신뢰할 수 있는 암호화 통신 앱 Signal: 왜 머스크와 스노든이 추천하는가?

이 글은 2021년 1월 18일 신랑 과학에 발표되었습니다.

프라이버시에 초점을 맞춘 메시지 서비스인 Signal은 한때 매우 소수의 사용자만 있었지만, 최근 미국에서 다운로드 수가 가장 많은 애플리케이션으로 급부상하며 오랜 인기 소셜 미디어 애플리케이션과 게임들을 초월했습니다. Signal이 급부상한 배경에는 여러 가지 이유가 있습니다. 예를 들어, 자주 사용하는 메시지 애플리케이션인 WhatsApp의 정책 변화, 미국 의회 난동 사건으로 인해 많은 기술 회사들이 트럼프의 계정을 차단한 것, 그리고 새로운 세계 최고 부자인 일론 머스크(Elon Musk)가 올린 트위터 메시지 등이 있습니다.

여러 사람이 며칠 동안 Signal을 사용하여 WhatsApp을 대체하기 시작하면서 사용자가 급증했고, 서버의 부하도 극한에 달했습니다. 지난 금요일, Signal은 서비스 장애가 발생했으며, 하루 후인 토요일에 Signal은 서비스가 복구되었다고 응답했습니다.

1월 7일, 테슬라 창립자인 머스크는 트위터에 "Signal을 사용하세요"라는 메시지를 올리며 비슷한 이름의 회사 Signal Advance의 주가를 급등시켰습니다. 사실, 후자는 단지 작은 의료 기술 회사일 뿐입니다. 머스크가 언급한 것은 이 암호화 메시지 애플리케이션이며, Signal은 머스크의 이 메시지로부터 많은 혜택을 받았습니다.

그 이후로 Signal은 애플 앱 스토어와 구글 플레이에서 미국의 다운로드 수가 가장 많은 애플리케이션이 되었습니다. 다운로드 수의 폭증으로 인해 신규 사용자가 등록할 때 문자 인증 코드를 받기 위해 오랜 시간을 기다려야 했습니다.

그 전날, 머스크는 트위터에 미국 의회 난동 사건에서 페이스북이 맡은 역할을 비난하는 메시지를 올렸습니다. 이 사건에서 미국 대통령 트럼프의 지지자들은 선거 부정의 음모론을 퍼뜨렸지만, 미국 의회가 바이든의 승리를 확인하는 것을 막지 못했습니다. 머스크의 발언은 연쇄 반응을 일으켰고, 사용자들은 페이스북을 전면적으로 비난하기 시작했습니다. 처음에는 문제가 있었던 "캠퍼스 여학생 평가 사이트"에서부터 미국 의회가 "한 남자에게 제어당했다"는 주장까지 이어졌습니다.

한편, 며칠 전인 1월 4일, 페이스북 소속의 WhatsApp은 업데이트된 개인정보 보호 정책을 발표했습니다. 많은 사람들은 이를 사용자가 페이스북 광고 네트워크와 개인 정보를 공유해야 한다고 해석했습니다. 페이스북은 WhatsApp 메시지가 계속 암호화되며, WhatsApp 연락처 등의 정보는 페이스북과 공유되지 않을 것이라고 명확히 밝혔습니다. 그럼에도 불구하고 많은 사용자들이, 일부는 머스크의 호소에 따라, 다른 암호화 메시지 애플리케이션인 텔레그램으로 전환했습니다. 현재 Signal과 텔레그램은 미국 앱 스토어에서 다운로드 수가 각각 1위와 2위입니다.

하지만 머스크의 호소도 무작정 나온 것이 아닙니다. 최근 페이스북과 트위터를 포함한 많은 기술 회사들이 트럼프와 그의 추종자들의 계정을 차단하기 시작했으며, 플랫폼이 추가적인 폭력 활동에 사용되는 것을 방지하기 위해 노력하고 있습니다. 우파 소셜 미디어인 Parler 역시 타격을 받았습니다. 구글과 애플은 각자의 앱 스토어에서 이 애플리케이션을 내렸고, 아마존 AWS는 이 회사에 클라우드 서버 제공을 중단했습니다.

Signal은 이전에 개인정보 보호 권리 단체와 좌파 사회 운동가들의 지지를 받아왔습니다. 현재 Signal과 MeWe를 포함한 많은 개인정보 보호에 중점을 둔 소셜 도구들이 앱 스토어에서 상위권을 차지하고 있습니다. 이러한 애플리케이션의 인기가 어느 정도는 소통 플랫폼을 잃은 사람들이 새로운 플랫폼으로 전환한 결과인지, 그리고 이러한 애플리케이션의 암호화 특성 때문에 외부에서 실제 상황을 파악하기 어려운지는 아직 불확실합니다.

이전에 몇 가지 사회적 및 정치적 혼란이 발생한 후 Signal의 신규 사용자 수가 급증한 적도 있었습니다. 예를 들어, 트럼프가 미국 대통령으로 당선된 직후 여러 개인정보 보호 조치를 취소했을 때입니다. 지난해 봄, 미국의 "흑인 생명도 소중하다" 시위 기간 동안 Signal은 다운로드 수의 폭발적인 증가를 경험했습니다. 당시 인권 운동가들은 함께 조직하기 위해 통신 도구가 필요했으며, 동시에 사법 기관의 추적을 피해야 했습니다.

