(씨넷코리아=이민아 기자) 철통 보안 메신저를 찾는다면 시그널, 텔레그램, 왓츠앱 중 어느 곳이 적합할까? 본론부터 말하자면 답은 시그널이다. 시그널은 부가기능이 더 많을 뿐만 아니라 편리성도 가장 높으며 사생활 보호면에서도 가장 뛰어나다.
일론 머스크는 왓츠앱 대신 "시그널을 사용하자"는 목소리를 내며 페이스북과의 불화에 불을 지폈고 당시 트위터 CEO였던 잭 도시(Jack Dorsey)가 머스크의 이런 내용을 리트윗했다. 비슷한 시기에 미국 국회의사당 테러 이후, 우익 세력이 가장 선호하던 소셜네트워크 팔러(Parler)는 폐쇄 당했고 정치적 보이콧에 참여한 자들은 페이스북과 트위터로부터 대거 빠져나갔다. 시그널과 텔레그램의 신규 사용자 수가 그 이후로 수천만 명이나 급증했다.
또한, 메신저 앱의 보안과 프라이버시 침해 문제가 다시 한번 재점화됐는데 현재 시장을 지배하는 메신저 앱들에는 몇 가지 공통점이 있다.
먼저 플레이스토어와 앱스토어에서 제공되고 크로스 플랫폼 메시징을 지원한다. 이중 인증 절차(2FA: 2-factor authentication)를 통해 계정을 보호하고 그룹채팅이 가능하다. 파일과 멀티미디어도 공유가 가능, 문자 메세지 뿐만 아니라 음성·영상통화 역시 암호화된다.
시그널, 텔레그램, 왓츠앱은 종단 간 암호화를 사용하기 때문에 사용자가 다른 개인 사용자와 대화할 때 아마도 회사의 직원조차도 사용자의 메시지 그 정확한 내용을 볼 수 없다. 추후에 법 집행 기관이나 이동통신사에서 검열하는 것 조차 불가능하다.
하지만 시그널, 텔레그램, 왓츠앱의 사생활과 보안 차이는 크다.
■ 시그널
- 데이터 수집하지 않고 전화 번호만 수집
- 비영리 시그널 파운데이션(Signal Foundation)에서 지원하는 무료 앱, 광고 없음
- 완전 오픈 소스
- 암호화: 신호 프로토콜
시그널(Signal)은 구글 플레이스토어나 애플 앱스토어에서 설치할 수 있는 일반적인 메신저 앱이다. 비영리 단체인 시그널 재단이 무료로 제공하는 오픈 소스 개발로 전 미국 중앙정보국 요원인 에드워드 스노든(Edward Snowden)이 수년간 사용해 온 것으로 알려졌다.
시그널의 주요 기능은 먼저 사용자의 전화 번호를 확인하고 다른 사용자의 신분을 독립적으로 확인할 수 있도록 허용한 이후 사진 및 영상, 모든 메시지를 암호화해 전송할 수 있다.
시그널은 사용자 데이터를 저장하지 않는다. 또한 암호화 기능 외에도 앱 잠금, 빈 알림, 페이스 블러링 감시 방지 도구 및 메시지 소멸 등 다양한 개인 정보 보호 옵션을 제공한다.
영국의 가디언이나 미국의 워싱턴포스트, 뉴욕타임스, 월스트리트저널은 그들의 취재기사 보안을 위해 시그널을 이용할 것을 권장하고 있다.
때때로 버그가 발견되긴 하지만 시그널에 대한 전반적인 평가는 사생활 보호에 예민한 사람들에게 최상위로 꼽혔다. 하지만 시그널에서 암호화된 메시지를 보내더라도 수신자가 시그널을 사용하지 않는 경우에는 소용이 없다.
■ 텔레그램
- 사용자로부터 수집하는 데이터: 이름, 전화 번호, 연락처, ID
- 설립자가 주로 자금을 지원하는 향후 무료 광고 플랫폼 및 프리미엄 기능
- 부분적으로만 오픈 소스
- 암호화: 텔레그램 독자적으로 개발한 MTProto
텔레그램은 소셜 네트워크 스타일의 환경을 만들기 위해 노력한다는 점에서 다른 메신저 앱들과는 차별점이 있다. 왓츠앱만큼 많은 데이터를 수집하지는 않지만 왓츠앱처럼 암호화된 그룹콜을 제공하지도 않고, 시그널만큼 사용자 데이터 보호와 회사 투명성을 제공하지도 않는다.
