텔레그램은 진정으로 암호화 메신저인가?
요즘 텔레그램이라는 통신 매체를 사용하여 벌어진 각종 이슈들 때문에 텔레그램이 다시한번 공론장으로 끌려나왔습니다.
텔레그램을 사용하는 이유는 여러가지가 있겠지만, 대부분은 [보안]때문에 사용하실겁니다. 정확하게는 [대한민국 정부기관에 노출되지 않는] 통신이죠. 그렇다면 텔레그램은 정말로 안전한가? 하는 의문이 드실텐데, 이에 대해 정리한 글이 있어 소개합니다.
《텔레그램, 진정한 암호화 메시징 앱인가?》 https://news.hada.io/topic?id=16463
텔레그램은 기본적으로 종단간 암호화(End-to-end encryption, E2EE)를 하지 않습니다. 즉 내 단말기에서 상대방 단말기까지의 전체 구간이 암호화되는게 아닙니다.
아마 이부분이 텔레그램에서 가장 크게 오해를 받는 지점일겁니다. 텔레그램측은 "보안 메신저"라고 홍보하니까요...
텔레그램에서 송신자가 보낸 메시지는 암호화 되어 서버에 전달되지만 [서버는 이것을 복호화하여 저장]하고, 다시 암호화 하여 수신자에게 보냅니다. 텔레그램을 써보신 분들이라면 채팅방에서 나갔다가 다시 들어갔거나, 중간에 초대를 받아 들어갔을 때 이전의 기록을 조회할 수 있다는걸 알고계실겁니다.
(카카오톡은 채팅방에 초대받아 들어가도 이전 기록이 보이지 않죠. 물론 이게 카카오톡이 종단간 암호화를 한다는 의미는 아닙니다.)
종단간 암호화의 자세한 내용은 나무위키를 참조하세요: https://namu.wiki/w/%EC%A2%85%EB%8B%A8%EA%B0%84%20%EC%95%94%ED%98%B8%ED%99%94
텔레그램에서 송신자와 수신자 사이 전체 구간을 암호화 하려면 비밀채팅 기능을 사용해야 합니다. 카카오톡과 동일하죠. 그리고 1:1 대화에서만 작동합니다. 이 역시 카카오톡 비밀채팅 기능과 동일합니다.
그리고 텔레그램은 E2EE 암호화에 [자체 비공개] 프로토콜인 MTProto 2.0을 사용합니다.
현대 암호학에서 안전한 암호란, 암호화 할 때 사용하는 [키]만 노출되지 않는다면 암호문과 알고리즘을 알아도 복호화 할 수 없어야 합니다. 그리고 알고리즘은 공개되어야 --어떻게든 뚫어보려는-- 여러 사람의 리뷰를 받고 안전해지죠. 즉, 텔레그램이 [자체] 알고리즘을 사용한다는것과 그것이 [비공개]라는 점은 비판의 대상이 됩니다.
* 참고로 카카오톡의 E2EE에는 어떤 방식의 암호화가 적용되는지 공개된 자료가 없는것 같네요. 혹시 아는분이 계시다면 알려주시면 감사하겠습니다.
그럼에도 불구하고 텔레그램을 사용해야 할까요?
저는 "그렇다"라고 생각합니다. 메신저의 특성상 내가 쓰려면 다른사람도 써야하는데, 텔레그램은 대한민국을 포함한 각국 정부기관에 노출되지 않는 통신을 할 수 있는 여러 수단 중에 [국내에서 상당히 대중적인 편]에 속합니다. 굳이 E2EE를 적용하지 않더라도요.
두번째 이유는 API가 무료이기 때문입니다. 봇을 만들고 메시지를 보내는 프로그램을 손쉽게 개발하여 무료로 운영할 수 있습니다. 그래서 자동으로 수집한 정보를 가공해서 제공해주는 채널들이 많이 있죠. 저도 개인적인 용도로 봇을 만들어서 알림을 받는데 쓰고 있습니다.
만약 정말로 민감한, 절대로 노출되어서는 안 되는 정보를 다룬다면 텔레그램을 이용하지 않기를 권해드립니다. PGP같은 더 안전하고 검증된 통신 매체를 사용하세요.
텔레그램은 자체 암호화 프로토콜의 취약점으로 종단간 암호화된 데이터가 중간 서버에서 노출되는 사태를 겪었었고, 카카오톡은 최근에 (24년 6월에...) E2EE 채팅이 털리는 취약점이 발견된적이 있습니다. https://www.dogdrip.net/566258163
=== 추가 ===
생각해보니 안전한 통신이라면서 PGP를 추천하는건 너무 노땅 같군요(...)
댓글에서 언급된 Signal과 Session은 "매우 안전하다"라고 평가받는 메신저들입니다.
