본문 바로가기 주메뉴 바로가기 검색 바로가기
왓츠앱 대신 시그널을 사용해야 한다?
상태바
왓츠앱 대신 시그널을 사용해야 한다?
시그널 프로토콜은 왓츠앱의 암호화를 지지한다. 그러나 페이스북의 어디서나 사용할 수 있는 메시지 서비스는 시그널만큼 훌륭하지 않다.
By K.G ORPHANIDES, WIRED UK

왓츠앱은 메시지 기능을 사용하는 이용자 수 20억 명을 돌파한 지구상에서 가장 인기 있는 커뮤니케이션 앱이다. 2014년, 페이스북이 인수하면서 왓츠앱 서비스는 최종 암호화 기능을 매일 사용되는 커뮤니케이션 기능으로 사용하며, 2016년에는 왓츠앱을 메시지 기본 설정으로 도입했다.

페이스북은 이를 위해 미국 기업가 겸 암호화 전문가 목시 말린스파이크(Moxy Marlinspike)의 오픈 위스퍼 시스템(Open Whisper Systems)과 협력해, 시그널의 암호화된 메시지 프로토콜을 통합했다. 마이크로소프트와 구글도 해당 프로토콜을 사용하면서 암호화 커뮤니케이션의 정석이 됐다.

이제 오픈 위스퍼 시스템은 시그널 메신저 LLC(Signal Messenger, LLC)로 존재하며, 시그널 재단의 한 부분이다. 이러한 리브랜딩으로 시그널 재단은 자체 앱에 더 많은 노력을 기울였다. 시그널 재단의 플래그십 시그널 앱은 완전히 발전했으며 간편하게 사용할 수 있는 보안 커뮤니케이션을 제공한다.

직접 보내는 메시지 기능과 그룹 메시지 기능과 함께 1대 1 오디오 및 영상 채팅 기능 등을 제공하며, 시그널의 쿨 오리지널(Cool Original)을 왓츠앱 대신 선택해야 할 타당한 이유가 있다. 지난해 2월, 유럽위원회는 직원에게 왓츠앱 대신 시그널을 사용하라고 권고했다.

독자 여러분은 물론이고, 여러분의 친구까지 보안 측면에서 가족에게 디즈니 플러스 패스워드를 공유하는 것과 같은 아주 사소한 대화라도 시그널을 이용해야 하는 이유를 아래와 같이 설명한다.
 
[사진=Unsplash]
[사진=Unsplash]

1. 왓츠앱보다 더 많은 업데이트 보안 기능 제공
시그널에서 먼저 새로운 보안 기능이 제공된다. 일례로 시그널은 일정 기간이 지나면 자동으로 메시지가 삭제되는 사라지는 메시지 기능을 2016년부터 제공하기 시작했다. 그러나 왓츠앱에서는 소수 사용자만이 사라지는 메시지 기능을 시범적으로 사용한다.

왓츠앱 사용자가 사용하지 않는 시그널의 다른 주요 버전 및 베타 버전 기능 중에는 ‘한 번 볼 수 있는(view-once)’ 미디어 메시지 기능과 암호화된 프로필, 지보드가 사용자의 입력 이력을 구글에 전송하는 것을 방지하기 위한 안드로이드용 인식되지 않는 키보드 스위치, 구글 드라이브 혹은 애플 아이클라우드의 암호화되지 않은 저장소에 기본으로 설정하지 않은 백업 등이 있다.

시그널은 리눅스 데스크톱 사용자를 위해 왓츠앱보다 약간 더 광범위한 전용 클라이언트를 두고 있다. 보안과 데이터 분석 분야의 사용자에게 매력적으로 다가갈 수 있는 요소이다. 반면, 왓츠앱은 사용자를 바로 웹 앱으로 연결한다.

2. 시그널은 오픈소스이다
시그널의 소스 코드는 모두 클라이언트용 GPLv3 라이센스와 서버용 AGPLv3 라이센스에 따라 면밀히 검사하고 사용할 수 있도록 누구나 볼 수 있도록 게재됐다. 즉, 시그널 앱 내에서 발생하는 일을 알 수 있다. 또, 더 유용한 부분은 코드를 검토하고 정확히 무엇을 찾고 있는지 아는 이들의 전문 지식을 활용할 수 있다는 점이다.

이 덕분에 시그널은 아래와 같은 장점을 지니고 있다.

3. 왓츠앱보다 숨겨진 취약점 존재할 가능성 적다
왓츠앱은 시그널보다 더 큰 플랫폼인 만큼 악성 코드를 지닌 채로 시작할 가능성이 크다. 그러나 왓츠앱의 코드베이스가 독점적인 폐쇄형이라는 사실은 위험한 취약성을 감지하는 데 더 오랜 시간이 걸린다는 것을 의미한다. 어떤 애플리케이션이든 취약점 때문에 문제를 겪을 수 있다. 시그널은 자체적으로 몇 가지 문제를 해결했다.

