보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
모바일 메신저와 보안, 그리고 Telegram
9월 21일, 서울중앙지검에 '사이버 명예훼손 전담수사팀'이 개설되었습니다. 해당 팀은 허위사실 유포 명예훼손사범을 구속 수사하고, 정식 재판절차를 밟게 하기 위해 개설되었습니다. 여기에는 카카오톡과 같은 모바일 메신저도 상시 모니터링 대상에 포함되는 것으로 나타났습니다.
정부기관에서는 '사이버 명예훼손 전담수사팀'을 개설하면, 사이버 상에서 떠도는 유언비어가 줄어들 것으로 예상했을 것입니다.
그러나 예상 밖의 결과가 벌어졌습니다. 사람들은 정부가 비교적 쉽게 사찰할 수 있는 국내기업의 모바일 메신저를 버리고, 해외 기업이 개발한 모바일 메신저, 특히 '대화를 엿볼 수 없는 보안성이 강한 메신저'를 찾아 떠나기 시작했습니다. 이에 '사이버 망명'이라는 신조어까지 생겨났습니다.
유언비어를 억제하고자 정책을 세우니, 국내 프로그램 사용자들을 해외 프로그램으로 몰리는 풍선효과가 나타난 것 입니다.
그 결과, 일주일만에 167만명의 카카오톡 사용자가 해외 서비스로 이탈하였으며, 어부지리 격으로 Telegram이 큰 인기를 얻기 시작했습니다.
갑작스럽게 한국에서 큰 인기를 끌게 된 'Telegram'은 자신들의 서비스가 어떻게 이렇게 큰 사랑을 받게 되었는지 의아해 하면서도, 큰 인기에 보답하듯 얼마 후 한국어 서비스를 제공하기 시작했습니다.
'Telegram'은 러시아 개발자가 러시아 정부의 검열을 피하기 위하여 개발한 모바일 메신저입니다. Telegram은 클라이언트 to 클라이언트의 종단간 암호화를 수행하기 때문에, 중계 서버에도 메세지가 암호화된 상태로 저장됩니다. 그렇기 때문에, 업체 측에서도 메신저의 내용을 알 수 없으며, 서버가 해킹 당하거나 정부가 사찰을 한다고 하여도 그 내용을 알 수 없습니다. 또한 자신들의 강력한 암호화 알고리즘에 자신이라도 하듯, 암호화한 데이터를 복호화하면 한화로 약 20억원을 준다고 내세웠으나 복호화에 성공한 사람은 아무도 없었습니다.
카카오톡은 역시 서버와 클라이언트 사이에서 주고받는 메시지는 모두 암호화하여 주고받지만, 서버에 저장될 때에는 복호화되어 저장됩니다. 정부사찰과 맞물려 보안정책이 이슈화 되자, 카카오톡은 ‘외양간 프로젝트’를 내놓았습니다. 내용은 아래와 같습니다.
1. 카카오톡 메시지 저장기간 2-3일로 축소2. ‘프라이버시’ 모드 도입암호화 키를 개인 단말기에 저장하는 ‘종단간 암호화’를 도입하여, 개인 단말기를 압수하지 않는 이상 메시지를 복호화 할 수 없습니다.3. 서버에 저장되는 정보에 대하여도 암호화 적용4. 투명성 보고서 발표5. 정부의 감청영장 불응
다음카카오가 발표한 ‘외양간 프로젝트’에서 언급된 보안기술이 모두 적용된다면, 기술적으로는 Telegram과 동일한 수준의 보안성을 갖게 됩니다.
그럼에도 불구하고 Telegram의 보안성이 더 높은 수준으로 생각되는 이유는 러시아 출신의 Telegram 개발자가 러시아 국가의 사찰을 거부하고 불이익을 당한 후에 독일로 망명한 제품의 히스토리 때문이 아닐까 생각됩니다.
카카오톡은 국내 기술로 만들어진 국내에서 가장 사랑 받는 모바일 메신저 입니다. 이번 일로 인해 국내 대표 모바일 메신저의 입지가 흔들릴 만큼 큰 타격을 받지는 않을 것으로 예상됩니다. 그러나 개인들이 사적인 대화를 주고받는 프로그램인 만큼, 이번 일을 계기로 카카오톡 뿐만 아니라 다른 국내 모바일 메신저들 역시 보안을 강화하여, 더욱 훌륭한 서비스로 발돋움하는 계기로 삼아야 하겠습니다.
또한 정부에서도 모바일 메신저에서 개인적으로 주고받는 데이터를 어떠한 사건을 해결하는 참고자료 혹은 증거로 사용할 수는 있겠으나, 이러한 데이터 자체를 검열의 대상으로 인식해서는 안되겠습니다.
IT 산업이 발달하여 다른 서비스로 전환하는 전환장벽이 낮아진 만큼, 철저한 조사와 검토를 통해 국내 IT산업과 상생할 수 있는 효율적인 정책을 내놓길 기대합니다.