2021.03.15

How-To : 개인정보 안전한 메신저 '시그널' 설치하기

Ian Paul | PCWorld
"지금 당장.” 이는 “시그널(Signal) 같은 암호화된 메시징 앱을 언제부터 사용하는 것이 좋을까?”라는 질문에 대한 최상의 대답이다. 에드워드 스노든이 세계에서 가장 유명한 내부 고발자가 된 이래로 디지털 프라이버시에 대한 우려가 전면에 대두됐으며, 시그널과 같은 앱이 보호에 도움이 될 수 있다. 하지만 시그널을 비롯한 암호화된 메시징 앱은 무엇이며, 어떻게 작동할까? 
 

시그널의 보안 메시징 방식

안드로이드와 iOS 양쪽을 모두 지원하는 엔드투엔드 암호화 메시징 앱은 여러 가지다. 이번 기사에서는 그중 시그널의 설치 방법을 알아본다. 시그널 메신저 LLC가 개발하고 비영리 재단인 시그널 테크놀로지 재댠(Singal Technology Foundation)이 후원하는 앱이다.

또 다른 선택지 와츠앱(WhatsApp)으로, 현재 페이스북 소유이며 시그널과 같은 기본 암호화 체계를 사용한다. 텔레그램은 암호화된 메시징 기능을 선택 사항으로 제공하는 높은 인기를 얻는 후보다. 텔레그램은 러시아에서 시작됐지만, 현재 영국에서 운영되고 있으며 운영 센터는 두바이에 있다. 
 

이 모든 앱의 공통점은 무엇일까? 바로 암호화다. 사용자의 디지털 서신이 제 3자가 해독할 수 없도록 변환됐다는 뜻이다. 이들 앱의 주요 셀링포인트는 엔드투엔드 암호화를 사용한다는 것이다. 즉, 메시지가 한 장치에서 암호화된 다음 다른 장치에서 해독된다는 뜻이다. 

암호화된 메시지는 인터넷을 통해 전송되며 메시지를 받는 대상만 해독할 수 있다. 아무리 메시지를 전송하는 서버일지라도 실제로 내용을 볼 수 없다. 예를 들어, 일반 문자 메시지나 일반 이메일의 경우에는 그렇지 않다. 

암호화된 통신은 이메일과 텍스트, 이미지, 음성 통화, 영상 채팅 등 디지털 채팅 등 모든 형태의 디지털이 될 수 있다. 

주의해야 할 또 다른 점은 전송의 양쪽에서 같은 앱을 사용해야 한다는 것이다. 예를 들어, 와츠앱에서 보낸 메시지를 시그널에서 받을 수 없다. 와츠앱 사용자는 와츠앱을 사용하는 다른 사용자와 통신하며, 시그널을 비롯한 다른 암호화된 앱 사용자도 마찬가지다. 
 

암호화 메신저를 사용하는 이유는?

사용자 중 스파이나 정치 활동가는 많지 않을 것이다. 높은 위험 부담을 안은 이야기를 쓰는 언론인도 거의 없다. 그렇다면 왜 암호화된 메시징을 사용해야 할까? 반대되는 주장이 여럿 있지만, 사적인 것을 완전히 비공개로 유지할 권리는 자유 사회의 기본이다. 더 나아가 주제가 무엇이든 다른 사람과 개인적인 견해와 아이디어를 공유하려면 감시 받지 않고 다른 사람과 소통할 수 있는 능력이 중요하다. 

중요한 사안이라도 숨길 것이 전혀 없다고 생각할 수도 있다. 하지만 문자와 이메일을 한번 훑어본다면, 다른 사람에게 알려지면 불편한 정보가 여럿 발견될 것이다. 친구와의 모임 장소, 논란의 여지가 있는 의견, 건강 상태, 휴가 계획, 신용 카드 번호, 계좌 비밀번호 등이 포함될 수 있다. 
 

