미국 행정부 핵심인사들이 무료 민간 메신저 앱 '시그널'을 통해 민감한 사안들을 논의했다는 사실이 백악관에 의해 확인되면서 관심이 쏠리고 있다.
미군 차원의 예멘 후티 반군에 대한 공습을 논의하는 단체 대화방에 제프리 골드버그 '더 애틀랜틱' 편집장이 실수로 초대된 것이다.
척 슈머 민주당 상원 원내대표가 역사상 "가장 놀라운" 군사 기밀 유출 사건 중 하나라고 비난하며 수사를 촉구하는 등 이번 사건은 큰 파장을 불러일으켰다.
그렇다면 '시그널' 앱은 무엇이며, 해당 앱을 통해 나눈 고위 관료들의 대화는 얼마나 안전하게 보안이 지켜졌을까.
보안 앱
시그널의 월간 사용자 수는 4000만~7000만 명으로 추정되는데, 이는 사용자 수가 수십억 명에 달하는 '왓츠앱'이나 '메신저'에 비하면 매우 작은 규모다.
그러나 시그널이 선두를 달리는 분야가 있으니 바로 보안이다.
그리고 그 핵심이 종단 간 암호화(E2EE) 방식이다.
간단히 말해 발신자와 수신자만 메시지를 읽을 수 있어 시그널 앱 측에서도 메시지에 접근할 수 없다는 의미다.
왓츠앱 등 다른 메신저 앱 또한 종단 간 암호화 방식을 사용하고 있으나, 시그널의 보안 기능은 차원이 다르다. 예를 들어 해당 앱을 작동시키는 코드는 오픈 소스 형태이기에 해커가 악용할 만한 구멍은 없는지 누구나 확인할 수 있다.
또한 시그널 측은 사용자 이름, 프로필 사진, 사용자가 속한 그룹에 대한 기록 등이 전혀 저장되지 않는 등 사용자로부터 수집하는 정보가 훨씬 적다고 말한다.
또한 수익 극대화를 위해 이러한 기능을 포기할 필요도 없다. 시그널은 광고 수익이 아닌 미국의 비영리 단체인 '시그널 재단'의 소유다.
시그널의 메러디스 휘태커 대표는 최근 불거진 미국 국가 안보 문제 이후 X를 통해 "시그널은 사적인 대화의 최적 표준"이라고 표현했다.
'매우, 매우 이례적'
이렇듯 '최적 표준'이라는 주장 덕에 사이버 보안 전문가 및 언론인들도 해당 앱을 종종 사용한다.
하지만 이 정도의 보안 수준도 극도로 민감한 국가 안보 문제에 관한 최고위급 관료들의 대화용으로는 충분하지 않다고 여겨진다.
우선 휴대전화를 통한 소통에는 피할 수 없는 위험이 존재한다. 바로 사용자가 안전하게 다루어야 안전하다는 것이다. 만약 누군가가 시그널 앱을 사용 중인 여러분의 휴대전화에 접근한다면, 혹은 비밀번호를 알게 된다면 모든 메시지 내용을 볼 수 있게 되는 것이다.
그리고 세상 그 어떤 앱도 여러분이 공공장소에서 전화기를 사용할 때 누군가가 어깨너머로 보는 것을 막을 수 없다.
- 미 기밀문건 유출 용의자 잭 테세이라에 대해 알려진 내용은?
- 우크라 봄철 공세부터 한국의 무기 지원 고민까지 … 유출된 기밀문건의 주요 내용
- 트럼프와 JD밴스, 중국과 연계된 해킹 공격 받았을 가능성
미국 행정부와 함께 일한 바 있는 데이터 전문가 카로 롭슨은 고위급 보안 당국자들이 시그널과 같은 메신저 플랫폼에서 소통하는 일은 "매우, 매우 이례적인" 일이라고 지적했다.
"보통은 매우 높은 수준으로 암호화된, 정부가 소유하고 운영하는 매우 안전한 정부 시스템을 사용한다"는 것이다.
그러면서 롭슨은 사용되는 기기 또한 "매우 안전하게 정부가 통제하는 장소"에 보관된다고 말했다.
미국 정부는 역사적으로 국가 안보 문제를 논의할 때 '민감 특수 정보 시설(SCIF)'을 이용해왔다.
SCIF는 개인 전자기기의 반입이 금지된, 고도의 보안 구역이다.
롭슨은 "이런 종류의 기밀 정보를 그저 열람하기 위해서도 특정 방이나 건물 안에 있어야 하며, 이러한 장소에는 도청 장치 유무 확인 검사가 수시로 이루어진다"고 설명했다.
SCIF는 군 기지에서부터 정부 관료들의 자택에 이르기까지 다양하다.
롭슨은 "정부 자체의 최고 수준의 암호화를 통해 시스템 전체가 대규모로 암호화되고 보안이 유지된다"고 했다.
"특히 국방과 관련되면 더욱 그렇습니다."
암호화 및 기록
시그널과 관련된 또 다른 문제는 바로 메시지가 사라진다는 점이다.
다른 많은 메시지 앱과 마찬가지로 시그널 사용자도 일정 시간이 지나면 메시지가 사라지도록 설정할 수 있다. 골드버그 편집장은 자신이 초대된 시그널 대화방의 일부 메시지가 실제로 일주일 뒤 사라졌다고 했다.
앱을 사용하는 이들이 자신의 메시지를 공식 정부 문서로 전달하지 않았다면 이는 기록 보관과 관련한 법률 위반일 수도 있다.
한편 이는 E2EE와 관련된 첫 번째 논란이 아니다.
지금껏 세계 여러 정부가 메시지 서비스에 '백도어'를 만들어 자국 안보에 위협이 될 만한 메시지를 읽어내고자 시도했다.
그러나 시그널, 왓츠앱과 같은 플랫폼은 이러한 백도어 생성에 반대하며, 결국 이는 악의적인 사용자들에 의해 악용될 것이라 말한다.
지난 2023년, 시그널은 만약 의회의 압박으로 보안 수준을 낮춰야 한다면 영국에서는 아예 철수하겠다고 위협한 적도 있다.
올해 영국 정부는 클라우드 저장소에서 특정 파일을 보호하고자 E2EE를 사용하는 '애플사'와 갈등을 빚기도 했다. 영국 정부가 E2EE를 통해 보호되는 데이터에 대한 접근권을 요구하자, 애플사는 영국에서는 아예 해당 기능 서비스를 완전히 철수한다고 밝혔다.
이와 관련한 법적 소송은 여전히 진행 중이다.
하지만 이번 기밀 유출 논란에서도 알 수 있듯이 엉뚱한 사람과 기밀을 공유한다면 보안 수준도, 법적 보호도 그리 중요하지 않다.
한 비평가는 이렇게 직설적으로 말했다.
"암호화는 어리석음으로부터 여러분을 지켜주지 못합니다."
- 정치인들은 왜 자꾸 기밀문서를 두지 말아야 할 곳에 둘까
- 미 기밀유출: 우크라 관련 기밀문건, 누가 유출했으며 그 이유는?
- 미 국방부 문서 유출 … 어떻게 온라인에서 퍼졌나?
- '기밀 반출' 기소된 도널드 트럼프, 법정서 무죄 주장
Copyright ⓒ BBC News 코리아 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
