2014.11.07

‘보안평가’ 낙제 받은 ‘구글•페이스북•스냅챗…EFF

By Lucian Constantin | IDG News Service
구글 행아웃, 페이스북 채팅, 야후 메신저, 스냅챗 등 전세계적으로 널리 쓰이는 메신저 앱이 보안 평가에서 최하위 점수를 받았다.

EFF(Electronic Frontier Foundation, 전자 프런티어 재단)는 널리 사용되는 메신저 앱 39개를 대상으로 개인 정보 보호와 보안에 관한 7가지 항목을 평가했다. 검사 대상에는 모바일 텍스트 앱, 인스턴트 메시지 클라이언트, 음성 및 비디오 채팅 앱, 이메일 서비스가 포함됐으며, 자세한 결과는 EFF의 보안 메시징 스코어카드(Secure Messaging Scorecard) 페이지에서 볼 수 있다.

EFF는 각 메신저 앱에 대한 취약점을 평가하거나 암호화 구현에 관한 심층 기술 분석을 진행하지 않았다. 대신, 온라인 서비스 업체에게 사용자 데이터를 요구하는 정부의 광범위한 인터넷 감시로부터 개인 정보를 보호할 때 필요한 원칙과 기능에 관한 자체적인 기준을 명시했다.

다음은 EFF가 메신저 앱 서비스를 평가 기준으로 내세운 항목이다.

- 전송 과정에서 데이터를 암호화하는가?
- 서비스 업체가 사용자 데이터에 액세스할 수 없도록 대화는 암호화되는가? 이 기준은 사용자 클라이언트 간 커뮤니케이션에 암호화 키를 필요로 하는, 즉, 종단간 암호화(End to End Encryption)를 구현해야 한다.
- 서비스 업체가 만일 해킹되더라도, 사용자가 다른 경로로 신원을 확인할 수 있는 대역 외 검증(Out of Band Authentication)을 지원하는가?
- 사용자의 개인 키가 유출되더라도 기존 대화 데이터는 안전하게 보호되는가? 이 항목은 순방향 비밀성(Forward Secrecy)으로, 모든 세션에 대한 임시 암호화 키를 사용하는 암호화를 구현해야 한다.
- 통신 및 암호화를 위한 코드는 제삼자가 검토할 수 있는가?
- 암호화 설계는 잘 문서화되어 있는가? 앱의 암호화 및 인증 알고리즘, 암호화 키 생성, 저장 및 교환 메커니즘, 키 갱신 및 변경 과정에 대한 설명, 앱이 제공하려는 보호 기능과 안전하지 않은 시나리오에 대한 기술 등이 여기에 포함된다.
- 제품의 설계 및 구현은 최근 12개월간 독립적인 보안 감사를 실시했는가? 같은 조직 내에서 제품 개발팀과는 독립된 보안팀이 실시한 감사로도 충분하다.

EFF의 요구사항을 모두 충족한 6개 앱 가운데 하나인 크립토캣(Cryptocat)

39개의 메신저 앱 가운데 다음 6개 앱이 EFF의 요구사항을 모두 충족했다.

- 크립토캣(CryptoCat) : 웹기반의 인스턴트 메신저 애플리케이션
- 챗시큐어(ChatSecure) : 안드로이드 및 iOS용 암호화 채팅 클라이언트
- 텍스트시큐어(TextSecure) : 안드로이드용 텍스트 메신저 앱
- 레드폰(RedPhone) : 안드로이드용 암호화 전화 앱
- 사이런트 텍스트와 사일런트 폰(Silent Text and Silent Phone) : 보안 커뮤니케이션 업체 사일런트 서클(Silent Circle)이 만든 암호화 텍스트 및 전화 앱

EFF의 요구사항 가운데 6 개 항목을 만족한 앱은 6개로, 메일벨로프(Mailvelope), 레트로셰어(RetroShare), 서브로사(Subrosa), 짓시(Jitsi), 아디움(Adium), 피진(Pidgin)이 있다.

대중적으로 사용되는 메신저 앱 가운데 애플의 아이메시지(iMessage)와 페이스타임(FaceTime)의 점수가 가장 높았으며, 제삼자의 코드 검토 가능성과 대역 외 검증 항목을 만족하지 못했다. EFF는 아이메시지와 페이스타임은 정교한 표적 감시에 대해 완벽하지 않다고 전했다.

구글 행아웃, 페이스북 챗, 야후 메신저, 스냅챗, 왓츠앱, 바이버(Viber), AIM, 블랙베리 메신저(BlackBerry Messenger) 등 다른 대중적으로 사용되는 메신저 앱은 7개 요구사항 가운데 1개 또는 2개만 만족하는 등 최하위의 점수를 기록했다. 해당 메신저 앱들은 종단 간 암호화 통신을 지원하지 않았다.

