해커스랩

왓츠앱 암호화 했다고 안전할까?

지난 5일 왓츠앱(WhatsApp)은 모든 사용자에 대하여 end-to-end 암호화 적용을 완료했다고 발표했다. end-to-end 암호화는 외부 인터페이스로 메시지를 볼 수 없으므로 안전하다고 한다. 과연 안전할까? 믿어도 좋을까?

대서특필된 뉴스에 묻혔던 의문은 이렇다. 왓츠앱은 페이스북이 190억 달러를 주고 인수한 페이스북 소유 서비스다. 10억명 이상의 실 사용자가 하루 640억통 이상 주고 받는 메시지를 페이스북이 과연 그대로 놓아 둘까? end-to-end 암호화가 왓츠앱 메시지 프라이버시를 완벽하게 보장해 줄까?

더인터셉트(The Intercept)誌 저널리스트 미카 리는 왓츠앱 개인정보 보호 약관을 상세히 읽다가 의문이 가는 문구를 발견했다. 약관에 의하면 왓츠앱은 왓츠앱 서비스를 이용해 전송된 메시지의 날짜, 시간, 받는 사람 번호를 보관할 수 있다는 내용이다. 즉 왓츠앱은 사용자가 주고받는 메시지 내용만 서버에 저장하지 않는다고 주장하는 셈이다. 메시지 내용을 모르더라도 시간, 받는 사람, 보내는 사람 정보는 공격자에게 있어 여전히 중요하다. 어쩌면 정부가 이 정보를 왓츠앱에 요청할 수도 있을 것이다.

 

 

 

페이스북의 메신저 서비스 인수는 많은 사람들은 궁금해 했다. 왓츠앱 인수 이전에 왓츠앱이 제공했던 보안을 페이스북은 과연 제공할까? 당시 왓츠앱 설립자 Jan Koum은 페이스북에 인수된다고 해서 달라지는 건 전혀 없다고 강조했지만 과연 그렇게 될까? 페이스북의 그간 행보를 몇 가지만 예를 들어 보자.

페이스북이 사용자 개인정보 프라이버시를 침해한다는 주장은 제기된 사례는 이 밖에도 많으며, 그 중 가장 유명한 것은 작년 9월 유럽 사법재판소의 판결이다. 페이스북 회원인 오스트리아의 법대생 막스 슈렘스는 지난 2011년 페이스북이 자신의 회원 활동에서 비롯된 데이터를 너무도 세세한 것까지 모두 보관한다는 것을 알게 되었다. 마치 구 동독 비밀경찰의 행태와도 같다고 생각한 그는 페이스북이 개인정보 보호와 활용에 관련된 유럽 법률 22건을 위반했다고 제소했다.

때마침 2013년 전 미국 국가안보국(NSA) 계약직이었던 에드워드 스노든의 폭로로 미국 정부가 유럽인의 정보를 광범위하게 수집해 온 사실이 드러났다. 페이스북은 유럽 페이스북 회원 정보를 미국 서버에 저장하고 있기 때문에 슈렘스는 페이스북이 자신의 정보를 미국 정보의 감청으로부터 보호하지 않는다고 주장했다.

 

 

아일랜드 위원회는 세이프 하버 협정을 이유로 이 소송을 기각했다. 세이프 하버 협정이란 EU와 미국이 맺은 협정으로, EU는 개인정보를 적절하기 보호하지 않는 국가에 유럽인의 개인정보를 전송하는 것을 법으로 금지하고 있지만, 미국 IT 기업은 충분한 보호를 제공하고 있다고 간주해 전송을 허용한다는 내용을 골자로 한다.

하지만 유럽사법재판소는 세이프 하버 협정을 맺었다고 해서 미국으로 전송된 유럽인의 정보에 대한 보호가 보장되는 것은 아니며, 미국 정부가 해당 데이터에 접속하는 것을 EU 위원회로서는 막을 도리가 없으므로 세이프 하버 협정은 무효라는 판결을 작년 9월 내린 바 있다.

페이스북의 사용자 프라이버시 보호에 관한 좋지 못한 평판은 IS의 매뉴얼에도 강조되어 있다. 미 육군사관학교의 테러대응센터(Combating Terrorism Center, CTC)가 입수한 IS의 온라인 가이드 매뉴얼에 의하면 안전한 메시지 앱으로 Threema, 텔레그램, SureSpot, Wickr, Cryptocat, PQChat, Sicher, 애플 아이메시지를 사용하는 것이 안전하고, 페이스북 앱은 평판이 안 좋아 사용을 피해야 한다고 나와 있다.

이 밖에도 지면상 열거하지 못한 페이스북의 사용자 정보 수집에 대한 유별난 사랑과 프라이버시 침해 사례는 너무도 많다. end-to-end 암호화 적용으로 왓츠앱이 정말 안전해 졌을까? 한가지 확실한 것은 세상사 모든 일이 겉으로 보이는 것과 실제가 항상 같지는 않다는 것이다. 왓츠앱의 앞으로의 행보가 크게 주목된다.

 

Update(2016.4.12. 10:28): 전문가들은 왓츠앱의 약관 관련해서 메시지 전송 날짜/시간/수신자 번호를 보관하는 것은 정부나 수사기관에 자료 제공 목적이라기 보다는 e2ee 구현의 한계 때문이라고 지적했다. e2ee는 서버가 암호화된 것을 풀지 못하므로 받는 사람 번호까지 암호화하면 사실상 메시지를 전달하지 못하는 결과를 가져 온다는 것. HEADER까지 암호화 하지 않고 BODY만 암호화 하는 이메일과 마찬가지 이치로, 사용자 관점에서는 싫을 수 있겠지만 이것이 현재 메신저 앱의 한계라고 강조했다.