모바일 애플리케이션 분석 회사인 App Annie의 시장 통찰 책임자 아미르 고드라티(Amir Ghodrati)는 "소셜 애플리케이션의 특성과 이러한 애플리케이션의 주요 기능이 다른 사람과 소통하는 것인 만큼, 현재 발생하고 있는 사건에 기반하여 다운로드 수가 매우 빠르게 증가하는 경우가 많습니다."라고 말했습니다.

App Annie에 따르면, 지난 몇 년 동안 인터넷 개인정보 보호가 주류 주제가 되면서, 소셜 미디어 애플리케이션에 비해 사용자들이 즉시 메시징 애플리케이션에 더 많은 시간을 소비하고(2020년 상반기 평균 67% 초과), 개인정보 보호에 중점을 둔 즉시 메시징 애플리케이션에 대한 수요가 증가하고 있습니다.

Signal의 차별점

Signal은 종단 간 암호화 통신 애플리케이션으로, 모바일 버전과 데스크톱 버전이 있습니다. 사용자는 이 애플리케이션을 통해 메시지를 보내고, 전화를 걸거나 영상 통화를 할 수 있으며, 플랫폼 자체의 제3자는 메시지 내용을 볼 수 없습니다. 누군가 사용자가 보낸 메시지를 가로채더라도, 그것은 일련의 난독화된 문자로 보입니다.

예를 들어, 경찰은 Signal을 통해 전송된 메시지를 얻을 수 없습니다. 이러한 메시지의 내용이 정치 활동이든 음란 사진이든 상관없이 말입니다. 시위자들은 경찰의 감시를 받지 않고 소통하고 조직할 수 있는 방법을 제공하는 Signal을 매우 선호합니다. 2016년, 대배심은 Signal에 데이터 제공을 요구하는 소환장을 발부했지만, 결국 유용한 정보를 얻지 못하고 사용자가 Signal 계정을 등록한 시점과 마지막 로그인 시간을 확인하는 것에 그쳤습니다. 반면, 암호화되지 않은 메시지 애플리케이션은 전송된 메시지를 사법 당국에 제공할 수 있습니다.

2014년, 전설적인 소프트웨어 엔지니어이자 "화이트 해커"인 무크시 마를린스파이크(Moxie Marlinspike)가 Signal을 설립했습니다. 이 애플리케이션은 비영리 조직에 의해 개발되었으며, 대형 기술 회사에 인수될 가능성이 낮습니다. 기술 회사의 제품과 달리 Signal은 광고를 표시하지 않으며 사용자 데이터를 판매하지 않습니다. Signal의 운영은 전적으로 기부에 의존하며, 공동 창립자인 브라이언 액턴(Brian Acton)이 제공한 5천만 달러의 대출이 포함됩니다. 액턴은 WhatsApp의 공동 창립자입니다. WhatsApp도 Signal의 암호화 프로토콜을 사용하지만, 2014년에 페이스북에 인수되었습니다. 비평가들은 WhatsApp이 인수된 이후 그 안전성이 Signal보다 떨어질 것이라고 우려하고 있습니다.

Signal은 오픈 소스 소프트웨어이므로 다른 사람들이 코드를 다운로드하거나 복사할 수 있습니다. 창립 팀이 제안한 사명은 종단 간 암호화를 일상화하는 것이며, 미래에 Signal 자체가 사라지더라도 중요하지 않습니다. 마를린스파이크는 지난해 10월 인터뷰에서 "우리가 개발한 기술이 어디에나 존재하도록 최선을 다한다면, 우리는 다른 일에 집중할 수 있습니다."라고 말했습니다.

Signal은 또한 몇 가지 단점이 있습니다. 예를 들어, 새로운 연락처가 추가될 때마다 알림이 전송되며, 통신 양쪽 모두가 해당 애플리케이션을 사용할 때만 안전한 통신이 가능합니다. 그러나 많은 사람들은 그 개인정보 보호 기능이 일반인에게는 충분하다고 생각합니다. 다시 말해, 이 애플리케이션은 사용하기 쉽고 일반적으로 안전합니다. 보안을 더욱 강화하고 싶다면, 종종 더 복잡한 프록시 메커니즘을 통해 통신 양쪽을 숨겨야 합니다.

Signal은 소셜 미디어에서의 일대다 전파가 아닌 점대점 통신에 더 집중하고 있습니다. 그러나 최근 이 애플리케이션은 음성 그룹 채팅의 인원 제한을 5명에서 8명으로 늘렸고, 채팅 그룹의 인원 제한도 1000명으로 증가시켰습니다. 또한 Signal은 배경화면과 이모티콘과 같은 새로운 기능도 출시했습니다. 지난해 여름, Signal은 시위자의 신원을 노출하지 않고 시위 활동 비디오를 공유할 수 있도록 자동으로 얼굴을 흐리게 하는 도구를 발표했습니다.

