CWN(CHANGE WITH NEWS) - 왓츠앱 대신 보안 위해 텔레그램 사용, 다시 생각해야 한다?

지난달, 왓츠앱의 개인 정보 보호 정책 변경 사항이 논란에 휩싸였다. 개정된 정책에서 사용자가 자신의 데이터 일부를 페이스북과의 공유를 해제하는 관행을 설명하는 조항을 삭제됐다. 사실상 왓츠앱 서비스 사용을 위해 무조건 페이스북에 개인 정보를 공유해야만 한다는 의미이다.

결과적으로 왓츠앱 사용자가 대거 왓츠앱을 탈퇴하고, 시그널과 텔레그램 등 훌륭한 암호화 기능을 지원하는 경쟁사 메시지 앱에 가입했다. 혹시 이 기사를 읽고 있는 당신도 보안 문제 때문에 왓츠앱 계정을 삭제하고, 텔레그램을 사용하기 시작했는가? 그렇다면, 다시 생각해보기를 바란다.

텔레그램의 두 가지 암호화 기능
매셔블, 와이어드, 비즈니스 인사이더 등 복수 해외 매체는 텔레그램이 최종 암호화 기능을 초깃값으로 지원하지 않는다고 주장한다.

최종 암호화 기능이란, 메시지 전송자와 수신자만 메시지를 읽을 수 있는 기능이다. 최종 암호화 기능이 적용됐다면, 메시지 호스트를 제공하는 서버조차도 사용자의 메시지를 읽을 수 없다. 따라서 해킹되더라도 해커가 메시지 내용을 절대로 읽을 수 없다. 많은 사용자가 바로 이 기능 때문에 텔레그램의 보안 수준이 훌륭하다고 생각하고, 왓츠앱을 대체할 메시지 앱으로 선택했다.

그러나 많은 사용자가 간과한 사실이 있다. 여러 매체가 보도한 바와 같이 텔레그램은 최종 암호화 기능을 기본적으로 제공하지 않는다. 텔레그램은 공식 홈페이지 FAQ 페이지에 두 가지 유형의 보안 암호화 기능을 지원한다고 말한다.

바로 클라우드 기반 암호화와 최종 암호화이다. 실제로 많은 사용자가 원하는 최종 암호화 기능은 비밀 대화 모드에만 제공된다. 사용자가 스마트폰으로 비밀 대화 기능을 사용한다면, 해당 기기에서만 비밀 대화에 접근할 수 있다. 물론, 텔레그램의 클라우드에 대화 내용이 저장되는 일도 없다. 게다가 사용자가 직접 일정 시간이 지나면 메시지가 스스로 사라지는 기능을 설정할 수도 있다.

그러나 그룹 대화와 1대 1 대화 등 비밀 대화 모드를 제외한 대다수 대화 모드에는 클라우드 기반 암호화 기능이 적용된다. 클라우드 기반 암호화 기능에서는 텔레그램 측이 데스크톱, 모바일 앱 등을 이용해, 실시간으로 사용자 메시지를 보며, 사용자 간 대화가 동시에 이루어지도록 한다. 그리고, 사용자의 메시지를 텔레그램 서버에 저장한다.

텔레그램의 암호화 기능, 비판받는 이유는?
일각에서는 텔레그램의 암호화 기능에 비판의 목소리를 냈다. 최종 암호화 기능을 제공하는 시그널과는 달리 사실상 암호화 기능을 제대로 제공하지 않기 때문이다. 무엇보다도 텔레그램이 최종 암호화 기능을 지원하는 비밀 대화 모드는 사용자 1대 1로 대화를 할 때만 사용할 수 있는 기능이다. 즉, 최종 암호화 기능을 사용할 수 있는 범위가 매우 한정적이다.

또한, 앞서 언급한 바와 같이 대다수 대화 모드에는 클라우드 기반 암호화 기능만 제공돼, 사용자를 위한 철저한 보안 기능을 제공한다고 보기 어렵다.

게다가 시그널과 비교했을 때, 텔레그램은 종합적인 암호화 메타데이터를 제공하지 않는다. 텔레그램은 시그널과 달리 사용자의 IP 주소를 추적한다. 게다가 사용자의 휴대전화 번호, 연락처, 사용자 ID 등을 확인하고 링크를 전송할 수 있다. 왓츠앱, 시그널 등 다른 메신저 앱처럼 계정 도난 피해를 방지하기 위해 2단계 인증 절차를 거쳐도 텔레그램의 보안 수준이 훌륭하다고 보기 어려운 이유이다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]