뉴스
2016년 03월 03일 12시 55분 KST | 업데이트됨 2016년 03월 03일 13시 41분 KST

[점검] 텔레그램은 정말 안전한가? 카카오톡은 정말 위험한가?

연합뉴스

주요 포털에서 ‘텔레그램’이 실시간급상승검색어에 올랐다. 텔레그램은 앱스토어 다운로드 상위 랭킹에도 등장했다. 텔레그램은 보안이 강력한 것으로 알려진 메신저 서비스로, 국내에서는 2014년 ‘카카오톡 감청’ 논란이 불거졌을 때 입소문을 타며 ‘사이버망명지’로 알려졌던 서비스다.

3일 오후 네이버와 다음 등에서 텔레그램은 실시간 검색어 상위 10위권에 등장했다. 페이스북과 트위터에서는 ‘텔레그램 망명’ 경험담과 목격담이 퍼지고 있다.

또 애플 앱스토어에서 텔레그램은 전체 카테고리 중 14위(3일 오후 3시)를 기록하고 있다. 순위로만 놓고 보면 카카오톡(16위)보다 높다.

이런 현상은 2일 밤 국회 본회의에서 통과된 ‘테러방지법’의 여파로 보인다. 감청 등 사생활 침해에 대한 우려 때문에 상대적으로 안전한 서비스로 알려져있는 텔레그램에 관심이 쏠리고 있을 가능성이 제기되는 것. 벌써부터 ‘2차 사이버망명 사태’를 거론하는 언론들도 있다.

그렇다면 이 시점에서 이용자들에게 던져진 현실적인 질문은 크게 세 가지다.

  • 텔레그램은 정말 안전한가?
  • 카카오톡은 정말 불안한가?
  • 어떤 서비스를 믿어야 하나?

이 질문들을 하나씩 살펴보자.

1. 텔레그램은 정말 안전한가?

우선 한 가지 기억할 게 있다. 어떤 서비스도 100% 보안성을 보장해주지는 않는다. 어떤 서비스가 안전하다고 할 때는 ‘현 시점에서 최신의 보안기술을 채택해 최고의 보안성을 유지하기 위해 노력한다’는 정도로 이해하는 게 좋다.

일반적으로 텔레그램은 비교적 보안성이 우수한 것으로 알려져 있다. 2014년 사이버망명 사태 당시 블로터는 미국 비영리 탐사보도 매체 프로퍼블리카를 인용해 메신저 보안성 평가 결과를 보도했다. 이에 따르면, 텔레그램은 평가항목 7개 중 5개에서 ‘합격’ 판정을 받았다. 페이스북 메신저나 왓츠앱, 스냅챗 같은 대중적인 서비스는 ‘2개’에 그쳤다. (카카오톡은 평가 대상에서 빠져 있다.)

이 평가에 참여했던 국제 비영리단체 전자프론티어재단(EFF)가 집계해 업데이트 하는 ‘메신저 보안성 평가표’도 살펴보자. 지난해 11월에 업데이트 된 이 표에 따르면, 텔레그램은 7개 평가항목 중 4개에서 합격 판정을 받았다. 별도로 평가한 ‘텔레그램 비밀채팅’ 모드의 경우, 7개 항목 모두 만점으로 평가됐다. (카카오톡은 역시 평가대상에서 빠져있다.)

텔레그램 망명 사태 당시 많이 회자됐던 것 중 하나는 ‘종단간 암호화(End to End Encryption)’다. 패킷감청 등으로 메시지를 중간에서 가로채거나 서버를 압수수색 하더라도 대화 내용을 엿볼 수 없도록 하는 기술이다. 그 때만 해도 카카오톡에는 이런 기술이 채택되지 않은 상태였다.

일반 채팅 vs 비밀채팅. (클릭하면 확대됩니다.) ⓒKAKAO

이용자들이 텔레그램의 보안성에 신뢰를 보낸 또다른 근거 중 하나는 서버의 위치였다. 서버가 해외에 있기 때문에 수사당국의 압수수색 등이 상대적으로 어렵지 않겠냐는 것. 이 사실은 여타 국내 서비스들과 비교하면 보안성 면에서 상대적인 강점으로 작용할 수 있다.

반면 다른 의견도 있다. 2014년 뉴스1 기사에 따르면, 김승주 고려대 정보보호대학원 교수는 “텔레그램이 구축한 암호화기술은 기초적인 방식”이라며 “전문가들이 분석할 때도 텔레그램보다 보안성이 우수한 메신저는 많다”고 지적한다.

앞서 소개한 EFF의 평가처럼, 텔레그램 역시 ‘비밀채팅’ 모드가 아닌 일반 채팅 모드에서는 보안성이 특별히 뛰어나지 않다는 평가도 있다.

