정용환 기자
시그널(Signal)은 전자프론티어재단이 정한 가장 안전한 메신저 리스트에서 최고 평가를 받은 앱으로 보안성 덕분에 미국 상원 의원 사이에서 공식 연락 수단으로 채택됐다. 하지만 일론 머스크 등은 시그널의 보안성에 회의적인 시각을 보이며 텔레그램(Telegram)과 함께 시그널 보안성을 부정하는 캠페인을 펼치고 있다.
이번 일은 5월 7일 보도에서 시그널 이사회 의장인 캐서린 마허(Katherine Maher)가 과거 미국 정부가 지원하는 국가전복 공작원이었고 자유롭고 개방된 인터넷에 반대하기 때문에 시그널이 위험에 노출되어 있다고 지적하면서 비롯됐다.
머스크는 이에 대해 시그널에는 대응되지 않은 알려진 취약점이 있다고 비판했다. 그의 글에는 시그널은 알려진 취약점에 적절히 대응하고 있으며 그 상황을 보여주는 커뮤니티 노트가 달렸다. 트위터 창업자 잭 도시 역시 이 글에 몰랐다는 댓글을 남겼다.
또 텔레그램에서는 머스크 등의 협력을 얻어 시그널이 안전하지 않다고 비난하는 캠페인을 벌이고 있다. 실제로 텔레그램 CEO 파벨 두로프(Pavel Durov)는 텔레그램이 시그널보다 안전하다고 홍보하고 있으며 존스홉킨스대 매튜 그린 교수는 그 목적이 활동가를 암호화된 시그널에서 암호화가 거의 되지 않은 텔레그램으로 전환시키기 위한 것이라고 지적한다.
그린 교수에 따르면 오픈소스로 개발된 시그널 프로토콜은 암호학자에 의해 철저히 검토를 받아 업계 골드스탠더드가 되었다고 한다.
반면 텔레그램은 시크릿 챗을 수동으로 시작하지 않는 한 기본적으로 대화를 엔드투엔드 암호화할 수 없어 모든 데이터를 텔레그램 서버에서 볼 수 있고 종종 정보기관 조사를 받는다. 하지만 두로프 CEO는 텔레그램에는 재현 가능한 빌드가 있지만 시그널에는 없다고 비판한다.
이에 대해 그린 교수는 시그널은 오픈소스로 개발되어 페어플레이(FairPlay) 암호화가 적용된 iOS 버전에서 소스코드 검토가 어렵지만 텔레그램이 소개한 iOS 빌드 재현 방식은 탈옥된 아이폰이 필요하고 앱 전체를 검증할 수 없으며 일부 파일은 암호화된 채로 확인이 불가능해 형편없다고 지적했다. 그린 교수는 더 나아가 이런 텔레그램 성격상 시크릿 챗 모드라도 실제로는 기밀이 아니라고 본다고 말했다.
시그널 대표 메러디스 휘테커(Meredith Whittaker)는 시그널이 데이터가 의도한 사람 외에는 전달되지 않게 암호화를 사용하며 시그널 프로토콜이 업계 골드스탠더드이며 정기적으로 전문가 감사를 받고 있으며 대규모 정보보안 연구자 검증을 거치기 때문에 악의적인 변경사항은 즉시 발견될 것이라며 머스크 등의 지적에 반박했다. 그는 또 비영리단체라 높은 가격에 인수되려고 허위 주장할 이유가 없으며 가령 누군가 시그널을 인수해도 501(c)(3) 조항에 따라 그 돈은 사명에 재투자될 것이라고 말했다.
이원영 기자
이석원 기자
