안녕하세요? 연휴 잘 보내고 계시는지요? ^^

여탑에서도 텔레그램에 대한 글이 자주 올라오고 있어서, 오늘은 텔레그램의 보안성에 대해 FAQ 형식으로 리뷰해보겠습니다.

저는 보안 전문가가 아니기 때문에 어디까지나 아마추어 수준에서의 분석이라는 점을 염두에 두고 읽어주시면 감사하겠습니다.

1. 텔레그램이란 무엇인가요?

텔레그램은 러시아의 개발자인 니콜라이 두로프, 파벨 두로프 형제가 개발한 오픈 소스 인터넷 모바일 메신저로서,

현재 독일 Telegram Messenger LLP사가 운영하고 있습니다.

이렇게 설립 및 운영이 다소 복잡한 이유는, 두로프 형제가 본국의 사찰을 피해 독일에 망명한 후에 책임제한조합을 설립했기 때문입니다.

그들은 백만장자이기 때문에 카카오톡과 달리 텔레그램의 모든 기능이 비영리로 제공되고 있으며, 광고가 전혀 없다는 장점이 있습니다.

2. 텔레그램이 왜 유명해졌나요?

여탑 회원님들께서도 아시다시피 2014년 카카오톡 감청이 사회적인 이슈가 된 바 있습니다. 

이를 계기로 하여 기존의 카카오톡 등을 대체하는 보안성이 높은 메신저로서 텔레그램이 큰 주목을 받았고, 그 이후로 꾸준히 이용자가 늘고 있습니다.

해외에서도 오픈 소스 프로그램으로서 널리 이용되고 있으며, 최근의 홍콩 시위에서도 많이 사용되어 또 다시 많은 주목을 받고 있습니다.

3. 텔레그램은 정말 안전한가요?

'프로퍼블리카'나 '전자프론티어재단' 등의 여러 보안기관의 테스트 결과를 놓고 말씀드리겠습니다.

이 테스트에서 CryptoCat, Scilent text, Scilent Phone, Text secure 등이 7점 만점을 회득하였습니다.

반면 텔레그램은 4~5점 정도에 그쳤습니다.

MIT의 Hayk Saribeky와 Akaki Margvelashvili가 작성한 'Security Analysis of Telegram'이란 제목의 논문에서는 다음과 같이 설명하고 있습니다.

"Our survey shows that Telegram has had serious and simple issues in the protocol that any knowledgeable security expert could penetrate."

결론적으로 텔레그램은 보안성이 잘 홍보되어 유명해졌지만, 보안 측면만 놓고보면 취약점이 존재하며 더욱 안전한 메신저는 따로 있다고 볼 수 있습니다.

참고로 드루킹의 경우에는 텔레그램이 아닌 Signal Private Messenger를 주로 이용한 것으로 알고 있습니다.

아래 표는 전자프론티어재단에서 각종 메신저 앱들의 보안성을 리뷰한 것인데, WhatsApp보다 낮은 점수를 받았습니다.

4. 텔레그램은 왜 보안 테스트에서 좋은 결과를 받지 못했는가요?

텔레그램의 보안상 취약점은 거의 '일반대화'와 관련된 것이라고 생각하시면 됩니다.

(1) 텔레그램의 일반대화는 서버에 보관됩니다.

따라서 서버에 저장된 대화내용을 특정 국가 또는 기관에 제공한다면 보안상 큰 문제가 발생하게 됩니다.

공식적인 텔레그램 운영규정을 살펴보면, 서버에 저장된 정보에 대하여 절대로 노출하지 않을 것을 보장하고 있습니다. 

그러나 보안뉴스 2017년 6월 29일자 기사(https://www.boannews.com/media/view.asp?idx=55527)에 의하면 

"텔레그램은 러시아 정부 서버에 자사 사용자의 정보를 저장하는 데 동의했다고 로이터 통신이 보도했다."라는 언급이 있습니다.