암호화된 메시징 :핵심은 암호화 키

ⓒ ANTON (CC0)

암호화된 메시징은 본질적으로 문자와 숫자의 긴 문자열인 ‘키’를 사용한다. 가장 기본적인 형태는 퍼블릭 키와 프라이빗 키로 이루어진 한 쌍이다. 퍼블릭 키는 모든 사람이 보고 알 수 있다. 그러면 컴퓨터는 암호화 알고리즘과 함께 이 퍼블릭 키를 사용해 메시지를 변환한다. 

일단 변환되면, 암호화된 메시지를 읽는 유일한 방법은 프라이빗 키를 사용하는 것이다. 그런 다음 암호화된 메시지에 응답하면, 동일한 일이 반대로 수행된다. 친구의 퍼블릭 키를 사용해 메시지를 암호화하고 알 수 없게 변환된 텍스트를 보내면, 이를 받은 친구는 프라이빗 키를 사용해 메시지를 해독한다. 

메시징 앱의 암호화 체계는 오리지널 퍼블릭-프라이빗 키 체계보다 훨씬 발전했다. 예를 들어 시그널의 프로토콜은 영구 키와 임시 키의 조합을 사용한다. 임시 키는 키가 누출될 경우 노출되는 정보의 양을 제한하지 위해서 메시지별로 다시 생성된다. 또, 임시 키와 영구 키가 결합돼 통신하는 두 사람 간에 추가 공유 키를 만든다. 단 하나의 메시지를 읽는 데 필요한 영구, 임시, 공유 키가 너무 많기 때문에, 제 3자가 이들 사용자의 휴대폰 중 하나를 직접 보지 않고는 메시지를 읽는 것이 훨씬 더 어려워진다. 

이것이 시그널 같은 엔드투엔드 메신저의 작동 방식이다. 와츠앱 역시 메시징에 시그널의 암호화 프로토콜을 사용한다. 

암호화 기술은 예전보다 훨씬 복잡해졌지만, 최신 암호화 앱은 사용하기 매우 쉽다. 과거에는 암호화를 사용하려면 명령줄에 어느 정도 익숙해야 했고, 제대로 작동할 때까지 여러 번 시도해야 했다.  프라이빗 키 관리와 이메일 클라이언트에서 암호화 키 사용 방법을 알아내기도 전의 단계다. 그런 다음에도 상대방이 보완적인 암호화 도구를 사용해 이 복잡한 과정을 통과하도록 (방법을)찾거나 설득하는 과정이 필요했다.

최신 메시징 앱을 사용하는 경우에도 친구와 가족이 함께 가입해야 한다는 것이 가장 어려운 점이다. 앱이 백그라운드에서 모든 힘든 일을 처리하기 때문에 명령줄을 사용하거나 키를 수동으로 관리할 필요가 없다. 그러나 이런 단순성은 (모든 소프트웨어에 해당하는 이야기지만) 앱이 예상대로 대로 작동함을 신뢰해야 가능하다.
 

시그널 설치

시그널을 사용해 설치 과정을 살펴보겠지만, 와츠앱과 텔레그램 모두 크게 다르지 않다. 첫 번째 단계는 애플 앱 스토어 또는 구글 플레이에서 앱을 다운로드하고 설치하는 것이다. 
 
ⓒ IDG

다음으로, 앱을 처음 열면 연락처와 미디어에 액세스할 수 있는 권한이 요청된다. 시그널은 친구 중 누가 이미 시그널을 사용하고 있는지 확인하기 위해 연락처가 필요하다. 와츠앱과 텔레그램도 마찬가지다. 도움말 페이지에서 시그널이 연락처를 처리하는 방법을 참고할 수 있다. 간단히 말하면 실제 연락처 이름을 업로드하는 것이 아니라, 사용자와 일치시킬 때 사용하는 일련의 문자와 숫자를 ‘해시(hash)’ 한다고 말한다. 와츠앱 역시 해시를 사용하지만, 텔레그램은 연락처를 업로드하고 사용자가 서버에서 이들 기록을 삭제할 수 있다. 

시그널은 또한 사진과 파일을 연락처에 등록된 사람에게로 보낼 수 있도록 미디어와 파일에 대한 액세스를 요청한다. 