게다가 텔레그램의 대화내용 암호화는 일대일 비밀대화에만 적용된다. 3명 이상이 참여하는 그룹대화방에는 사용자간 암호화 기술이 적용되지 않고 서버에 저장된다. 이는 3명 이상이 참여하는 그룹 채팅에 종단간 암호화를 구현하려면 '공개키 기반구조(PKI)'를 채택해야 하는데 텔레그램은 엄격한 의미에서 전문가들이 권고하는 수준을 마련하지 못했다. 그룹 채팅에 종단간 암호화를 구축할 경우 많은 트래픽이 몰리면서 서버 과부하로 앱 실행 속도가 느려질 수도 있기 때문이다. (뉴스1 2014년 10월8일)

지난해 2월에는 한 국내 해킹팀이 텔레그램의 취약점을 발견했다는 보도가 나오기도 했다. 지극히 제한적인 상황에 적용되는 것이긴 하지만, 비밀대화 내용까지 해킹을 통해 노출됐다는 소식은 텔레그램의 명성에 흠집을 냈다.

또 텔레그램도 어떻게 쓰느냐에 따라 얼마든지 보안상 취약점이 있을 수 있다. 다음은 진보네트워크센터가 제공하는 ‘디지털보안가이드’ 중 일부다.

텔레그램을 사용한다고 모든 면에서 보안이 되는 것은 아닙니다. 예를 들어, 여러분의 스마트폰을 압수 당할 경우 텔레그램 메시지가 그대로 노출될 수 있습니다. (그래서 휴대전화 암호화를 해야합니다.) 메시지를 삭제하거나 방을 폭파해도, 혹은 아예 텔레그램 앱을 삭제해도 (눈에는 보이지 않아도) 스마트폰 안 어딘가에 그 내용이 저장되어 있어서 포렌식을 통해 복구될 수도 있습니다. 한국의 수사기관이 사용하는 포렌식 프로그램이 텔레그램 복구 기능을 갖고 있는지는 모르겠으나, 필요하다면 언제든지 만들 수 있을 것입니다. PC의 텔레그램 프로그램에서도 함부로 접근하지 못하도록 암호 설정을 해두는 것이 좋겠죠. (Settings → Advanced 에서 ‘turn on local password’를 클릭하여 암호 설정을 합니다.) 더욱 보안이 우려된다면, PC의 텔레그램 프로그램은 사용하지 않아야 하겠죠.(진보네트워크센터 '디지털보안가이드)

2. 카톡은 정말 위험한가?

반면 카카오톡에 대한 이용자들의 불안감은 다소 과장된 측면이 있다. 카카오톡은 2014년 당시 소동을 겪고 나서 종단간 암호화를 도입했다. ‘비밀채팅’ 기능이다.

비밀채팅은 비교적 안전하다고 할 수 있다. 텔레그램 비밀채팅과 마찬가지로 종단간 암호화 기술을 채택했기 때문. 중간에 메시지를 가로채거나 서버를 압수수색 하더라도 비밀채팅의 대화내용이 노출될 가능성은 매우 낮다. 암호를 푸는 열쇠가 서버에 저장되는 게 아니라 대화자의 스마트폰에 각각 저장되기 때문이다.

또 카카오톡은 비밀채팅이 아닌 일반 대화내용을 서버에 저장하는 기간을 기존 평균 3~7일에서 2~3일로 대폭 축소했다. 오랜만에 PC에서 카카오톡 앱을 실행했을 때 과거 대화가 보이지 않는 현상이 나타나는 것도 이 때문이다. 카카오톡은 당시 이런 방침을 공개하며 ‘감청영장에 응하는 게 사실상 불가능해졌다’고 밝힌 바 있다.

(다만 이례적인 일련의 '사태'를 겪은 이후 카카오는 '익명감청'에 응하겠다고 발표했다.)

비밀채팅 메시지가 자동으로 삭제되는 기능도 도입됐다. 이 기능은 현재 1:1 비밀채팅 뿐만 아니라 여러명이 참여하는 ‘단체비밀카톡방’에도 적용되고 있다. 지난해 3월 카카오가 발표한 업데이트 내용을 보자.

그룹 비밀 채팅방에는 최대 50명까지 참여가 가능합니다. 1:1 비밀 채팅과 마찬가지로 종단간 암호화(end-to-end encryption) 기술을 적용했습니다. 암호화된 대화 내용을 풀 수 있는 비밀 키는 서버에 저장되지 않고 개인 단말기에만 저장되므로 이용자의 단말기를 입수하지 않는 이상 대화 내용이 안전하게 보호됩니다.

비밀 채팅방에서는 모든 참여자들이 메시지를 읽으면 (즉, 카카오톡 말풍선 옆에 있는 숫자가 지워지게 되면), 그 메시지는 서버에서도 자동 삭제됩니다. 1:1 비밀 채팅 모드에는 지난 2월 초에 도입되었는데, 이번에 그룹 비밀 채팅 모드를 도입하면서 이 기능도 함께 적용 되었습니다.

