"텔레그램이 안전하다고? 암호화 기술, 기초적 수준"
김승주 고려대 교수 "자체 암호화기술 구축…보안 위협 존재해" (서울=뉴스1) |주성호 기자 2014-10-08 15:05:21  송고
공유
 © News1


"텔레그램이 비밀채팅 방에 구현한 암호화 기술은 가장 기초적인 수준입니다. 그들 스스로도 자신들이 최고의 보안성을 가진 메신저가 아니라고 주장하고 있고 전문가들이 분석할 때도 텔레그램보다 보안성이 우수한 메신저는 많습니다."

'카톡 검열' 논란으로 인해 독일산 메신저인 '텔레그램'을 사용하는 국내 이용자수가 150만명을 돌파한 가운데, 텔레그램의 보안성이 기대와 달리 매우 뛰어난 수준은 아니라는 전문가 지적이 나왔다.

김승주 고려대 정보보호대학원 교수는 8일 뉴스1과 통화에서 보안성이 뛰어난 것으로 알려진 독일산 스마트폰 메신저 '텔레그램(Telegram)'에 대해 "텔레그램이 구축한 암호화기술은 기초적인 방식"이라며 "최고 수준이라고 보기 어렵다"고 밝혔다.

텔레그램은 러시아판 '페이스북'으로 불리는 '브콘닥테'를 설립한 파벨·니콜라이 드로브 형제가 2013년 8월 출시한 모바일 메신저다. 우크라이나 분리독립과 관련해 러시아 당국이 시위 참가자들의 브콘닥테 사용내역을 제출할 것을 요구하자, 이에 반발한 드로브 형제가 독일에서 개발했다.

수학자 출신인 니콜라이 드로브가 수학적 알고리즘을 이용해 자체 암호화 기법을 마련했고 파벨 드로브가 운영이 필요한 자금을 대고 있다. 텔레그램은 사용자간 1:1 채팅에서 '비밀대화' 모드를 지원한다. 비밀대화 모드에서 사용간의 대화내용은 모두 암호화되고 서버에도 저장되지 않아 보안성이 뛰어나다고 알려졌다.

이를 위해 텔레그램은 보안기술로 256비트 AES(Advanced Encryption Standard) 알고리즘과 RSA(Rivest Shamir Adleman) 2048 시스템, 디피-헬맨(Diffie-Hellman) 방식을 사용하고 있다.

우선 AES는 일대일 비밀대화에서 두 사람의 대화내용을 암호화하는데 사용되는 알고리즘이다. 그리고 RSA와 디피-헬맨은 사용자간에 암호화된 내용을 풀 수 있는 키(Key)를 사용자끼리 서로 분배하는 기술방식이다. 3가지 기술 모두 종단간 암호화(end-to-end encryption)의 핵심으로 현재 국제 정보통신기술표준으로 채택돼 전 세계적으로 널리 사용되고 있다.

모바일 메신저 텔레그램. © News1


김승주 교수는 "텔레그램이 쓰고 있는 AES와 RSA, 디피-헬맨 방식은 암호화 방면에서 가장 기초적인 방식"이라며 "게다가 텔레그램은 국제표준으로 전문가 사이에서 인정받고 있는 표준 보안기술 대신 MT프로토라는 자체 개발기술을 쓰고 있다"고 말했다.   

김 교수는 "많은 전문가들도 텔레그램의 자체 암호화 메커니즘을 우회하는 기술은 얼마든지 있다고 지적한다"며 "해당 기술이 '제3자 중간공격' 등에 취약하다는 관련논문도 있다"고 강조했다. 그는 "수학자가 알고리즘을 개발했지만 수학자가 곧 보안전문가는 아니기에 취약점이 존재할 수밖에 없다"고 덧붙였다. 

게다가 텔레그램의 대화내용 암호화는 일대일 비밀대화에만 적용된다. 3명 이상이 참여하는 그룹대화방에는 사용자간 암호화 기술이 적용되지 않고 서버에 저장된다. 이는 3명 이상이 참여하는 그룹 채팅에 종단간 암호화를 구현하려면 '공개키 기반구조(PKI)'를 채택해야 하는데 텔레그램은 엄격한 의미에서 전문가들이 권고하는 수준을 마련하지 못했다. 그룹 채팅에 종단간 암호화를 구축할 경우 많은 트래픽이 몰리면서 서버 과부하로 앱 실행 속도가 느려질 수도 있기 때문이다.

실제 미국의 한 보안전문가가 스냅챗, 왓츠앱 등 미국의 대표적인 메신저와 텔레그램, 쓰리마(Threema), 시처(Sicher) 등을 비교해본 결과 쓰리마와 시처가 텔레그램보다 보안성이 뛰어난 것으로 나타났다. 쓰리마와 시처의 경우 텔레그램이 일대일 대화방에만 적용한 종단간 암호화 기술을 모든 채팅방에 적용하고 있다. 

김승주 교수는 국내에서 텔레그램 사용자가 급증하는 것과 관련해 "카카오톡과 기술적 우위나 차이점은 논하기 어렵다"면서 "초기 검열 논란 당시 다음카카오가 적절하게 대응을 못하면서 많은 이용자들이 불신을 품었기 때문으로 보인다"고 말했다. 김 교수는 당분간 사이버 망명은 지속될 것이라고 예상했다.

한편 이날 다음카카오는 보도자료를 통해 이용자 보호를 위해 프라이버시 모드를 연내 도입한다고 밝혔다. 이를 위해 다음카카오는 종단간 암호화 기술(end-to-end encryption) 기술을 도입할 계획이다.
sho218@
광고
▶ 뉴스1 100% 무료 만화 서비스 오픈!!
목록

<저작권자 ⓒ뉴스1코리아, 무단전재 및 재배포 금지>

 
클릭인포
  • 비즈라이프
  • 내가본정보