남아프리카에서 가장 인기 있는 모바일 소셜 네트워크인 엠시트(Mxit)와 중국에서 가장 널리 쓰이는 인스턴트 메신저 서비스인 QQ는 EFF의 요구사항을 하나도 충족하지 못했다. editor@itworld.co.kr


2014.11.07

‘보안평가’ 낙제 받은 ‘구글•페이스북•스냅챗…EFF

By Lucian Constantin | IDG News Service
구글 행아웃, 페이스북 채팅, 야후 메신저, 스냅챗 등 전세계적으로 널리 쓰이는 메신저 앱이 보안 평가에서 최하위 점수를 받았다.

EFF(Electronic Frontier Foundation, 전자 프런티어 재단)는 널리 사용되는 메신저 앱 39개를 대상으로 개인 정보 보호와 보안에 관한 7가지 항목을 평가했다. 검사 대상에는 모바일 텍스트 앱, 인스턴트 메시지 클라이언트, 음성 및 비디오 채팅 앱, 이메일 서비스가 포함됐으며, 자세한 결과는 EFF의 보안 메시징 스코어카드(Secure Messaging Scorecard) 페이지에서 볼 수 있다.

EFF는 각 메신저 앱에 대한 취약점을 평가하거나 암호화 구현에 관한 심층 기술 분석을 진행하지 않았다. 대신, 온라인 서비스 업체에게 사용자 데이터를 요구하는 정부의 광범위한 인터넷 감시로부터 개인 정보를 보호할 때 필요한 원칙과 기능에 관한 자체적인 기준을 명시했다.

다음은 EFF가 메신저 앱 서비스를 평가 기준으로 내세운 항목이다.

- 전송 과정에서 데이터를 암호화하는가?
- 서비스 업체가 사용자 데이터에 액세스할 수 없도록 대화는 암호화되는가? 이 기준은 사용자 클라이언트 간 커뮤니케이션에 암호화 키를 필요로 하는, 즉, 종단간 암호화(End to End Encryption)를 구현해야 한다.
- 서비스 업체가 만일 해킹되더라도, 사용자가 다른 경로로 신원을 확인할 수 있는 대역 외 검증(Out of Band Authentication)을 지원하는가?
- 사용자의 개인 키가 유출되더라도 기존 대화 데이터는 안전하게 보호되는가? 이 항목은 순방향 비밀성(Forward Secrecy)으로, 모든 세션에 대한 임시 암호화 키를 사용하는 암호화를 구현해야 한다.
- 통신 및 암호화를 위한 코드는 제삼자가 검토할 수 있는가?
- 암호화 설계는 잘 문서화되어 있는가? 앱의 암호화 및 인증 알고리즘, 암호화 키 생성, 저장 및 교환 메커니즘, 키 갱신 및 변경 과정에 대한 설명, 앱이 제공하려는 보호 기능과 안전하지 않은 시나리오에 대한 기술 등이 여기에 포함된다.
- 제품의 설계 및 구현은 최근 12개월간 독립적인 보안 감사를 실시했는가? 같은 조직 내에서 제품 개발팀과는 독립된 보안팀이 실시한 감사로도 충분하다.

EFF의 요구사항을 모두 충족한 6개 앱 가운데 하나인 크립토캣(Cryptocat)

39개의 메신저 앱 가운데 다음 6개 앱이 EFF의 요구사항을 모두 충족했다.

- 크립토캣(CryptoCat) : 웹기반의 인스턴트 메신저 애플리케이션
- 챗시큐어(ChatSecure) : 안드로이드 및 iOS용 암호화 채팅 클라이언트
- 텍스트시큐어(TextSecure) : 안드로이드용 텍스트 메신저 앱
- 레드폰(RedPhone) : 안드로이드용 암호화 전화 앱
- 사이런트 텍스트와 사일런트 폰(Silent Text and Silent Phone) : 보안 커뮤니케이션 업체 사일런트 서클(Silent Circle)이 만든 암호화 텍스트 및 전화 앱

EFF의 요구사항 가운데 6 개 항목을 만족한 앱은 6개로, 메일벨로프(Mailvelope), 레트로셰어(RetroShare), 서브로사(Subrosa), 짓시(Jitsi), 아디움(Adium), 피진(Pidgin)이 있다.

대중적으로 사용되는 메신저 앱 가운데 애플의 아이메시지(iMessage)와 페이스타임(FaceTime)의 점수가 가장 높았으며, 제삼자의 코드 검토 가능성과 대역 외 검증 항목을 만족하지 못했다. EFF는 아이메시지와 페이스타임은 정교한 표적 감시에 대해 완벽하지 않다고 전했다.

구글 행아웃, 페이스북 챗, 야후 메신저, 스냅챗, 왓츠앱, 바이버(Viber), AIM, 블랙베리 메신저(BlackBerry Messenger) 등 다른 대중적으로 사용되는 메신저 앱은 7개 요구사항 가운데 1개 또는 2개만 만족하는 등 최하위의 점수를 기록했다. 해당 메신저 앱들은 종단 간 암호화 통신을 지원하지 않았다.

남아프리카에서 가장 인기 있는 모바일 소셜 네트워크인 엠시트(Mxit)와 중국에서 가장 널리 쓰이는 인스턴트 메신저 서비스인 QQ는 EFF의 요구사항을 하나도 충족하지 못했다. editor@itworld.co.kr


X