텔레그램이 프라이버시 메시징 시장을 선점하기 위해 시그널을 공격하면서, 텔레그램과 시그널 사이에 공개적인 폭풍이 몰아치고 있다.
양쪽 모두 가장 안전한 메시징 시스템을 가지고 있다고 주장하는 만큼, 보안과 암호화 관점에서 텔레그램과 시그널을 살펴보고 이 문제를 완전히 파헤쳐 보려고 한다.
가족 및 친구들과 소통하기 위한 목적이든, 비즈니스를 위한 메시징 앱이든, 개인 정보 보호는 모든 사람에게 중요하다. 사용자와 기업이 메시징 앱 또는 다른 디지털 서비스의 데이터 관리 방식에 신경 쓰지 않던 시대는 지났다.
현재 우리는 사용성이 아니라 데이터가 저장되는 위치, 사용되는 암호화 방법, 플랫폼이 얼마나 안전한지, 어떤 개인정보 보호 및 보안 기능을 제공하는지에 초점을 맞추고 있다.
주요 내용
- 시그널은 모든 메시지에 대해 기본적으로 종단간 암호화를 통해 뛰어난 프라이버시를 제공한다. 텔레그램은 “비밀 대화”에서만 메시지를 암호화하고, 일반 대화는 서버-클라이언트 암호화를 통해 서버에 저장된다.
- 시그널은 최소한의 데이터와 메시지를 서버가 아닌, 사용자의 기기에 저장한다. 텔레그램은 기본적으로 모든 메시지와 데이터를 클라우드 서버에 저장한다.
- 시그널의 오픈 소스 코드는 투명하고, 면밀한 조사와 독립적인 보안 감사를 가능하게 한다. 텔레그램의 핵심 기능은 비공개 소스이다.
- 시그널은 기본적으로 엔드투엔드 암호화, 최소한의 데이터 저장 공간, 오픈 소스 접근 방식 덕분에 보다 안전한 메시징 앱으로 널리 알려져 있다.
- 하지만, 프라이버시를 중시하는 회사의 주장은 면밀히 살펴봐야 하며, 일부 사용자에게는 텔레그램의 사용하기 쉬운 기능이 더 적합할 수 있다.
새로운 텔레그램-신호 전쟁과 스캔들
5월 8일, 텔레그램의 CEO 파벨 두로프가 자신의 텔레그램 채널을 통해 시그널이 보안이 취약하고 미국 정보기관과 연계되어 있다고 비난했다.
“… ‘안전한’ 메시징 앱으로 알려진 시그널의 현재 리더는 미국 국무부가 해외에서 정권 교체를 위해 사용하는 활동가들이다.”
테크피디아를 비롯한 여러 기술 매체와 보안 전문가들은 이러한 주장이 타당하다고 생각할 이유가 없다는 점을 분명히 해야 한다.
이 불길에 기름을 부은 듯, 일론 머스크도 메시징 개인정보 보호에 뛰어들었다. 수년 동안 시그널의 보안을 옹호해 온 머스크는 이제 명백하게 마음이 바뀌었다. 머스크는 시그널을 비판하고 불특정 다수의 ‘알려진 취약점’을 언급하며 평소와 같이 암호화된 비판을 이어갔다.
There are known vulnerabilities with Signal that are not being addressed. Seems odd …
— Elon Musk (@elonmusk) May 6, 2024
텔레그램 사용자 10억 명 돌파를 앞두고 있고 내년에 흑자 전환이 예상되는 가운데, 텔레그램은 상장과 월스트리트에서 매일 거래되는 기술 기업들과 함께하기 위해 관심을 끌기 위해 치열한 경쟁을 하고 있다.
반면 시그널은 공개적인 욕설 대결에 참여하지 않는다. 그리고 굳이 반박할 필요도 없을 것이다. 텔레그램의 주장에도 불구하고, 시그널은 현존하는 가장 안전하고 사적인 메시징 앱으로 널리 알려져 있다. 하지만, 당신은 동의하는가?
개인 정보 보호를 우선시하는 사용자를 이끄는 요인
CEO의 발언이나 유명 연예인의 발언은 앱 간의 경쟁에 재미를 더하지만, 사용자는 자신의 생활 커뮤니케이션을 신뢰할 수 있는 앱을 결정할 때 신중하게 선택해야 한다.
그렇다면 프라이버시를 우선시하는 사용자의 의사 결정에 영향을 미치는 요인은 무엇일까?
주요 기능으로는 오픈 소스 또는 클로즈드 소스, 데이터 스토리지, 전송, 암호화 및 보안 기능을 제안한다.
이제 이러한 각 기술 핵심에 대해 자세히 알아보고, 시그널과 텔레그램이 어떤 기능을 제공하는지 알아보도록 하겠다.