Signal의 최근 인기는 시위 활동 참여자들, 이번에는 우파 인사들에 의해 촉진된 것으로 보입니다. 미국 의회 난동 사건 이후 소셜 미디어 회사들이 플랫폼 콘텐츠 검열에 더 공격적인 입장을 취하기 시작하면서, 많은 사람들이 통신 내용을 비밀로 보장할 수 있는 애플리케이션으로 전환할 가능성이 높습니다.

WhatsApp과 Signal

많은 사용자가 WhatsApp에 실망한 근본 원인은 해당 회사의 소유자입니다. 2014년, 페이스북은 액턴과 얀 쿰(Jan Koum)이 공동 설립한 WhatsApp을 220억 달러에 인수했습니다. 그러나 수년 동안 데이터 유출 사건이 페이스북 사용자들을 괴롭혔습니다.

2018년, 페이스북은 중대한 해킹 공격을 당했으며, 5천만 개의 계정이 영향을 받았습니다. 그러나 언론 보도에 따르면, 페이스북 직원들은 2017년 12월부터 플랫폼의 사용자 계정 보안 메커니즘에 결함이 있다는 것을 알고 있었습니다. 또한, 캠브리지 애널리티카 스캔들 사건에서 페이스북은 최대 8700만 사용자의 데이터가 남용될 수 있다고 밝혔습니다.

쿰은 2018년 페이스북을 떠났고, 액턴은 이후 자비로 Signal에 5천만 달러를 투자했습니다.

반면, Signal은 비영리 Signal 재단에 의해 운영됩니다. 이 재단은 2018년 2월에 설립되었으며, 창립자는 액턴과 마를린스파이크입니다.

Signal 재단 웹사이트에 따르면, 액턴은 WhatsApp이 페이스북에 인수된 후 "고객 데이터 사용 및 정밀 광고에 대한 철학의 불일치"로 인해 떠났습니다. 5천만 달러의 자금을 제공한 후, 액턴은 현재 재단의 이사회 구성원입니다.

마를린스파이크에 따르면, Signal은 결코 벤처 자본을 받지 않았으며, 투자도 요청한 적이 없습니다. 그는 이전 인터뷰에서 "근본적으로 Signal의 프로젝트는 기술이 정상으로 돌아가고, 간단하고 투명하며, 다른 실체와 데이터를 공유하지 않기를 희망합니다."라고 말했습니다.

Signal 재단의 또 다른 이사회 구성원은 메레디스 휘태커(Meredith Whittaker)입니다. 그녀는 구글 엔지니어로 일했으며, 구글의 직원 조직을 담당했으며, 현재는 기술 산업 종사자의 권리 보호를 위해 활동하고 있습니다.

안전성 비교

종단 간 암호화 덕분에 페이스북은 사용자의 WhatsApp 채팅 기록을 얻을 수 없지만, 여전히 사용자의 다른 데이터를 얻을 수 있습니다. 여기에는 사용자의 전화번호, IP 주소, 이동 통신 네트워크 정보, 사용 시간, 결제 데이터, 캐시 및 위치 데이터 등이 포함됩니다.

2016년, 일부 사용자는 페이스북이 개인 데이터를 얻지 못하도록 선택했습니다. 그러나 WhatsApp은 최근 사용자에게 2월 8일 이전에 정보를 공유하는 데 동의하지 않으면 서비스를 완전히 사용할 수 없다고 밝혔습니다.

이전에 외부 애플리케이션이 WhatsApp 사용자의 온라인 활동을 추적할 수 있다는 보도도 있었습니다. 여기에는 사용자가 누구와 대화하는지, 언제 애플리케이션을 사용하는지, 심지어 언제 잠을 자는지까지 포함됩니다.

반면, Signal은 이 애플리케이션이 사용자의 메시지 내용, 그룹, 연락처 및 개인 정보를 수집하지 않는다고 밝혔습니다. Signal이 수집하는 유일한 정보는 사용자가 얼마나 오랫동안 등록했는지와 마지막 방문 시간입니다. Signal은 또한 오픈 소스 프로토콜을 통해 코드를 공개하여 모든 사람이 코드에 문제가 없는지 확인할 수 있도록 하고 있습니다.

에드워드 스노든(Edward Snowden)을 포함한 많은 보안 전문가들은 Signal을 신뢰한다고 밝혔습니다. 여러 유명 언론 기자들도 개인 정보 보호를 보장하기 위해 Signal을 사용하여 WhatsApp을 대체할 것을 권장했습니다.

그러나 Signal의 보안 메커니즘도 완벽하지는 않습니다. 보안 전문가들은 Signal의 새로운 기능이 사용자가 PIN 코드를 사용하여 데이터를 복구할 수 있도록 지원하는 것이 개인정보 문제를 일으킬 수 있다고 경고했습니다. 존스 홉킨스 대학교의 암호학자 매튜 그린(Matthew Green)은 "문제는 많은 사람들이 선택한 PIN 코드가 매우 약하다는 것입니다. 보안을 강화하기 위해 Signal의 시스템은 서버에서 인텔의 SGX 하드웨어 암호화 기술을 사용합니다."라고 지적했습니다.