본문 바로가기 주메뉴 바로가기 검색 바로가기
이란 사용자의 메시지, ‘이 앱’으로 두드러지게 숨긴다
상태바
이란 사용자의 메시지, ‘이 앱’으로 두드러지게 숨긴다
나호프트는 암호화 기술을 이용해 채팅을 임의로 뒤섞인 단어로 변환한다. 인터넷에 연결할 수 없을 때도 메시지 보호 기능을 지원한다.
By LILY HAY NEWMAN, WIRED US

그 어느 때보다 이란 정부의 인터넷 통제와 감시, 검열이 심각해진 현재, 이란인의 표현의 자유를 보장할 안드로이드 앱이 새로 등장했다.

‘숨겨진’이라는 의미를 지닌 페르시아어 단어에서 이름을 따온 앱인 나호프트(Nahoft)는 페르시아어 문자 1,000자를 임의의 단어 배열로 변경하는 암호화 툴이다. 텔레그램과 왓츠앱, 구글 챗 등 어떤 커뮤니케이션 플랫폼을 사용하든 상관없이 친구에게 임의의 단어가 뒤섞인 문자를 전송하면, 기기에 실행되는 나호프트 앱이 사용자가 전송한 메시지를 해석한다.

2021년 9월, 샌프란시스코에 본거지를 둔 인권 및 시민 자유 단체인 유나이티드 포 이란(United for Iran)이 구글 플레이에 배포한 나호프트 앱은 이란의 인터넷 단속 문제를 여러 측면으로 다루고자 설계된 앱이다. 코드화된 메시지를 생성하는 것은 물론이고, 대화를 암호화하면서 의미를 알아차릴 수 없는 이미지 파일을 심어둔다. 바로 ‘스테가노그래피(steganography)’라는 암호화 기법을 적용한 것이다. 수신자는 나호프트를 사용해 최종적으로 이미지 파일을 조사하고는 숨겨진 메시지를 추출한다.

이란인은 보안 커뮤니케이션 기능을 위해 왓츠앱과 같은 최종 암호화 메시지 앱을 사용할 수 있으나 오픈소스 앱인 나호프트는 왓츠앱과 같은 앱에 접근할 수 없는 이들에게 필요한 중요한 기능을 숨겨두었다. 지금까지 알려진 바에 따르면, 이란 정권은 특정 지역이나 이란 전역에 거의 전면적인 인터넷 차단을 시행했다. 그 대표적인 예시로 2019년 11월, 일주일 내내 인터넷을 차단한 사례를 이야기할 수 있다. 그러나 나호프트 앱을 다운로드했다면, 인터넷 연결이 없더라도 기기로 메시지 기능을 사용할 수 있다. 암호화하고자 하는 메시지 내용을 입력하면, 나호프트가 메시지 내용을 코드화된 페르시아어 메시지로 변환한다. 이 과정에서부터 임의로 배열된 듯한 단어 배열을 작성하나 나호프트 앱의 다른 사용자가 휴대전화로 메시지 내용을 읽을 수 있다. 그러고 나서 앱에 수동으로 입력해 상대가 전하고자 하는 메시지를 읽을 수 있다.

1979년, 이란 혁명 당시 살아남아 12살에 해외로 도피한 유나이티드 포 이란의 총괄인 피루제 마흐무디(Firuzeh Mahmoudi)는 “이란의 인터넷이 차단되면, 대중은 이란에 거주하는 가족과 해외에 거주하는 가족과 모두 소통할 수 없다. 또, 사회운동가에게는 자신의 의견 표출 활동 중단이라는 문제가 발생한다”라고 말했다. 이어, 그는 “정부가 갈수록 검열 단계를 강화하고 여러 디지털 플랫폼을 금지하면서 SNS와 같은 국제적 서비스를 대체할 플랫폼을 개발하고자 한다. 그리 훌륭한 행보는 아니다. 대중이 원하지 않는 방향으로 이어진다. 따라서 나호프트를 개발하게 되었다”라고 설명했다.
 
[사진=Nahoft 홈페이지]
[사진=Nahoft 홈페이지]

이란은 인터넷 연결 수준이 높은 국가이다. 이란 전체 국민 8,300만 명 중, 5,700만여 명이 인터넷을 사용한다. 그러나 최근 몇 년간 이란 정부는 이른바 국가 정보 네트워크(SHOMA)라는 이름으로 알려진 대규모 국가 통제가 이루어지는 네트워크 혹은 인트라넷 개발에 지나치게 집중했다. 국가 정보 네트워크는 이란 정부의 데이터 분류와 검열 수준을 강화하면서 SNS부터 프록시와 VPN 등 우회 툴까지 각종 특정 서비스를 차단할 능력을 부여한다.

이 때문에 나호프트가 커뮤니케이션 플랫폼이 아닌 사용자 기기에서 직접 제 기능을 하는 앱으로 해외에서 설계되었다. 전면 인터넷 차단이 이루어지기 전에 나호프트 앱을 다운로드해야 한다. 그러나 유나이티드 포 이란의 전략 보좌관인 레자 가지누리(Reza Ghazinouri)는 일반적으로 이란에서 구글 플레이에 접근할 수 있다면, 이란 정부는 나호프트 앱을 차단하기 매울 어려울 것이라고 설명한다. 구글 플레이 트래픽이 암호화돼, 이란의 감시 세력은 자국민이 다운로드한 앱을 볼 수 없다. 지금까지 나호프트의 누적 다운로드 횟수는 4,300만 회이다. 가지누리는 이란 정부가 자체 앱스토어를 개발해 해외에서 제공하는 앱 서비스를 모두 차단할 수 있으나 지금 당장 정부 차원의 앱스토어 개발은 먼 미래의 일이라고 말한다. 일례로 중국은 화웨이 등 자국 테크 업계 대기업에 유리한 기회를 제공하기 위해 구글 플레이를 차단하고, iOS 앱스토어는 정부의 입맛에 맞추어 엄선된 버전으로만 제공한다.