텔레그램과 시그널 비교: 보안 기능
기능 | 시그널 안전성 | 텔레그램 안전성 |
암호화 | 엔드투엔드 암호화
발신자의 디바이스에서는 메시지가 스크램블되고 수신자의 디바이스에서만 해독된다. |
서버-클라이언트 암호화
엔드투엔드가 아닌, 사용자와 텔레그램 서버간에 암호화 된 메시지이다. 비밀대화는 선택적으로 종단간 암호화를 제공한다. |
프로토콜 | 신호 프로토콜
오픈 소스, 동료 검토를 거친 암호화 프로토콜. |
MTProto
공개 감사를 거치지 않은 독점 프로토콜. |
사용자 데이터 클라우드 스토리지 | ❌
사용자 데이터는 사용자의 디바이스에 저장되지만 시그널 서버에는 저장되지 않는다 |
✅
메시지는 기본적으로 텔레그램 서버에 저장된다. |
사라지는 메시지 기능 | ✅
사용자는 설정한 시간이 지나면 메시지가 사라지도록 설정할 수 있다. |
✅ – 비밀 대화 한정
비밀 대화는 사라지는 메시지를 제공한다. 일반 채팅은 그렇지 않다. |
소스 코드 | 오픈 소스
면밀한 검토를 위해 공개적으로 제공되는 코드이다. |
비공개 소스
공개적으로 사용할 수 없는 코드이다. |
시그널과 텔레그램 비교: 알아야 할 모든 것
오픈 소스 또는 비공개 소스?
오픈소스가 세상의 모든 문제를 자동으로 해결해 주는 것은 아니지만, 보안이 핵심인 경우 많은 도움을 줄 수 있다.
기본적으로 누구나 소스 코드를 다운로드하여 검사할 수 있으며, 새로운 변경 사항도 수천 명의 눈으로 검사할 수 있다.
음성 및 인스턴트 메시징 대화에 종단 간 암호화를 제공하는 암호화 프로토콜인 시그널프로토콜은 2013년에 시작되었으며, 대부분의 다른 보안 메시징 시스템에서 구현되었다 (자세한 내용은 아래에서 확인해 볼 수 있다).
11년이 지났고 모든 보안 전문가가 코드를 검사할 수 있으며(개별 감사부터 대규모 제3자 감사까지 지속적으로 이루어짐), 증거에 기반한 일정 수준의 신뢰와 확신을 프로토콜에 부여할 수 있다.
이는 대부분의 경우, 메시지가 텔레그램 서버에 중앙 집중적으로 보관되는 텔레그램의 비공개 시스템과 비교된다.
보안 프로토콜
시그널 프로토콜은 종단 간 암호화로 메시지를 보호한다. 즉, 다른 사람이 메시지를 가로채려고 해도 발신자와 수신자만 메시지를 볼 수 있다.
전 세계 수십억 명의 사람들이 사용하고 있으며 시그널 외에도 많은 메시징 앱에서 사용되고 있다.
시그널 프로토콜은 비영리 소프트웨어 개발자 그룹인 오픈 위스퍼 시스템즈에서 2013년에 개발했다. 이 프로토콜은 오늘날 엔드투엔드 암호화 메시징의 업계 표준으로 간주되며 기술 업계의 유명 인사들이 사용하고 있다.
전체 또는 비공개 소스를 수정하여 시그널 프로토콜을 사용하는 서비스에는 다음이 포함된다:
- 신호
- 페이스북 메신저
- 스카이프
- 구글
텔레그램은 자체 MT프로토를 사용하여 메시지를 스크램블하여 기밀을 유지한다. 강력한 암호화 기술을 조합하여 발신자와 수신자만 메시지를 읽을 수 있도록 한다. 하지만, 이는 독점적인 프로토콜이며, 공개적으로 감사를 받지 않는다.
“비밀 대화”와 같은 일부 대화는 종단간 암호화를 제공하지만, 기본적으로 메시지는 텔레그램 서버에 저장된다.
Telegram by contrast does not end-to-end encrypt conversations by default. Unless you manually start an encrypted “Secret Chat”, all of your data is visible on the Telegram server. Given who uses Telegram, this server is probably a magnet for intelligence services. 3/
— Matthew Green (@matthew_d_green) May 12, 2024
암호화
위에서 언급했듯이 시그널 앱의 모든 메시지, 콘텐츠, 미디어는 엔드투엔드로 암호화된다. 암호화는 사용자의 디바이스 수준에서 이루어진다.
기본 텔레그램 암호화는 비밀 대화에서만 이 방식을 사용한다. 텔레그램에서 보내는 나머지 비공개 또는 공개 메시지는 서버-클라이언트 암호화 모델에 따라 암호화된다.
종단 간 암호화는 의도된 수신자만 데이터에 액세스하고 읽거나 들을 수 있음을 의미한다.