사용자로부터 수집하는 데이터는 이름, 전화번호, 연락처 목록, ID, 그리고 IP 주소가 있다. 시그널이나 왓츠앱과는 달리 텔레그램의 일대일 대화는 기본적으로 암호화되지 않지만 설정 메뉴에 들어가 활성화 시킬 수 있다. 텔레그램 그룹 메시지 또한 암호화되지 않는다. 조사에 따르면 텔레그램의 MTProto 암호화 체계 중 일부는 오픈 소스인 반면 일부는 그렇지 않아서 텔레그램의 서버에서 사용자의 텍스트가 어떻게 보호되는지 명확히 알 수 없다.
텔레그램 역시 몇 차례 유출사고를 겪었다. 2020년 3월, 이란 정부 관계자의 소행으로 추정되는 텔레그램 사용자 ID와 전화번호 4200만 개가 노출된 사건이 드러났다 이는 2016년 이란 이용자 1천500만 명의 데이터가 노출된 사건 이후 이란과 관련된 두 번째 대규모 데이터 유출사고였다. 2019년에는 홍콩 시위에서 텔레그램 버그가 중국 당국에 악용된 적 있으며 딥페이크 봇을 이용해 일반 사진을 음란물로 위조하기도 했다. 최근에는 GPS 기능이 다른 사람들을 추적하는 목적으로 악용되면서 사생활을 위협 문제가 거론되기도 했다.
■ 왓츠앱
- 사용자로부터 수집하는 데이터: 사용자 기기 ID, 전화번호, 데이터 사용량, 광고 데이터, 구매 내역, 위치, 연락처 목록, 앱 사용 빈도 등
- 페이스북 산하 메신저로 비즈니스 버전까지 모두 무료 제공
- 암호화: 신호 프로토콜
‘보안’과 ‘개인정보 보호’, 이 두 단어는 서로 비슷해보이지만 분명한 차이가 있다. ‘보안’은 무단 접근으로부터 데이터를 보호하는 측면을 이야기하고 ‘개인 정보 보호’는 데이터에 접근 권한과는 관계없이 사용자의 신원을 보호하는 것을 말한다.
보안을 살펴보자면 왓츠앱의 암호화 방식은 시그널과 동일하다. 이 암호화 프로토콜은 왓츠앱의 몇 안되는 오픈 소스로 시그널보다 왓츠앱이 더 안전한 것으로 보이지만 왓츠앱 역시 텔레그램처럼 해킹 사고로 고초를 겪은 적 있다. 바로 2020년 1월, 사우디의 왕세자 무함마드 빈 살만이 왓츠앱 메세지를 통해 제프 베이조스의 아이폰을 해킹한 사건이다. 같은 해 12월에는 텍사스 검찰총장이 페이스북과 구글이 왓츠앱 메시지 내용을 공개하기 위해 이면거래를 했다고 주장했지만 입증되지는 않았다.
한 스파이웨어 공급업체는 왓츠앱의 취약점을 노리고 기기 1400대를 해킹하려다가 페이스북으로부터 소송 당하기도 했다. 이처럼 왓츠앱의 암호화되지 않은 클라우드 기반의 백업 기능은 전문가들에게 오랫동안 보안 취약점으로 지적 받아왔으며 왓츠앱 측은 사용자들이 주고 받는 암호화된 메세지를 회사 측에서 볼 수 없다고 주장하지만 그 외 다른 데이터 목록에 대해서는 함구하고 있다. 사용자의 고유한 기기 ID와 전화번호, 데이터 사용량과 광고 데이터, 구매 내역 및 재무 정보, 위치, 연락처 목록, 앱 사용 빈도 등 시그널이나 텔레그램보다 수집하는 정보가 훨씬 많다.
이에 왓츠앱에 사용자 데이터 프라이버시가 약한 측면에 대한 씨넷의 질문에 왓츠앱은 “데이터 수집은 일부 사용자에게만 적용되며 우리가 수집한 데이터를 사용하는 분야 역시 제한된다”고 대답했다. 예를 들어 금융 거래 데이터의 경우에는 금융 서비스가 가능한 브라질 내 사용자에 한해 수집한다는 것이다.
왓츠앱의 대변인은 “우리는 사용자들이 제품 구매를 이해 기업과 채팅할 수 있는 기능 뿐만 아니라 보건당국이나 가정폭력 지원 기관 등에 사실 확인을 통해 사용자에게 도움이 될만한 정보를 제공하기 시작했다”면서 “서비스를 확장함에 따라 사용자의 메세지 보호와 수집하는 정보를 제한하고 있다”고 전했다.
하지만 현재도 왓츠앱이 사용자로부터 데이터를 수집하는 항목은 시그널이나 텔레그램보다 압도적으로 많은 것이 사실이니 사용자는 이 점을 염두에 두는 것이 좋겠다.