가지누리는 2012년, 언론인인 모하마드 헤이다리(Mohammad Heydari)와 함께 나호프트 개발 아이디어를 고안하고는 2020년에 시작된 유나이티드 포 이란의 제2차 이란큐베이터(Irancubator) 테크 가속 전략의 일종으로 제출했다. 텍사스주에 본거지를 둔 채로 인터넷 자유를 중시하는 비영리 개발 단체인 오퍼레이터 파운데이션(Operator Foundation)이 나호프트를 제작했다. 독일 사이버 보안 기업인 큐어53(Cure53)이 나호프트 앱과 암호화 계획을 두고 두 차례 보안 감사를 진행해, 입증된 프로토콜임을 확인했다. 유나이티드 포 이란은 감사 결과를 큐어53이 발견한 문제점을 수정할 방안을 상세히 설명한 보고서와 함께 공개했다. 2020년 12월 진행된 초기 앱 검토 당시 큐어53은 사진 파일에 메시지를 심기 위해 사용하는 스테가노그래피 기법의 중대한 취약점을 포함한 몇 가지 주요 보안 문제를 발견했다. 처음 발견된 취약점 모두 2차 감사 전에 수정돼, 결과적으로 안드로이드의 서비스 거부 취약점과 같은 문제를 더 훌륭하게 해결하고 인앱 자동 삭제를 우회하게 되었다. 모든 문제는 정식 출시 전 해결됐으며, 나호프트 앱 자체 깃허브 저장소에는 보안 개선사항 관련 주목할 내용이 포함되었다.

이란 국민이 정부 감시와 제한을 피하고자 의존하는 앱이 지닌 위험성은 매우 심각하다. 암호화 구축에 존재하는 결함은 무엇이든 개인의 비밀 대화, 그리고 더 나아가 개인의 안전까지 위험에 빠뜨릴 수 있다. 가지누리는 유나이티드 포 이란이 실제 앱 사용 도중 발생할 수 있는 모든 문제를 예방했다고 말한다. 예를 들어, 나호프트가 생성하는 임의의 단어 배열은 눈에 띄지 않고 심각한 피해를 주지 않는 것처럼 보이도록 특수 설계되었다. 현실 세계에 존재하는 단어를 사용하면서 콘텐츠 스캔 프로그램이 코드화된 메시지를 분류할 확률이 줄어들었다. 또, 오퍼레이터 파운데이션 관계자와 협력한 유나이티드 포 이란 연구팀은 현재 존재하지만 널리 판매되지 않는 스캔 툴이 코드화된 단어를 감지하지 않는다는 사실을 확인했다. 이 덕분에 정부 검열로 암호화된 메시지를 감지하고는 차단 필터를 생성하게 될 확률이 낮다.

사용자는 나호프트 앱 실행 시 사용할 패스코드와 함께 앱에 메시지를 입력할 때, 모든 데이터를 제거하는 ‘파괴 코드’를 설정할 수 있다.

가지누리는 “항상 안전한 소통 수단이 필요한 지역사회와 대중의 안전을 위한 소통 수단 제작 노력을 펼치고 관련 툴을 개발한다고 주장하는 이들 사이의 간격이 존재했다. 유나이티드 포 이란은 그 간격을 좁히고자 한다. 나호프트는 오픈소스 앱이므로 다수 전문가가 직접 코드를 감사할 수 있다. 암호화는 대중에게 신뢰하도록 요구하기만 하는 수단이 아니며, 유나이티드 포 이란도 사용자가 나호프트 앱을 맹신할 것이라고 기대하지는 않는다”라고 설명했다.

브라운대학교 암호학자인 세니 카마라(Seny Kamara) 박사도 2020년 학계 키노트인 ‘대중을 위한 암호화(Crypto for the People)’에서 가지누리와 비슷한 주장을 펼쳤다. 그는 일반적으로 암호화 질문과 암호화 툴 생성이 이끄는 힘과 장점이 종종 특정 지역사회가 소외된 집단에 필요한 요소를 간과하고 무시한다고 주장했다.

카마라 박사는 나호프트의 코드나 암호화 설계 감사에 참여하지는 않았으나 와이어드에 나호프트의 목표가 대중이 만들고, 대중을 위한 기능을 제공하는 암호화 툴 개발이라는 생각에 부합한다고 밝혔다.

카마라 박사는 “나호프트가 얻고자 하는 목표 측면에서 테크 업계와 학계가 기본적으로 해결해야 할 중대한 보안 및 프라이버시 문제를 다룬 훌륭한 사례라고 생각한다”라고 말했다.

이란의 인터넷 자유가 빠른 속도로 악화되는 상황에서 나호프트가 이란 내부와 그 외 다른 국가에서도 소통 창구를 개방한 상태로 유지할 중대한 역할을 할 것이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
A New App Helps Iranians Hide Messages in Plain Sight
이 기사를 공유합니다
RECOMMENDED