비밀 채팅은 일반 채팅에 비해 조금 불편할 수 있습니다. 투표, 일정 등 서버 지원이 필요한 기능은 빠지며 PC 버전과도 연동되지 않습니다. 이는 이용자 여러분들의 프라이버시를 한층 더 안전하게 보호하기 위함입니다.

3. 그래도 불안하다면?

텔레그램도, 카카오톡도 믿지 못하겠다면 대안은 얼마든지 있다. ‘극강’의 보안성을 자랑하는 메신저 서비스를 쓰면 된다. 텍스트시큐어(안드로이드), 챗시큐어(iOS/안드로이드), 시그널(iOS) 등이다. (자세한 설명은 각각 링크를 참고하면 된다.)

그러나 역시 가장 큰 단점은 ‘이용자가 적다’는 점이다. 메신저로 누군가와 대화를 하고 싶은데, 대화 상대방이 그 서비스를 이용하지 않는다면 의미가 없다. 메신저 서비스에서 ‘이용자 규모’가 특히 중요한 이유도 바로 거기에 있다.

결국 현실에서는 일정한 타협이 불가피하다. 일반적인 경우라면 카카오톡 비밀채팅 기능 만으로도 충분하다. 다만 스마트폰 앱에서만 쓸 수 있고(PC앱 사용불가), 알림 시 메시지 미리보기도 지원하지 않아 다소 불편할 수 있다.

특별한 보안을 요하는 대화일 경우, 또는 어떤 이유에서든 모든 ‘위험’을 회피하기 원하는 경우라면 위에서 소개한 메신저 서비스를 이용할 것을 권한다.

애플 아이폰 이용자들끼리의 대화라면, 기본 기능인 아이메시지(iMessage)를 사용하는 것도 나쁘지 않다. 지난해 말 애플은 ‘우리도 암호를 풀 수 없기 때문에 메시지 내용을 볼 수 없다’며 미국 수사당국의 협조 요청을 거부한 바 있다. iOS 및 Mac OS X 사이에서 아이메시지를 통해 전송되는 모든 메시지에는 종단간 암호화 기술이 적용된다.

Apple에는 기기 간 전송 중인 iMessage 및 FaceTime 데이터를 해독할 방법이 없습니다. 때문에 타사의 메시지 서비스와 달리 Apple은 당신의 통신 내용을 확인하지 않으며, 감청 요구에 응하고 싶어도 응할 수 없습니다. 당신의 편의를 위해 우리는 iCloud 백업을 통해 iMessage와 SMS 메시지를 백업하기는 하나, 이는 원치 않는다면 언제라도 비활성화할 수 있습니다. 또한 FaceTime 통화는 어떤 서버에도 저장되지 않습니다. (애플 ‘개인정보보호)

사실 중요한 건 ‘카톡이냐 텔레그램이냐’가 아닐 수도 있다. 이럴 때일수록 무엇보다 보안의 기본 원칙을 기억해 둘 필요가 있다.

보안성과 편리성은 대개 상충되기 마련이다. 일례로 텔레그램과 카카오톡 모두 비밀번호 잠금 기능이 있지만 쓰지 않는 사람들이 많다. 매번 비밀번호를 누르는 건 분명 무척 번거로운 일이다. 카카오톡 비밀채팅도 마찬가지다. 상대적으로 더 안전한 대신 약간의 편리함을 포기해야 한다.

보안에는 ‘완벽한 한 방’이 없다는 점도 기억하자. 아무리 보안성이 뛰어난 메신저를 사용한다 하더라도, 그것 만으로 충분한 경우는 없다. 아무 링크나 눌러서 알 수 없는 앱을 잔뜩 설치하는 습관을 가지고 있다면? 운영체제(OS) 업데이트를 주기적으로 업데이트 하지 않는다면? 스마트폰 OS를 ‘탈옥’한다면?

한창 뜨거운 보안 이슈들을 살펴보면 기술적 방식의 문제가 아닌 경우가 많다. 예컨대, (잠깐 요란했던) 지메일이 털렸다는 건 "안전하다길래 믿었던 HTTPS 방식마저 불안"한 게 아니라 "당신 PC가 홀라당 털렸다"고 보거나 "당신의 패스워드가 혹시 '123456' 아닙니까?" 물어야 한다. (실제로 '123456'은 가장 흔한 패스워드 1위!) 그런데도 사회는 "지메일 시스템도 안전하지 않다"며 들끓으니 사실 좀 당황스럽다. 정보보안 제1책은 다름아닌 '패스워드 계몽'이라는 말이 괜히 나온 것이 아니다. (허핑턴포스트블로그 2014년 10월24일)

이런 측면에서 ‘카톡은 다 털린다’거나 ‘텔레그램은 무조건 안전하다’는 식의 이야기는 원칙적으로 성립하기 어렵다. 막연한 불안과 불신을 갖는 대신 지금이라도 평소에 눈 여겨 보지 않았던 보안 설정을 살펴보고, 사용 습관을 점검해보는 건 어떨까?

PRESENTED BY 호가든