압수수색과 감청에 안전한 메신저 사용법

파리를 비롯한 연이은 테러로 국제적인 지탄을 받고 있는 IS가 주요 통신 수단으로 ‘텔레그램’을 사용하고 있다는 보도가 있었습니다. 또한, IS가 주요 메신저 앱의 보안 등급을 가장 안전, 안전, 보통, 불안전 등 4단계로 평가했다는 보도도 있었습니다. 이에 따르면, 사일런트서클, 레드폰, 오스텔, 챗시큐어, 시그널 등이 ‘가장 안전’ 등급을 받았습니다. 텔레그램은 ‘안전’ 등급입니다. 아이메시지, 구글 행아웃, 페이스북 메신저 등은 ‘보통’ 등급을 받았고, 네이버 라인이나 카카오톡은 ‘불안전’ 등급을 받았습니다. 구체적인 평가 근거는 모르겠지만, 다른 곳에서 내린 메신저 보안 등급과 대체적으로 다르지 않습니다. 레드폰, 챗시큐어, 시그널 등은 우리 <디지털 보안 가이드>에서도 추천하는 앱입니다. EFF의 메신저 보안 평가에서도 비슷한 평가를 내리고 있습니다.

테러와 암호화

테러리스트들이 보안 메신저를 쓰는 것에 대해서 세계적인 논란이 벌어지고 있습니다. 각 국의 정보, 수사 기관은 IT 기업들의 보안 조치가 테러범에 대한 수사를 어렵게 한다고 불평하고 있습니다. 정보, 수사기관이 메시지에 접근할 수 있도록 소위 ‘뒷문(back door)’을 제공해야 한다는 요구도 합니다. 그러나 IT 기업들과 시민사회는 이에 반발하고 있습니다. 정부 기관에 제공하는 ‘뒷문’이 인터넷 전체의 보안을 오히려 위태롭게 할 수 있다는 것이지요. 문 앞 카펫 아래에 열쇠를 숨겨 놓고 정부에게 그 위치를 알려준다면, 과연 그 정보가 도둑들에게 새어나가지 않으리라 보장할 수 있을까요? ‘뒷문’이 존재하는 한, 정부 뿐만 아니라 언제든지 도둑(악의적인 해커)들도 들어올 수 있는 것이지요. 무엇보다 정부도 언제든지 내 집에 들어와 수색할 수 있는데 정부를 믿을 수 있을까요? 아무도 모르게 전 세계 통신을 대량 감청한 미국의 국가안보국(NSA)이든, RCS라는 해킹 소프트웨어를 사용한 한국의 국가정보원이든 정부를 믿을 수 없도록 만든 것은 그들 자신입니다. 강도가 칼을 사용한다고 칼을 금지할 수 없듯이, 테러리스트가 암호를 사용한다고 암호에 허점을 만들어서는 이용자의 안전과 프라이버시를 더욱 위협하게 될 것입니다. 이용자들은 자신의 프라이버시를 지키기 위해 IT 기업에 더 나은 보안을 요구하고 있습니다. 더 나은 보안을 제공하지 않는 IT 기업은 이용자들에게 외면 받을 것입니다.

종단간 암호화와 보안 메신저

인터넷을 사용할 때, 전화를 할 때, 메신저를 사용할 때 누군가 엿듣기를 원하지 않는다면, 통신 내용을 ‘암호화’ 해야 합니다. 메시지가 내 기기에서 출발하여 상대편 기기에 도착할 때까지 암호화되어 있어야 합니다. 이를 종단간(end-to-end) 암호화라고 합니다.

애초에 카카오톡은 종단간 암호화를 하지 않았습니다. 카카오톡 서버와 내 휴대전화 사이에서는 암호화되지만, 카카오톡 서버에는 암호화되지 않은 상태로 저장이 됩니다. 그래서 카카오톡 서버 압수수색을 통해서 수사기관이 이용자들의 메시지에 접근할 수 있는 것입니다. 지난 2014년 카카오톡 압수수색 논란 이후, 카카오톡도 ‘종단간 암호화’ 기술을 적용하는 프라이버시 모드를 도입하였습니다. 이는 1:1 비밀대화 기능에 먼저 적용되었고, 이후 그룹 채팅방으로 확대 적용되었습니다. 프라이버시 모드를 사용하면, 서버에 암호화된 형태로 저장된다고 합니다. 그러나 카카오톡은 서버가 국내에 있기 때문에, 일반 채팅의 경우에는 여전히 압수수색 (및 감청) 위협에 노출되어 있습니다.
해외 인권활동가들은 앞서 안전하다고 평가받은 레드폰, 챗시큐어, 시그널 등을 사용할 것을 권장하고 있습니다. (이에 대한 소개는 <디지털 보안 가이드>를 참고하세요.) 문제는 메신저는 사회적인 도구라는 것이죠. 나 혼자 사용하는 것이 아니라, 다른 사람들도 사용해야 합니다. 따라서 내가 소통하고자 하는 사람들 다수가 함께 새로운 보안 메신저로 옮겨가지 않는 한, 아무리 보안이 좋아도 큰 의미가 없을 수 있습니다. (물론, 필요하다면 챗시큐어 등 보안 메신저로 소통하고자 하는 그룹 전체가 결의하여 옮겨가는 것도 하나의 방법입니다. 그 그룹 내에서만 해당 메신저를 쓰고 다른 사람과는 다른 메신저로 소통하면 되니까요.)

텔레그램 사용시 주의점

국내에서 카카오톡 대신 많이 쓰는 보안 메신저는 텔레그램입니다. 텔레그램은 앱도 있고, PC용 프로그램도 있으며, 웹으로도 접속할 수 있어서 편리하죠. 텔레그램 역시 종단간 암호화를 제공합니다. 서버가 해외에 있어서 국내 수사기관이 접근하기 쉽지 않으며, 비밀채팅을 사용하면 서버에도 남지 않는다고 합니다.

그러나 주의해야 합니다! 텔레그램을 사용한다고 모든 면에서 보안이 되는 것은 아닙니다. 예를 들어, 여러분의 스마트폰을 압수 당할 경우 텔레그램 메시지가 그대로 노출될 수 있습니다. (그래서 휴대전화 암호화를 해야합니다.) 메시지를 삭제하거나 방을 폭파해도, 혹은 아예 텔레그램 앱을 삭제해도 (눈에는 보이지 않아도) 스마트폰 안 어딘가에 그 내용이 저장되어 있어서 포렌식을 통해 복구될 수도 있습니다. 한국의 수사기관이 사용하는 포렌식 프로그램이 텔레그램 복구 기능을 갖고 있는지는 모르겠으나, 필요하다면 언제든지 만들 수 있을 것입니다. PC의 텔레그램 프로그램에서도 함부로 접근하지 못하도록 암호 설정을 해두는 것이 좋겠죠. (Settings → Advanced 에서 ‘turn on local password’를 클릭하여 암호 설정을 합니다.) 더욱 보안이 우려된다면, PC의 텔레그램 프로그램은 사용하지 않아야 하겠죠.