시그널에서 전화번호 입력을 요청하는 메시지가 표시되면 확인 코드가 문자로 전송돼 본인의 전화번호인지 확인한다. 

다음으로 사용자 이름(일반적으로 실제 이름)을 생성하라는 메시지가 표시되고 원한다면 이미지를 추가할 수 있다. 마지막으로 한번 더 개인정보를 보호하기 위해 PIN을 생성한다. 이제 시그널을 사용할 준비가 다 됐다. 

첫 번째 메시지를 보내려면 기본 화면에서 연필 아이콘을 탭한다. 연락처에서 시그널을 사용하는 사람이 있다면 알파벳 순으로 이름이 표시된다. 다른 메시징 플랫폼에서와 마찬가지로 연락처 중에서 선택하고 문자를 보내거나 음성 통화를 시작한다. 

일대일 채팅 외에도 시그널과 와츠앱은 그룹 문자 채팅, 음성 통화, 화상 통화를 지원한다. 텔레그램은 음성 통화와 화상 통화를 지원하지만, 그룹 문자 채팅은 엔드투엔드 암호화되지 않는다. 
 

암호화 메신저의 한계도 이해해야

암호화된 메시징 앱은 통신 보안을 위한 좋은 첫 번째 단계지만, 완벽한 솔루션은 아니다. 첫째, 사용자 본인의 기기에서는 메시지를 읽을 수 있다. 즉, 다른 사람이 잠금 해제된 휴대폰에 접근할 수 있는 경우, 메시지를 볼 수 있다. 

이를 개선하기 위한 조치가 여럿 있다. 시그널과 텔레그램, 와츠앱은 앱에 액세스를 허용하기 전에 지문 스캔을하도록 설정할 수 있다(휴대폰에 지문 스캐너가 있는 경우). 

다른 옵션은 메시지가 읽히지 않도록 정기적으로 삭제하거나 최소한 중요한 메시지를 삭제하는 것이다. 하지만 상대는 전화기에 대화를 저장할 수 있기 때문에 사용자 본인의 메시지만 다룰 수 있을 뿐이다. 시그널과 와츠앱, 텔레그램은 양쪽에서 메시지를 자동으로 삭제하는 기능도 있다. 하지만 대화가 삭제되기 전에 스크린 샷을 찍는 것을 막지는 않는다. 

보안 문제는 여기서 끝나지 않는다. 휴대폰 자체가 메시지를 안전하게 유지하는 데 보안 허점이 있을 수 있으며, 특이 안드로이드의 경우 더욱 그렇다. 예를 들어 이 포럼 토론에서는 특수한 서드파티 키보드가 있는 휴대폰은 키보드 자체가 정부나 악의적인 행위자에 의해 손상됐을 수 있으므로 안전하지 않을 수 있다는 점에 주목했다. 이는 시그널 자체의 문제는 아니지만, 보안 메시징 앱을 사용함에도 불구하고 악의적 행위자에게 통신을 노출할 수 있는 잠재적 허점이다. 시그널에는 이 문제를 지원하는 문서도 있다. 

와츠앱의 경우 페이스북에서 제어하는 플랫폼을 사용하는 문제도 있다. 와츠앱의 서비스 약관 변경에 대한 최근의 소동은 우려와는 완전히 다른 것으로 밝혀졌다. 그럼에도, 향후 몇 년 후 와츠앱에서 점점 더 많은 정보가 페이스북으로 넘겨질 가능성은 여전하다. 현재 와츠앱에서 페이스북과 공유되는 정보를 확인하려면 와츠앱 사이트의 FAQ를 확인한다. 

