지난 5일 왓츠앱(WhatsApp)은 모든 사용자에 대하여 end-to-end 암호화 적용을 완료했다고 발표했다. end-to-end 암호화는 외부 인터페이스로 메시지를 볼 수 없으므로 안전하다고 한다. 과연 안전할까? 믿어도 좋을까?
대서특필된 뉴스에 묻혔던 의문은 이렇다. 왓츠앱은 페이스북이 190억 달러를 주고 인수한 페이스북 소유 서비스다. 10억명 이상의 실 사용자가 하루 640억통 이상 주고 받는 메시지를 페이스북이 과연 그대로 놓아 둘까? end-to-end 암호화가 왓츠앱 메시지 프라이버시를 완벽하게 보장해 줄까?
더인터셉트(The Intercept)誌 저널리스트 미카 리는 왓츠앱 개인정보 보호 약관을 상세히 읽다가 의문이 가는 문구를 발견했다. 약관에 의하면 왓츠앱은 왓츠앱 서비스를 이용해 전송된 메시지의 날짜, 시간, 받는 사람 번호를 보관할 수 있다는 내용이다. 즉 왓츠앱은 사용자가 주고받는 메시지 내용만 서버에 저장하지 않는다고 주장하는 셈이다. 메시지 내용을 모르더라도 시간, 받는 사람, 보내는 사람 정보는 공격자에게 있어 여전히 중요하다. 어쩌면 정부가 이 정보를 왓츠앱에 요청할 수도 있을 것이다.
페이스북의 메신저 서비스 인수는 많은 사람들은 궁금해 했다. 왓츠앱 인수 이전에 왓츠앱이 제공했던 보안을 페이스북은 과연 제공할까? 당시 왓츠앱 설립자 Jan Koum은 페이스북에 인수된다고 해서 달라지는 건 전혀 없다고 강조했지만 과연 그렇게 될까? 페이스북의 그간 행보를 몇 가지만 예를 들어 보자.
- 지난 2014년 페이스북이 사용자 동의 없이 메시지 정보를 수집해 광고주에 팔았는 소송에 휘말리자 미 백악관은 2014년 미국 NSA만이 아니라 페이스북도 수백만 미국인의 데이터를 수집하고 있다는 사실을 공식 확인해 주었다.
- 페이스북은 작년 6월 사용자 동의없이 사용자 사진에서 얼굴 부분을 스캔해 얼굴 특징을 뽑아낸 탬플릿을 제작해서 페이스북 데이터에 저장해서 미 일리노이스 주의 생체정보 프라이버시법을 위반한 혐의로 소송에 직면했다.
- 페이스북은 페이스북의 “좋아요” 버튼이 포함된 웹페이지를 방문하는 페이스북에 가입하지 않은 사람의 컴퓨터에도 쿠키를 심어 온라인 활동을 몰래 조사해 왔으며, 이용 약관을 변경해 온라인 정보 수집과 이용 법위를 확장해 오다가 벨기에 법원으로부터 소송을 당했다. 벨기에 법원은 작년 11월 페이스북이 회원뿐만 아니라 비회원 개인정보를 어디에 사용하는지 설명 없이 수집하고 있으며 수집을 즉각 중단하지 않을 경우 하루 27만 달러의 벌금을 내라는 판결을 내렸다.
- 작년 7월 페이스북은 독일 법원으로부터 본명을 사용하지 않는다는 이유로 사용자 계정을 차단한 것은 부당하다는 판결을 받았다. 이 사용자는 업무 관련된 메시지를 받기 싫어 실명을 사용하지 않았는데 어느날 페이스북이 계정을 차단하고 실명을 사용할 것과, 신분증 복사본을 보내 본인 확인을 하라고 요구했다. 그런 뒤 사용자에게 아무런 통보 없이 사용자 실명으로 변경해 놓았다. 독일 법원은 독일법상 본인 확인을 위해 신분증 사본을 요구하는 행위는 금지되어 있으며, 사용자 가명을 실명으로 마음대로 변경한 페이스북의 행위는 독일 국민의 기본권인 자기결정권을 침해하는 행위에 해당된다고 설명했다.