데이터 저장 위치
시그널과 텔레그램의 첫 번째 큰 차이점은 사용자의 데이터로 무엇을 하고 어디에 저장하는지에 있다.
시그널: 디바이스의 데이터
신호 암호화는 이 중요한 ‘사용자 데이터’ 문제를 간단하게 해결한다. 회사는 사용자의 개인 데이터, 대화, 채팅, 미디어 또는 기록을 서버나 클라우드에 저장하지 않는다. 대신 모든 사용자 데이터를 사용자 디바이스의 로컬에 있는 암호화된 데이터베이스에 저장한다.
예를 들어 일시적으로 오프라인 상태인 디바이스로 메시지가 전송되는 경우 시그널은 서버에서 엔드투엔드 암호화된 메시지를 대기열에 넣을 수 있다. 이 경우에도 모든 메시지는 종단 간 암호화되므로 시그널은 물론 그 누구도 메시지를 볼 수 없다.
시그널은 운영 목적으로 무작위로 생성된 인증 토큰, 키, 푸시 토큰 및 통화를 설정하고 메시지를 전송하는 데 필요한 기타 자료 등 최소한의 기술 정보를 서버에 저장한다. 하지만 사용자 데이터는 절대 저장하지 않는다.
텔레그램: 클라우드 내 데이터
반면, 텔레그램은 개인정보 취급방침에서 스스로를 클라우드 서비스라고 지칭하고 있다. 즉, 비밀 대화 데이터를 제외한 사용자의 메시지, 사진, 비디오, 콘텐츠, 연락처, 문서, 그룹은 텔레그램 앱이 아닌 클라우드 서버에 저장된다.
텔레그램은 이 방법을 통해, 사용자들은 어떤 기기에서든 백업에 접근할 수 있으며, 데이터는 여러 서버에 분산된 암호화 키로 강력하게 암호화되어 있다.
개인 사용자 데이터를 클라우드에 저장하는 것과 자체 디바이스에 저장하는 것에는 장단점이 있지만, 이 경우 클라우드 보안 침해 및 데이터 유출의 위험이 항상 존재하기 때문에 온디바이스 데이터가 클라우드보다 더 중요하다.
비밀 채팅
텔레그램의 비밀대화 기능을 사용하는 사용자는 종단간 암호화를 받을 수 있다. 비밀 대화는 특히 프라이버시 보호에 중점을 둔 메시징 앱에 있어서 매우 인상적인 기능인 것 같다.
그렇다면 시그널에는 왜 비슷한 기능이 없을까? 답은 간단하다.
시그널에서 전송되는 모든 메시지는 모두 종단간 암호화가 적용되기 때문에, 비밀 대화로 간주할 수 있다. 반면, 텔레그램은 비밀 대화와 비밀 대화를 통해 공유되는 콘텐츠 또는 미디어에 대해서만 종단간 암호화를 적용한다.
텔레그램의 공개 및 비공개 메시지, 미디어, 연락처, 위치는 엔드투엔드 암호화가 되지 않는다 (위에서 언급했듯이, 클라우드에 저장된다).
사라지는 메시지
두 회사에서 제공하는 또 다른 기능은 사라지는 메시지이다. 시그널에서는 사용자가 사라지는 메시지를 설정, 사용자 지정 및 관리할 수 있다. 사용자는 개인정보 설정을 통해 새 대화 또는 특정 그룹에 대해 사라지는 메시지를 기본값으로 설정할 수 있다.
사라지는 메시지의 시간(시그널은 최대 4주까지 제공)이 끝나면 해당 메시지의 데이터는 삭제된다.
텔레그램은 공개나 비공개 대화가 아닌, 비밀대화에서만 사라지는 메시지 기능을 제공한다. 텔레그램에서 자동 소멸 메시지를 보내려면, iOS에서는 입력란의 시계 아이콘을 탭하고, 안드로이드에서는 상단 표시줄에서 시간 제한을 선택하면 된다.
두 앱 모두 조회 후 자동으로 삭제되는 동영상이나 기타 유형의 콘텐츠를 공유하려는 사용자를 위해 한 번만 보기(사라짐) 미디어를 제공한다.
시그널과 텔레그램의 대안
시그널과 텔레그램이 마음에 들지 않는다면, 다른 보안 메시징 앱도 살펴볼 수 있다. Threema는 스위스에 본사를 둔 강력한 프라이버시 경쟁자이다. 모든 메시지를 엔드 투 엔드 암호화하고 전화번호 없이도 등록할 수 있다. 하지만 사용자 기반이 시그널이나 텔레그램에 비해 작다.
사라지는 메시지와 익명성을 우선시하는 분들을 위해 Wickr Me는 강력한 암호화 및 영구화 기능을 제공한다. Wickr Me의 인터페이스는 학습 곡선이 더 가파를 수 있다는 점을 염두에 두자.