단점도 있지만, 대부분의 사람들은 시그널과 와츠앱 등의 암호화된 메시징 앱에서 혜택을 볼 수 있다. 암호화된 메시징 서비스는 사용하기 매운 쉬우면서도 개인 정보를 비공개로 유지할 수 있는 좋은 방법이다. editor@itworld.co.kr 


2021.03.15

How-To : 개인정보 안전한 메신저 '시그널' 설치하기

Ian Paul | PCWorld
"지금 당장.” 이는 “시그널(Signal) 같은 암호화된 메시징 앱을 언제부터 사용하는 것이 좋을까?”라는 질문에 대한 최상의 대답이다. 에드워드 스노든이 세계에서 가장 유명한 내부 고발자가 된 이래로 디지털 프라이버시에 대한 우려가 전면에 대두됐으며, 시그널과 같은 앱이 보호에 도움이 될 수 있다. 하지만 시그널을 비롯한 암호화된 메시징 앱은 무엇이며, 어떻게 작동할까? 
 

시그널의 보안 메시징 방식

안드로이드와 iOS 양쪽을 모두 지원하는 엔드투엔드 암호화 메시징 앱은 여러 가지다. 이번 기사에서는 그중 시그널의 설치 방법을 알아본다. 시그널 메신저 LLC가 개발하고 비영리 재단인 시그널 테크놀로지 재댠(Singal Technology Foundation)이 후원하는 앱이다.

또 다른 선택지 와츠앱(WhatsApp)으로, 현재 페이스북 소유이며 시그널과 같은 기본 암호화 체계를 사용한다. 텔레그램은 암호화된 메시징 기능을 선택 사항으로 제공하는 높은 인기를 얻는 후보다. 텔레그램은 러시아에서 시작됐지만, 현재 영국에서 운영되고 있으며 운영 센터는 두바이에 있다. 
 

이 모든 앱의 공통점은 무엇일까? 바로 암호화다. 사용자의 디지털 서신이 제 3자가 해독할 수 없도록 변환됐다는 뜻이다. 이들 앱의 주요 셀링포인트는 엔드투엔드 암호화를 사용한다는 것이다. 즉, 메시지가 한 장치에서 암호화된 다음 다른 장치에서 해독된다는 뜻이다. 

암호화된 메시지는 인터넷을 통해 전송되며 메시지를 받는 대상만 해독할 수 있다. 아무리 메시지를 전송하는 서버일지라도 실제로 내용을 볼 수 없다. 예를 들어, 일반 문자 메시지나 일반 이메일의 경우에는 그렇지 않다. 

암호화된 통신은 이메일과 텍스트, 이미지, 음성 통화, 영상 채팅 등 디지털 채팅 등 모든 형태의 디지털이 될 수 있다. 

주의해야 할 또 다른 점은 전송의 양쪽에서 같은 앱을 사용해야 한다는 것이다. 예를 들어, 와츠앱에서 보낸 메시지를 시그널에서 받을 수 없다. 와츠앱 사용자는 와츠앱을 사용하는 다른 사용자와 통신하며, 시그널을 비롯한 다른 암호화된 앱 사용자도 마찬가지다. 
 

암호화 메신저를 사용하는 이유는?

사용자 중 스파이나 정치 활동가는 많지 않을 것이다. 높은 위험 부담을 안은 이야기를 쓰는 언론인도 거의 없다. 그렇다면 왜 암호화된 메시징을 사용해야 할까? 반대되는 주장이 여럿 있지만, 사적인 것을 완전히 비공개로 유지할 권리는 자유 사회의 기본이다. 더 나아가 주제가 무엇이든 다른 사람과 개인적인 견해와 아이디어를 공유하려면 감시 받지 않고 다른 사람과 소통할 수 있는 능력이 중요하다. 

중요한 사안이라도 숨길 것이 전혀 없다고 생각할 수도 있다. 하지만 문자와 이메일을 한번 훑어본다면, 다른 사람에게 알려지면 불편한 정보가 여럿 발견될 것이다. 친구와의 모임 장소, 논란의 여지가 있는 의견, 건강 상태, 휴가 계획, 신용 카드 번호, 계좌 비밀번호 등이 포함될 수 있다. 
 

