Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
디지털 디바이스 / 모바일 / 보안 / 소셜미디어 / 안드로이드 / 애플리케이션 / 웹서비스 / 컨슈머라이제이션

‘보안평가’ 낙제 받은 ‘구글•페이스북•스냅챗…EFF

By Lucian Constantin  | IDG News Service 2014.11.07
구글 행아웃, 페이스북 채팅, 야후 메신저, 스냅챗 등 전세계적으로 널리 쓰이는 메신저 앱이 보안 평가에서 최하위 점수를 받았다.

EFF(Electronic Frontier Foundation, 전자 프런티어 재단)는 널리 사용되는 메신저 앱 39개를 대상으로 개인 정보 보호와 보안에 관한 7가지 항목을 평가했다. 검사 대상에는 모바일 텍스트 앱, 인스턴트 메시지 클라이언트, 음성 및 비디오 채팅 앱, 이메일 서비스가 포함됐으며, 자세한 결과는 EFF의 보안 메시징 스코어카드(Secure Messaging Scorecard) 페이지에서 볼 수 있다.

EFF는 각 메신저 앱에 대한 취약점을 평가하거나 암호화 구현에 관한 심층 기술 분석을 진행하지 않았다. 대신, 온라인 서비스 업체에게 사용자 데이터를 요구하는 정부의 광범위한 인터넷 감시로부터 개인 정보를 보호할 때 필요한 원칙과 기능에 관한 자체적인 기준을 명시했다.

다음은 EFF가 메신저 앱 서비스를 평가 기준으로 내세운 항목이다.

- 전송 과정에서 데이터를 암호화하는가?
- 서비스 업체가 사용자 데이터에 액세스할 수 없도록 대화는 암호화되는가? 이 기준은 사용자 클라이언트 간 커뮤니케이션에 암호화 키를 필요로 하는, 즉, 종단간 암호화(End to End Encryption)를 구현해야 한다.
- 서비스 업체가 만일 해킹되더라도, 사용자가 다른 경로로 신원을 확인할 수 있는 대역 외 검증(Out of Band Authentication)을 지원하는가?
- 사용자의 개인 키가 유출되더라도 기존 대화 데이터는 안전하게 보호되는가? 이 항목은 순방향 비밀성(Forward Secrecy)으로, 모든 세션에 대한 임시 암호화 키를 사용하는 암호화를 구현해야 한다.
- 통신 및 암호화를 위한 코드는 제삼자가 검토할 수 있는가?
- 암호화 설계는 잘 문서화되어 있는가? 앱의 암호화 및 인증 알고리즘, 암호화 키 생성, 저장 및 교환 메커니즘, 키 갱신 및 변경 과정에 대한 설명, 앱이 제공하려는 보호 기능과 안전하지 않은 시나리오에 대한 기술 등이 여기에 포함된다.
- 제품의 설계 및 구현은 최근 12개월간 독립적인 보안 감사를 실시했는가? 같은 조직 내에서 제품 개발팀과는 독립된 보안팀이 실시한 감사로도 충분하다.

EFF의 요구사항을 모두 충족한 6개 앱 가운데 하나인 크립토캣(Cryptocat)

39개의 메신저 앱 가운데 다음 6개 앱이 EFF의 요구사항을 모두 충족했다.

- 크립토캣(CryptoCat) : 웹기반의 인스턴트 메신저 애플리케이션
- 챗시큐어(ChatSecure) : 안드로이드 및 iOS용 암호화 채팅 클라이언트
- 텍스트시큐어(TextSecure) : 안드로이드용 텍스트 메신저 앱
- 레드폰(RedPhone) : 안드로이드용 암호화 전화 앱
- 사이런트 텍스트와 사일런트 폰(Silent Text and Silent Phone) : 보안 커뮤니케이션 업체 사일런트 서클(Silent Circle)이 만든 암호화 텍스트 및 전화 앱

EFF의 요구사항 가운데 6 개 항목을 만족한 앱은 6개로, 메일벨로프(Mailvelope), 레트로셰어(RetroShare), 서브로사(Subrosa), 짓시(Jitsi), 아디움(Adium), 피진(Pidgin)이 있다.

대중적으로 사용되는 메신저 앱 가운데 애플의 아이메시지(iMessage)와 페이스타임(FaceTime)의 점수가 가장 높았으며, 제삼자의 코드 검토 가능성과 대역 외 검증 항목을 만족하지 못했다. EFF는 아이메시지와 페이스타임은 정교한 표적 감시에 대해 완벽하지 않다고 전했다.

구글 행아웃, 페이스북 챗, 야후 메신저, 스냅챗, 왓츠앱, 바이버(Viber), AIM, 블랙베리 메신저(BlackBerry Messenger) 등 다른 대중적으로 사용되는 메신저 앱은 7개 요구사항 가운데 1개 또는 2개만 만족하는 등 최하위의 점수를 기록했다. 해당 메신저 앱들은 종단 간 암호화 통신을 지원하지 않았다.

남아프리카에서 가장 인기 있는 모바일 소셜 네트워크인 엠시트(Mxit)와 중국에서 가장 널리 쓰이는 인스턴트 메신저 서비스인 QQ는 EFF의 요구사항을 하나도 충족하지 못했다. editor@itworld.co.kr
 Tags 모바일 메신저 보안 채팅 앱

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.