[블록미디어 명정선 기자] 메신저 앱의 사용이 급증하면서 보안과 프라이버시 보호가 중요한 이슈로 떠오르고 있다. 왓츠앱(WhatsApp)과 텔레그램(Telegram)은 대표적인 메신저 앱으로, 둘 다 종단간 암호화를 포함한 다양한 보안 기능을 제공하지만, 접근 방식과 세부 기능에서 차이가 있다. 이번 기사에서는 두 앱의 암호화 전략과 보안 접근 방식의 장단점을 비교해 본다.
# 왓츠앱, 모든 데이터 ‘종단 간 암호화’
왓츠앱은 전 세계적으로 22억 ,000만 명 이상의 월간 활성 사용자를 보유한 인기 메신저 앱이다. 2009년 야후 출신 개발자 얀 쿰과 브라이언 액턴이 개발한 이 앱은 초기부터 프라이버시를 최우선으로 삼았다. 이를 위해 2016년부터 ‘시그널 프로토콜(Signal Protocol)’을 채택해 보안과 프라이버시를 강화했다. 이 프로토콜은 송신자와 수신자만이 메시지를 볼 수 있게 하며, 제3자가 데이터를 읽는 것을 원천적으로 차단한다.
왓츠앱의 종단간 암호화는 △텍스트 메시지 △음성 및 영상 통화 △사진과 비디오 △문서 공유 등 모든 통신에 적용된다. 각 사용자는 자동으로 생성된 고유의 공개 키와 비공개 키를 통해 데이터를 암호화한다. 이 키는 사용자의 기기에 저장되어 사용자가 아닌 다른 누구도 메시지를 해독할 수 없다.
추가로 왓츠앱은 ‘전방 비밀성(Forward Secrecy)’ 기능도 도입했다. 각 메시지를 고유한 세션 키로 암호화해 단일 키가 노출되더라도 과거나 미래의 메시지를 해독할 수 없도록 한다. 이를 통해 단 한 번의 보안 침해가 전체 대화 내역을 위협하지 않도록 보호하고 있다.
# 텔레그램, ‘비밀채팅’과 ‘자폭 메시지’
텔레그램은 사용자 프라이버시를 중시하는 메신저로, 전 세계적으로 약 9억 5,000만 명의 월간 활성 사용자를 보유하고 있다. 2013년 러시아 소셜 미디어 플랫폼 VKontakte(VK)를 창립한 두로프 형제, 니콜라이 두로프와 파벨 두로프가 개발했다. 이들은 정부의 감시와 데이터 보호 문제로 인해 러시아를 떠나며 사용자 프라이버시를 타협하지 않는 플랫폼을 만들겠다는 목표로 텔레그램을 출시했다.
텔레그램의 대표적인 기능은 ‘비밀 채팅(Secret Chats)’이다. 이 기능은 종단간 암호화를 제공하며, 메시지는 서버에 저장되지 않고 사용자 기기에만 남는다. 이를 통해 정부나 해커가 데이터를 가로채는 것을 방지하고, 사용자 간의 안전한 통신을 가능하게 한다. 비밀 채팅은 ‘자폭 메시지(Self-Destructing Messages)’ 기능도 제공해, 사용자가 설정한 시간 후에 자동으로 삭제되도록 할 수 있다.
익명성 보호 또한 텔레그램의 강점이다. 사용자들은 전화번호를 공개하지 않고도 대화에 참여할 수 있으며, 공개 채널이나 그룹에 자유롭게 가입할 수 있다. 이는 민감한 정보나 의견을 공유하는 사용자들에게 특히 유용하다.
또한 텔레그램은 공개 API(Application Programming Interface)를 통해 외부 개발자가 텔레그램의 기능을 확장할 수 있도록 허용하고 있어, 사용자 맞춤형 경험을 제공하고 있다. 이런 점에서 텔레그램은 보안과 익명성을 중시하는 사용자들에게 매력적인 선택이 되고 있다.
#텔레그램, 일반채팅은 비 암호화
It’s amazing to me that after all this time, almost all media coverage of Telegram still refers to it as an “encrypted messenger.”