암호화된 메시징 :핵심은 암호화 키

ⓒ ANTON (CC0)

암호화된 메시징은 본질적으로 문자와 숫자의 긴 문자열인 ‘키’를 사용한다. 가장 기본적인 형태는 퍼블릭 키와 프라이빗 키로 이루어진 한 쌍이다. 퍼블릭 키는 모든 사람이 보고 알 수 있다. 그러면 컴퓨터는 암호화 알고리즘과 함께 이 퍼블릭 키를 사용해 메시지를 변환한다. 

일단 변환되면, 암호화된 메시지를 읽는 유일한 방법은 프라이빗 키를 사용하는 것이다. 그런 다음 암호화된 메시지에 응답하면, 동일한 일이 반대로 수행된다. 친구의 퍼블릭 키를 사용해 메시지를 암호화하고 알 수 없게 변환된 텍스트를 보내면, 이를 받은 친구는 프라이빗 키를 사용해 메시지를 해독한다. 

메시징 앱의 암호화 체계는 오리지널 퍼블릭-프라이빗 키 체계보다 훨씬 발전했다. 예를 들어 시그널의 프로토콜은 영구 키와 임시 키의 조합을 사용한다. 임시 키는 키가 누출될 경우 노출되는 정보의 양을 제한하지 위해서 메시지별로 다시 생성된다. 또, 임시 키와 영구 키가 결합돼 통신하는 두 사람 간에 추가 공유 키를 만든다. 단 하나의 메시지를 읽는 데 필요한 영구, 임시, 공유 키가 너무 많기 때문에, 제 3자가 이들 사용자의 휴대폰 중 하나를 직접 보지 않고는 메시지를 읽는 것이 훨씬 더 어려워진다. 

이것이 시그널 같은 엔드투엔드 메신저의 작동 방식이다. 와츠앱 역시 메시징에 시그널의 암호화 프로토콜을 사용한다. 

암호화 기술은 예전보다 훨씬 복잡해졌지만, 최신 암호화 앱은 사용하기 매우 쉽다. 과거에는 암호화를 사용하려면 명령줄에 어느 정도 익숙해야 했고, 제대로 작동할 때까지 여러 번 시도해야 했다.  프라이빗 키 관리와 이메일 클라이언트에서 암호화 키 사용 방법을 알아내기도 전의 단계다. 그런 다음에도 상대방이 보완적인 암호화 도구를 사용해 이 복잡한 과정을 통과하도록 (방법을)찾거나 설득하는 과정이 필요했다.

최신 메시징 앱을 사용하는 경우에도 친구와 가족이 함께 가입해야 한다는 것이 가장 어려운 점이다. 앱이 백그라운드에서 모든 힘든 일을 처리하기 때문에 명령줄을 사용하거나 키를 수동으로 관리할 필요가 없다. 그러나 이런 단순성은 (모든 소프트웨어에 해당하는 이야기지만) 앱이 예상대로 대로 작동함을 신뢰해야 가능하다.
 

시그널 설치

시그널을 사용해 설치 과정을 살펴보겠지만, 와츠앱과 텔레그램 모두 크게 다르지 않다. 첫 번째 단계는 애플 앱 스토어 또는 구글 플레이에서 앱을 다운로드하고 설치하는 것이다. 
 
ⓒ IDG

다음으로, 앱을 처음 열면 연락처와 미디어에 액세스할 수 있는 권한이 요청된다. 시그널은 친구 중 누가 이미 시그널을 사용하고 있는지 확인하기 위해 연락처가 필요하다. 와츠앱과 텔레그램도 마찬가지다. 도움말 페이지에서 시그널이 연락처를 처리하는 방법을 참고할 수 있다. 간단히 말하면 실제 연락처 이름을 업로드하는 것이 아니라, 사용자와 일치시킬 때 사용하는 일련의 문자와 숫자를 ‘해시(hash)’ 한다고 말한다. 와츠앱 역시 해시를 사용하지만, 텔레그램은 연락처를 업로드하고 사용자가 서버에서 이들 기록을 삭제할 수 있다. 

시그널은 또한 사진과 파일을 연락처에 등록된 사람에게로 보낼 수 있도록 미디어와 파일에 대한 액세스를 요청한다. 