페이스북이 사용자 개인정보 프라이버시를 침해한다는 주장은 제기된 사례는 이 밖에도 많으며, 그 중 가장 유명한 것은 작년 9월 유럽 사법재판소의 판결이다. 페이스북 회원인 오스트리아의 법대생 막스 슈렘스는 지난 2011년 페이스북이 자신의 회원 활동에서 비롯된 데이터를 너무도 세세한 것까지 모두 보관한다는 것을 알게 되었다. 마치 구 동독 비밀경찰의 행태와도 같다고 생각한 그는 페이스북이 개인정보 보호와 활용에 관련된 유럽 법률 22건을 위반했다고 제소했다.
때마침 2013년 전 미국 국가안보국(NSA) 계약직이었던 에드워드 스노든의 폭로로 미국 정부가 유럽인의 정보를 광범위하게 수집해 온 사실이 드러났다. 페이스북은 유럽 페이스북 회원 정보를 미국 서버에 저장하고 있기 때문에 슈렘스는 페이스북이 자신의 정보를 미국 정보의 감청으로부터 보호하지 않는다고 주장했다.
아일랜드 위원회는 세이프 하버 협정을 이유로 이 소송을 기각했다. 세이프 하버 협정이란 EU와 미국이 맺은 협정으로, EU는 개인정보를 적절하기 보호하지 않는 국가에 유럽인의 개인정보를 전송하는 것을 법으로 금지하고 있지만, 미국 IT 기업은 충분한 보호를 제공하고 있다고 간주해 전송을 허용한다는 내용을 골자로 한다.
하지만 유럽사법재판소는 세이프 하버 협정을 맺었다고 해서 미국으로 전송된 유럽인의 정보에 대한 보호가 보장되는 것은 아니며, 미국 정부가 해당 데이터에 접속하는 것을 EU 위원회로서는 막을 도리가 없으므로 세이프 하버 협정은 무효라는 판결을 작년 9월 내린 바 있다.
페이스북의 사용자 프라이버시 보호에 관한 좋지 못한 평판은 IS의 매뉴얼에도 강조되어 있다. 미 육군사관학교의 테러대응센터(Combating Terrorism Center, CTC)가 입수한 IS의 온라인 가이드 매뉴얼에 의하면 안전한 메시지 앱으로 Threema, 텔레그램, SureSpot, Wickr, Cryptocat, PQChat, Sicher, 애플 아이메시지를 사용하는 것이 안전하고, 페이스북 앱은 평판이 안 좋아 사용을 피해야 한다고 나와 있다.
이 밖에도 지면상 열거하지 못한 페이스북의 사용자 정보 수집에 대한 유별난 사랑과 프라이버시 침해 사례는 너무도 많다. end-to-end 암호화 적용으로 왓츠앱이 정말 안전해 졌을까? 한가지 확실한 것은 세상사 모든 일이 겉으로 보이는 것과 실제가 항상 같지는 않다는 것이다. 왓츠앱의 앞으로의 행보가 크게 주목된다.
Update(2016.4.12. 10:28): 전문가들은 왓츠앱의 약관 관련해서 메시지 전송 날짜/시간/수신자 번호를 보관하는 것은 정부나 수사기관에 자료 제공 목적이라기 보다는 e2ee 구현의 한계 때문이라고 지적했다. e2ee는 서버가 암호화된 것을 풀지 못하므로 받는 사람 번호까지 암호화하면 사실상 메시지를 전달하지 못하는 결과를 가져 온다는 것. HEADER까지 암호화 하지 않고 BODY만 암호화 하는 이메일과 마찬가지 이치로, 사용자 관점에서는 싫을 수 있겠지만 이것이 현재 메신저 앱의 한계라고 강조했다.