Telegram has a lot of compelling features, but in terms of privacy and data collection, there is no worse choice. Here’s how it actually works:
1/
— Moxie Marlinspike (@moxie) December 23, 2021
텔레그램은 보안과 익명성을 강조하지만, 모든 채팅에 대해 완전한 종단간 암호화를 제공하는 것은 아니다. 대부분의 일반 채팅에서는 클라이언트-서버-클라이언트(Client-Server-Client) 암호화 모델을 사용한다. 이 모델에서는 데이터가 텔레그램 서버에 저장되며, 서버에 접근할 수 있는 누군가가 데이터를 열람할 가능성이 있다. 이로 인해 텔레그램은 특정 상황에서 보안 취약점을 가질 수 있다. 사용자가 완전한 보안을 원할 경우, 일반 채팅이 아닌 비밀 채팅 기능을 사용해야 한다.
# 취약점과 논란
- 왓츠앱, 메타에 인수 후 데이터 수집 ‘논란’
암호화는 모든 통신의 보안을 강화하는 핵심 요소지만, 완벽하지는 않다. 왓츠앱과 텔레그램 모두 보안과 관련된 논란과 취약점이 존재한다. 왓츠앱의 경우, 2019년 발생한 ‘제로데이(Zero-Day)’ 취약점이 논란이 됐다. 이 취약점을 이용한 해커는 사용자의 전화에 스파이웨어를 설치할 수 있었으며, 이 사건은 이스라엘 보안 업체 NSO 그룹의 페가수스(Pegasus) 스파이웨어와 관련이 있었다.
또한, 왓츠앱이 메타(구 페이스북)에 인수된 이후, 사용자 메타데이터(누가 언제 누구와 대화했는지 등의 정보)가 모회사와 공유될 가능성이 있다는 점에서 프라이버시 침해 우려도 제기되고 있다. 이에 대해 왓츠앱은 “데이터 수집은 일부 사용자에게만 적용되며, 수집된 데이터를 사용하는 분야도 제한된다”고 해명했다.
- 텔레그램, 보안 프로토콜 ‘검증 미흡’ 독일 정부에 데이터 제공 ‘논란’
텔레그램도 보안 논란에서 자유롭지 않다. 텔레그램은 자체 개발한 MTProto(Messenger Transport Protocol) 프로토콜을 통해 데이터를 보호하고 있지만, 전문가들은 이 프로토콜의 키 교환 메커니즘에 잠재적인 취약점이 있다고 지적한다.
또한 텔레그램은 일부 국가에서 정부 당국에 사용자 데이터를 제공한 사례가 있다. 독일 언론 데어 슈피겔에 따르면, 텔레그램은 독일 연방 범죄 수사국(BKA)에 사용자 데이터를 제공한 적이 있다. 이는 텔레그램이 프라이버시 보호를 약속하면서도 모든 상황에서 이를 일관되게 지키지 않는다는 우려를 낳았다. 메시지 앱 시그널(Signal)의 창립자인 모지 마를린 스파이크는 “텔레그램은 실제로 보안 메신저가 아니다”라며 강하게 비판했다.
# 암호화 기술, 프라이버시인가 vs 익명성인가
왓츠앱과 텔레그램은 각각 다른 사용자 요구에 맞춘 보안과 프라이버시 기능을 제공하고 있다. 만약 사용자가 △모든 메시지에 대해 기본적인 종단간 암호화와 높은 보안성을 중시한다면, 왓츠앱이 더 나은 선택이 될 수 있다. 왓츠앱은 시그널 프로토콜을 사용해 모든 통신을 암호화하고, 전방 비밀성을 도입해 보안을 강화하고 있다. 다만, 메타(구 페이스북)와의 연관성으로 인한 메타데이터 수집 및 공유 문제가 부담 요인이 될 수 있다.
반면 익명성을 우선시하는 사용자에게는 텔레그램이 더 적합할 수 있다. 텔레그램은 비밀 채팅과 자폭 메시지 기능을 통해 사용자 정보를 보호하고, 익명으로 대화에 참여할 수 있는 옵션을 제공한다. 그러나 텔레그램은 기본적인 채팅에서는 종단간 암호화를 제공하지 않으며, MTProto 프로토콜의 안전성에 대한 논란도 존재한다.
결국 왓츠앱과 텔레그램 중 어느 앱이 더 나은지는 사용자가 보안과 프라이버시 중 어떤 요소를 더 중요하게 생각하는지에 따라 달라질 것이다.
같이 보면 좋은 기사