시그널에서 전화번호 입력을 요청하는 메시지가 표시되면 확인 코드가 문자로 전송돼 본인의 전화번호인지 확인한다. 

다음으로 사용자 이름(일반적으로 실제 이름)을 생성하라는 메시지가 표시되고 원한다면 이미지를 추가할 수 있다. 마지막으로 한번 더 개인정보를 보호하기 위해 PIN을 생성한다. 이제 시그널을 사용할 준비가 다 됐다. 

첫 번째 메시지를 보내려면 기본 화면에서 연필 아이콘을 탭한다. 연락처에서 시그널을 사용하는 사람이 있다면 알파벳 순으로 이름이 표시된다. 다른 메시징 플랫폼에서와 마찬가지로 연락처 중에서 선택하고 문자를 보내거나 음성 통화를 시작한다. 

일대일 채팅 외에도 시그널과 와츠앱은 그룹 문자 채팅, 음성 통화, 화상 통화를 지원한다. 텔레그램은 음성 통화와 화상 통화를 지원하지만, 그룹 문자 채팅은 엔드투엔드 암호화되지 않는다. 
 

암호화 메신저의 한계도 이해해야

암호화된 메시징 앱은 통신 보안을 위한 좋은 첫 번째 단계지만, 완벽한 솔루션은 아니다. 첫째, 사용자 본인의 기기에서는 메시지를 읽을 수 있다. 즉, 다른 사람이 잠금 해제된 휴대폰에 접근할 수 있는 경우, 메시지를 볼 수 있다. 

이를 개선하기 위한 조치가 여럿 있다. 시그널과 텔레그램, 와츠앱은 앱에 액세스를 허용하기 전에 지문 스캔을하도록 설정할 수 있다(휴대폰에 지문 스캐너가 있는 경우). 

다른 옵션은 메시지가 읽히지 않도록 정기적으로 삭제하거나 최소한 중요한 메시지를 삭제하는 것이다. 하지만 상대는 전화기에 대화를 저장할 수 있기 때문에 사용자 본인의 메시지만 다룰 수 있을 뿐이다. 시그널과 와츠앱, 텔레그램은 양쪽에서 메시지를 자동으로 삭제하는 기능도 있다. 하지만 대화가 삭제되기 전에 스크린 샷을 찍는 것을 막지는 않는다. 

보안 문제는 여기서 끝나지 않는다. 휴대폰 자체가 메시지를 안전하게 유지하는 데 보안 허점이 있을 수 있으며, 특이 안드로이드의 경우 더욱 그렇다. 예를 들어 이 포럼 토론에서는 특수한 서드파티 키보드가 있는 휴대폰은 키보드 자체가 정부나 악의적인 행위자에 의해 손상됐을 수 있으므로 안전하지 않을 수 있다는 점에 주목했다. 이는 시그널 자체의 문제는 아니지만, 보안 메시징 앱을 사용함에도 불구하고 악의적 행위자에게 통신을 노출할 수 있는 잠재적 허점이다. 시그널에는 이 문제를 지원하는 문서도 있다. 

와츠앱의 경우 페이스북에서 제어하는 플랫폼을 사용하는 문제도 있다. 와츠앱의 서비스 약관 변경에 대한 최근의 소동은 우려와는 완전히 다른 것으로 밝혀졌다. 그럼에도, 향후 몇 년 후 와츠앱에서 점점 더 많은 정보가 페이스북으로 넘겨질 가능성은 여전하다. 현재 와츠앱에서 페이스북과 공유되는 정보를 확인하려면 와츠앱 사이트의 FAQ를 확인한다. 

단점도 있지만, 대부분의 사람들은 시그널과 와츠앱 등의 암호화된 메시징 앱에서 혜택을 볼 수 있다. 암호화된 메시징 서비스는 사용하기 매운 쉬우면서도 개인 정보를 비공개로 유지할 수 있는 좋은 방법이다. editor@itworld.co.kr 


X