신저로 인정받고 있습니다. 높은 보안성 말고도 빠른 전송 속도와 활발한 정보 교환 채널이라는 장점을 무기로 여전히 사랑받고 있습니다. 어쩌면 편리함과 안전함을 동시에 보장해주는 메신저는 상상 속에만 있을지도 모르겠습니다.

테크플러스 에디터 나유권

tech-plus@naver.com

[fv0012]

- Advertisement -

Related Stories