그 외에도 여러가지 메신저나 보안 도구들을 여기에서 찾아보실 수 있습니다: https://www.privacytools.io/privacy-messaging
텔레그램을 사용하는 이유는 여러가지가 있겠지만, 대부분은 [보안]때문에 사용하실겁니다. 정확하게는 [대한민국 정부기관에 노출되지 않는] 통신이죠. 그렇다면 텔레그램은 정말로 안전한가? 하는 의문이 드실텐데, 이에 대해 정리한 글이 있어 소개합니다.
《텔레그램, 진정한 암호화 메시징 앱인가?》 https://news.hada.io/topic?id=16463
텔레그램은 기본적으로 종단간 암호화(End-to-end encryption, E2EE)를 하지 않습니다. 즉 내 단말기에서 상대방 단말기까지의 전체 구간이 암호화되는게 아닙니다.
아마 이부분이 텔레그램에서 가장 크게 오해를 받는 지점일겁니다. 텔레그램측은 "보안 메신저"라고 홍보하니까요...
텔레그램에서 송신자가 보낸 메시지는 암호화 되어 서버에 전달되지만 [서버는 이것을 복호화하여 저장]하고, 다시 암호화 하여 수신자에게 보냅니다. 텔레그램을 써보신 분들이라면 채팅방에서 나갔다가 다시 들어갔거나, 중간에 초대를 받아 들어갔을 때 이전의 기록을 조회할 수 있다는걸 알고계실겁니다.
(카카오톡은 채팅방에 초대받아 들어가도 이전 기록이 보이지 않죠. 물론 이게 카카오톡이 종단간 암호화를 한다는 의미는 아닙니다.)
종단간 암호화의 자세한 내용은 나무위키를 참조하세요: https://namu.wiki/w/%EC%A2%85%EB%8B%A8%EA%B0%84%20%EC%95%94%ED%98%B8%ED%99%94
텔레그램에서 송신자와 수신자 사이 전체 구간을 암호화 하려면 비밀채팅 기능을 사용해야 합니다. 카카오톡과 동일하죠. 그리고 1:1 대화에서만 작동합니다. 이 역시 카카오톡 비밀채팅 기능과 동일합니다.
그리고 텔레그램은 E2EE 암호화에 [자체 비공개] 프로토콜인 MTProto 2.0을 사용합니다.
현대 암호학에서 안전한 암호란, 암호화 할 때 사용하는 [키]만 노출되지 않는다면 암호문과 알고리즘을 알아도 복호화 할 수 없어야 합니다. 그리고 알고리즘은 공개되어야 --어떻게든 뚫어보려는-- 여러 사람의 리뷰를 받고 안전해지죠. 즉, 텔레그램이 [자체] 알고리즘을 사용한다는것과 그것이 [비공개]라는 점은 비판의 대상이 됩니다.
* 참고로 카카오톡의 E2EE에는 어떤 방식의 암호화가 적용되는지 공개된 자료가 없는것 같네요. 혹시 아는분이 계시다면 알려주시면 감사하겠습니다.
그럼에도 불구하고 텔레그램을 사용해야 할까요?
저는 "그렇다"라고 생각합니다. 메신저의 특성상 내가 쓰려면 다른사람도 써야하는데, 텔레그램은 대한민국을 포함한 각국 정부기관에 노출되지 않는 통신을 할 수 있는 여러 수단 중에 [국내에서 상당히 대중적인 편]에 속합니다. 굳이 E2EE를 적용하지 않더라도요.
두번째 이유는 API가 무료이기 때문입니다. 봇을 만들고 메시지를 보내는 프로그램을 손쉽게 개발하여 무료로 운영할 수 있습니다. 그래서 자동으로 수집한 정보를 가공해서 제공해주는 채널들이 많이 있죠. 저도 개인적인 용도로 봇을 만들어서 알림을 받는데 쓰고 있습니다.
만약 정말로 민감한, 절대로 노출되어서는 안 되는 정보를 다룬다면 텔레그램을 이용하지 않기를 권해드립니다. PGP같은 더 안전하고 검증된 통신 매체를 사용하세요.
텔레그램은 자체 암호화 프로토콜의 취약점으로 종단간 암호화된 데이터가 중간 서버에서 노출되는 사태를 겪었었고, 카카오톡은 최근에 (24년 6월에...) E2EE 채팅이 털리는 취약점이 발견된적이 있습니다. https://www.dogdrip.net/566258163
=== 추가 ===
생각해보니 안전한 통신이라면서 PGP를 추천하는건 너무 노땅 같군요(...)
댓글에서 언급된 Signal과 Session은 "매우 안전하다"라고 평가받는 메신저들입니다.
그 외에도 여러가지 메신저나 보안 도구들을 여기에서 찾아보실 수 있습니다: https://www.privacytools.io/privacy-messaging
추천109 비추천 48