카카오톡 사이버 검열 논란이 불거지면서 엔드투엔드 암호화로 전송되는 비밀대화 기능을 가진 텔레그램(Telegram)이 대안으로 떠오르고 있다. 하지만 텔레그램도 포상금 30만 달러를 걸고 진행된 보안 콘테스트에서 국내 보안팀에 의해 취약점이 발견된 바 있다. 텔레그램 내부에 메시지가 남아 있고 주소록이 평문으로 저장된다는 사실을 밝혀 낸 것이다.
 
한편 보안전문기업 HNS는 최근 ‘Secure Chat Messenger 앱 보안성 점검’이라는 보고서 버전 0.1을 발표하고 이용자가 많은 텔레그램과 네이버 라인(Naver Line), 스리마(Threema) 등에 대해 분석한 내용을 공개했다. 이후 추가 테스트를 통해 ChatSecure, 카카오톡, WeChat 등에 대한 테스트 결과도 공개할 것이라고 전했다.

 
이번 보고서에 따르면, 텔레그램의 경우 저장되는 DB 파일에 사용자의 비밀 대화 내용이 평문(Plain-text)으로 저장된다. 사용자가 직접 삭제하거나 자동 삭제 옵션을 이용한 대화의 경우 DB 파일에서 삭제되지만 그렇지 않은 일반 대화의 경우 모든 내용이 쉽게 읽을 수 있는 평문으로 저장되고 또한 자동삭제 옵션을 이용했더라도 사용자가 확인하지 않은 경우 삭제과정을 거치지 못하므로 DB 파일에 평문 그대로 저장되어 있게 된다고 설명했다.
 
회사 관계자는 “대화내용을 읽어내는 과정에서 메모리 사용을 줄이기 위한 목적으로 추측되지만 이러한 암호화되어 있지 않은 DB 파일은 물리적 도난을 통한 사생활침해, 원격 취약점을 이용한 대화내용 탈취 등에 이용될 수 있다”며 “삭제과정을 거쳤더라도 복구프로그램을 이용하면 이전 메시지들의 내용을 복구할 수도 있으므로, 완전한 비밀 대화를 위해서는 더미값으로 중복된 덮어쓰기가 필요할 것”이라고 전했다.
 
또 관심을 끄는 것은 카카오톡과 함께 국내외 많은 유저를 보유하고 있는 네이버 라인(Naver Line)에 대한 테스트 결과였다. 라인은 현재 글로벌 시장에서 가입자수가 5억명에 육박할 정도로 글로벌 메신저다.

 
테스트 결과를 공개한 보고서에 따르면, 라인의 경우 일반메시지는 평문으로, 타이머챗의 경우 암호화되어 저장되었다가 메시지를 클릭하는 순간 평문으로 저장됨을 확인할 수 있다. 또한 숨기기 기능을 이용해 사적인 대화내용은 보이지 않게 할 수 있는 편리한 기능을 제공하지만 DB 파일에는 평문으로 존재하기 때문에 민감한 정보의 유출 가능성이 존재하는 것으로 분석했다.
 
마지막으로 텔레그램보다 안전하다는 스위스의 메신저 앱, 스리마(Threema)에 대한 테스트 결과도 공개됐다. 하지만 테스트 중에 완벽하게 복호화되지 않아 직접적인 확인을 하지 못했다고 전했다.
 
관계자는 “스리마의 경우 DB 파일 전체의 암호화, 암호화를 풀기 위한 key의 암호화 등 다른 메신저들보다는 뛰어난 보안성을 보였으며, 또한 key.dat의 암호화에는 내부적인 난독화 과정이 포함되어 있어 공격자가 쉽게 DB 파일을 복호화하지 못하게 했고 여기에 사용자가 특정 문구를 이용해 추가적인 암호화를 할 수 있게 해 안전성을 더욱 높여둔 상태”라며 “하지만 해외에서 발표된 자료에 따르면 복호화된 DB 파일에는 주고받은 대화 등이 평문으로 저장되어 있다는 내용이 공개돼 추후 추가적인 테스트를 진행할 예정”이라고 전했다.
 
텔레그램과 네이버 라인(Naver Line), 스리마(Threema) 등 스마트폰 채팅 앱 보안성 점검에 대한 보다 상세한 분석 내용을 원한다면 아래 링크를 통해 다운로드 가능하다.
 
-보고서 다운로드: blog.hacknsecurity.com/entry/Secure-Chat-Messengerv01
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com