그러나 왓츠앱의 폐쇄적인 소스 코드가 의미하는 바는 (오픈 소스인 시그널 프로토콜 사용을 넘어서) 취약점을 악용한 문제가 발생하기 전까지 어떤 취약점이 존재하는지 알 수 없는 잠재적인 타깃이 많다는 사실이다. 특히 우려스러운 사례는 2019년, 왓츠앱의 데이터 통화(VoIP) 스택이 이스라엘 정보기관의 스파이웨어로 악용된 일이다.

4. 사용자가 시그널 서버 자체 운영 가능 (그러나 바람직한 행동은 아니다)
오픈소스 소프트웨어의 또 다른 장점은 사용자가 원한다면, 얼마든지 사용할 수 있다는 점이다. 개인적인 목적이든 사업을 위한 목적이든 자체적으로 시그널 서버를 원하거나 필요하지 않을 것이다. 시그널은 대규모 커뮤니케이션 플랫폼으로 설계됐으며, 실제로 규모를 축소할 의도를 지니고 있지 않다. 이를 구축하기 쉽지 않으며, 현재 쉽게 배포할 수 있도록 개별로 운영되는 버전이 없다. 

만약 기술적인 부분에 관심이 있다면, 테스트 인스턴스를 구축하고 반응을 살펴보면서 시스템 기능이 작동하는 방식과 관련, 많은 것을 배울 수 있을 것이다. 사소한 문제가 아니지만, 커뮤니티 가이드는 사용자가 시그널 서버를 가동하고 실행할 수 있도록 사용할 수 있다. 여기에는 분산형 메시지 시스템을 비롯한 일부 흥미로운 요소가 있다.

5. 페이스북을 신뢰할 수 있는가?
아마도 시그널을 선택하게 되는 가장 압도적인 이유는 페이스북이 오랫동안 보인 사용자 프라이버시 존중이 결여된 태도일 것이다. 페이스북은 데이터 수집 및 관리 부분에서 케임브리지 애널리티카 사태부터 사용자 데이터를 스마트폰 제조사와 공유하는 관행까지 경악할 정도로 끔찍한 과거 이력을 지니고 있다.

EU 법에 따라 비공개로 유지되어야 하는 왓츠앱 사용자 데이터를 신뢰할 수 없다는 사실이 이미 입증됐다. 2017년, 유럽 규제 당국은 페이스북이 광고 목적으로 왓츠앱 사용자의 휴대폰 번호를 페이스북 소셜 네트워크와 공유했다는 이유로 페이스북을 제소했다. 데이터 보호 규정의 명백한 위반 사유에 해당하는 페이스북의 사용자 데이터 공유 시스템은 사용자가 공유할 정보를 선택하는 것이 아니라 공유하지 않을 정보를 배제하도록 하는 시스템이다. 과거, 페이스북은 이러한 시스템을 절대 실행하지 않을 것이라고 주장한 바 있다.

왓츠앱의 공동 개발자 브라이언 액튼(Brian Acton)은 2017년에 페이스북에서 퇴사하고, 말린스파이크와 함께 시그널 재단을 창립했다. 액튼은 페이스북의 프라이버시 접근 방법을 강력 비판했다. 그리고, 2014년, 유럽 규제 당국에 정보를 제공할 때, 페이스북이 자신에게 “왓츠앱과 페이스북의) 데이터 병합 혹은 혼합이 실제로 발생하기는 어려울 것이라고 설명하라”라고 지시한 사실을 폭로했다.

광고와 상업적 메시지를 왓츠앱에 삽입하고, 잠재적으로는 왓츠앱의 보안을 약화한 페이스북의 바람 때문에 액튼은 일찍이 페이스북을 떠났다. 그 과정에서 8억 5,000만 달러에 달하는 주식을 포기했다. 액튼의 왓츠앱 동료 개발자 얀 쿰(Jan Koum)도 페이스북의 암호화 약화 시도 때문에 페이스북 측과 언쟁을 벌인 사실을 밝히고 퇴사했다. 그 후, 마크 저커버그는 공개적으로 최종 암호화 기능을 지지했으며, 왓츠앱의 최종 암호화 기능을 메신저 앱에도 추가할 것이라고 주장했다.

페이스북은 최근까지 왓츠앱에 광고를 추가한다는 계획 실행을 주저했다. 최근, 왓츠앱에 광고를 추가한다는 계획이 폐지됐음을 시사하는 소식이 보도됐다. 그러나 페이스북이 왓츠앱을 인스타그램 메시지, 메신저와 통합할 때, 왓츠앱에 결과적으로 어떤 일이 발생할지 확실하지 않다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Why everyone should be using Signal instead of WhatsApp
이 기사를 공유합니다
RECOMMENDED