최근 몇 년 동안 WhatsApp과 iMessage와 같은 일부 주요 옵션에서도 엔드투엔드 암호화를 구현했다. 이러한 옵션은 이미 해당 생태계에 속한 사용자에게는 편리한 선택일 수 있지만, 데이터 저장 관행과 전반적인 개인정보 보호 정책을 조사하여 정보에 입각한 결정을 내리는 것이 중요하다.
시그널과 텔레그램 비교: 전문가 조언
보고서를 마무리하며, 테코피디아는 이 문제에 대해 공개적으로 의견을 제시한 전문가들의 의견을 몇 가지 공유하고자 한다. 결국, 자신에게 가장 적합한 메시징 앱을 결정하는 것은 사용자 자신이라는 점을 기억하자.
전 BBC 뉴스 기술 진행자이자 “#TheFutureTECHShow”의 진행자로도 유명한 Waseem Mirza는 다음과 같이 말했다:
“메시징 앱의 우위를 차지하기 위한 경쟁에서 보안은 종종 화려한 기능보다 우선시된다. 따라서 시그널과 텔레그램을 비교했을 때, 완벽한 암호화를 제공하는 시그널이 우위를 점하고 있다.
“이렇게 생각하시면 된다: 시그널은 채팅을 위한 포트 녹스이고, 텔레그램은 일반 은행으로 안전하지만 백도어가 있어 법원 명령에 의해 열릴 수 있다고 생각하면 된다.
“최고 수준의 보안이 최우선이라면, 시그널은 여러분의 개인 병사가 될 것이다. 기능과 유연성을 더 중요시한다면, 텔레그램이 더 적합할 수 있다.”
Stephen Kowski, SlashNext의 현장 CTO는 이렇게 말했다:
“시그널이 더 안전한 선택이다. 시그널은 기본적으로 종단간 암호화(E2EE)를 제공하는 반면, 텔레그램은 “비밀대화”를 활성화해야만 E2EE를 사용할 수 있다. 시그널의 프로토콜(시그널 프로토콜)은 오픈 소스이며, 독립적인 감사를 받고 있으며, WhatsApp과 구글 메시징 서비스와 같은 메시징 앱을 뒷받침하는 데 사용된다.”
“텔레그램의 백엔드는 비공개 소스이며, MT프로토 프로토콜을 사용한다.
일반적으로 안전하다고 여겨지지만 시그널 프로토콜과 같은 감시/투명성이 부족하다.”
지브텍 설립자인 캐시 메릴 또한 다음과 같이 언급했다:
“저는 시그널이 더 안전하다고 생각한다. 항상 엔드투엔드로 암호화하기 때문이다;
“텔레그램은 더 많은 기능을 가지고 있고 꽤 멋지지만, 보안이 최우선이라면 당연히 시그널을 선택할 것이다.”
또한, 존스홉킨스의 매튜 그린암호학 교수의 최근 트위트 스레드에서 시그널에 대한 텔레그램의 최근 주장을 자세히 살펴보는 것을 추천한다.
결론
메시징에 관한 모든 대화에서 개인정보 보호는 가장 중요하게 고려되어야 한다. 가족끼리 고양이 밈 정도만 주고받는다면 예방 조치를 덜 취할 수 있을 것이다.
그러나 모든 대화는 일반적으로 개인 정보나 사적인 생각을 드러내는 방향으로 흐르기 마련이므로 사적으로 나눈 대화는 사적으로 유지된다는 보장이 있어야 한다.
사적인 대화에 있어서는 시그널이 더 강력한 보안을 가지고 있다는 다수의 의견에 기대고 있지만, 9억 명이 넘는 사용자들이 텔레그램을 사용하는 이유에는 편리하고 빠르며 모바일 친화적이라는 점이 있다.
메시지 버튼을 누르기 전에 직접 조사하여 자신의 요구 사항과 개인정보 보호 수준을 결정할 것을 적극 권장한다.
출처
- 텔레그램과 시그널의 대결에서 엘론 머스크는 한때 자신이 옹호했던 앱의 보안에 의문을 제기한다. (비즈니스 인사이더)
- 엘론 머스크의 트윗 (트위터)
- Matthew Green의 트윗 (트위터)
- 사라지는 메시지 설정 및 관리하기 (시그널지원)
- 쓰리마 공식 웹사이트 (쓰리마)
- Wickr 공식 웹사이트 (Wickr)
- Waseem Mirza (LinkedIn)
- Waseem Mirza (YouTube) (YouTube)
- J Stephen Kowski (LinkedIn)
- 슬래시넥스트 공식 웹사이트 (슬래시넥스트)
- 캐시 메릴 (LinkedIn)
- 지브텍 공식 웹사이트 (Zibtek)
- Matthew Green의 트윗 (트위터)