물론 국제적으로 이슈가 될 수 있는 중범죄가 아닌 이상, 텔레그램이 국내 범죄에 대해 카카오톡처럼 순순히 압수 수색 또는 감청에 응하지는 않을 것이라고 생각합니다.

(2) 일반대화는 안드로이드 폰에서 메모리에 평문으로 저장되는 위험도 있습니다.

따라서 안드로이드 폰에서는 수사기관이 굳이 서버를 압수수색하지 않더라도 증거물을 쉽게 확보할 가능성이 높습니다.

텔레그램 개발 초기부터 이러한 문제에 대한 지적이 있었지만, 이는 안드로이드 자체의 보안 취약점이기 때문에 현재까지도 개선이 되고 있지 않습니다.

5. 텔레그램의 비밀대화는 안전한가요?

(1) 텔레그램의 비밀대화는 종단 간 암호화(end-to-end encryption, E2EE)를 하고 있습니다. 

따라서 스마트폰을 압수하여 텔레그램 앱을 열어 확인하지 않는 이상, 서버를 압수하더라도 원칙적으로는 내용을 확인할 수 없습니다.

다만 텔레그램이 이용하는 MTProto라는 자체적인 암호화 프로토콜의 무결성에 대한 논란이 꾸준히 제기되어 왔습니다.

여러 리뷰를 종합해보면 복호화가 결코 불가능하지는 않다고 판단됩니다.

(2) 비밀대화의 또 하나의 장점은 안드로이드폰에서 자체적인 스크린캡쳐가 불가능하다는 점입니다.

안드로이드폰에서 스크린캡쳐 기능을 사용하려고 하면 '보안정책상 캡쳐할 수 없다'는 메시지가 뜨면서 캡쳐에 실패합니다.

한편 iOS에서는 캡쳐 자체에는 성공을 하지만, 화면을 캡쳐했다는 메시지가 대화방에 전송됩니다.

(3) 비밀대화에서는 일정 시간이 경과되면 자동으로 쌍방의 스마트 기기에서 메시지가 삭제되도록 하는 기능이 있습니다.

삭제된 메시지를 기술적으로 복구할 수 있는 방법이 있는지는 모르겠지만, 어지간한 중범죄가 아닌 이상 수사기관이 이를 시도하지는 않을 것입니다.

다만 이와 같은 비밀대화는 윈도우 버전에서는 지원하지 않는다는 한계가 존재합니다.

결론적으로 완전무결하지는 않지만, 일반대화보다는 보안성이 크게 향상된다고 볼 수 있습니다.

6. 결론

텔레그램은 (1) 서버가 외국에 있고, (2) 공식적으로는 정보제공에 동의하지 않으며, (3) 비밀대화에서 종단 간 이중 암호화를 사용한다는 장점이 있습니다.

다만 (1) 암호화에 사용되는 프로토콜의 취약점이 존재하며, (2) 일반대화가 서버에 그대로 저장된다는 점 등을 놓고보면, 

일반적으로 알려진 것처럼 완벽한 보안 메신저라고 보기는 어려울 것입니다.

그렇지만 텔레그램의 보안성을 전반적으로 놓고보면 국내 메신저를 이용하는 것보다는 안전할 것으로 생각됩니다.

특히 꺼림직한 대화를 불가피하게 해야되는 경우에는 가능하면 '비밀대화'를 이용하는 것이 바람직할 것입니다.

참고로 국회의원 간 또는 국회의원과 보좌관들 간의 꺼림직한 대화에서 텔레그램의 비밀대화를 이용하는 빈도가 굉장히 높다고 알고 있습니다.

이상으로 허접한 분석글을 마치겠습니다.

언제나 그렇듯이 이 글은 짧게의 활성화를 위하여 여탑에만 올리겠습니다.

마무리는 미카미 유아로 하겠습니다 ㅎㅎ

그럼 즐거운 연휴 되시고 텔레그램을 활용하여 즐달하세요 ^^