안보를 중시해야 할 한국에 이상한 보안 불감증이 있다. 무언가를 적극적으로 지켜내는 일과 본척만척 무시하는 일을 서로 헷갈리는 증상이다. 금고를 적극적으로 지키려는 문지기와 어디에 가 있는지 잘 모르겠는데 연락도 닿지 않는 문지기 중 누구를 고용해야 하는지는 뻔하다. 그런데 정보가 소중하다면서 후자에 맡기곤 한다. 텔레그램 이야기다.
한국의 정치권은 물론 대통령실(또는 과거 청와대) 등 나름대로 보안을 관리한다고 자처하는 조직일수록 텔레그램이 비선에서 애용됐다. 대중적인 카카오톡은 압수수색이라도 벌어지면 서버가 털려 대화 내용이 적나라하게 드러나곤 했으니 걱정이 됐나 보다.
텔레그램은 그럴 일이 없으리라는 순진무구함도 이해는 간다. 텔레그램은 전 세계 각국의 사법당국을 무시하는 것으로 유명했기 때문에 고객의 정보를 지키는 것으로 여겼나 보다. 그러나 경찰과 검찰의 e메일을 무시하는 일과 사용자의 데이터를 안전하게 지키는 일은 사실 무관하다. 그들은 그저 연락이 잘 안 될 뿐, 그들이 데이터를 진짜로 어떻게 관리하는지는 연락조차 안 되니 알 수가 없다. 이 철저한 방치는 위정자뿐만 아니라 범죄자도 속였다. 텔레그램이 범죄의 소굴이 되자, 암호화폐 업계도 이용하기 시작했다. 마케팅 채널로 쓰이기만 하면 좋았겠지만, 가격을 뻥튀기한 후 넘기고 튀는 ‘펌프 앤드 덤프(pump and dump)’ 사기의 무대가 돼버린 것도, 무슨 일이든 일어날 수 있는 방치된 플랫폼 텔레그램이기에 가능한 일이었다.
그렇지만 텔레그램은 방치되고 있지 않다. 그 규모의 시스템이 가라앉지 않고 운영되고 있다는 건 누군가가 열심히 노를 젓고 있어서다. 그렇기에 통신 내용은 태연하게 그들의 서버에 찌꺼기를 남기고 있을 것이다.
서버라는 제3자가 통신 내용을 듣고 있다는 뜻. 기분 나쁜 수준이 아니다. 국가 기밀조차 유출된 줄도 모른 채 저장돼 있을 수도 있고, 또 그 데이터로 인공지능 학습이 이뤄졌을지도 모른다. 그럴 리 없다고 생각하지만, 사람과 정보가 있는 곳에서는 여러 일이 벌어진다.
그래서 이를 원천적으로 막는 방법이 존재한다. 바로 엔드 투 엔드(end to end), 즉 종단 간 암호화라는 방식이다. 메시지의 발신자와 수신자, 즉 양쪽 끝을 제외한 중간의 누구도 내용을 듣고 볼 수 없게 하는 기술이다. 애플의 아이메시지가 대표적이다. 그들은 수사 당국을 돕고 싶어도 방법이 없다고 말한다. 메타의 왓츠앱도 적잖은 노력 끝에 이를 구현했다. 미국 정치권은 물론 미얀마, 홍콩 등의 활동가들이 많이 쓰고 있어 가장 안전한 종단 간 암호화 앱으로 알려진 시그널이라는 메신저 앱도 있다. 시그널은 그 보안 프로토콜을 오픈소스로 공개했고, 메타의 왓츠앱도 이에 의존하고 있다. 텔레그램과 카카오톡 등은 종단 간 암호화를 특정 대화에서 켤 수는 있으나 기본값이 아니고, 설정이 복잡하기에 실제 쓰이는 일은 많지 않다. 종단 간 암호화를 기본으로 삼는 건 만들기도 쉽지 않고 운영에도 부하가 걸리는 어려운 일이니 보통 이렇게 뒤로 밀린다. 그리고 함께 뒤로 밀리는 건 고객 정보를 적극적으로 지키려는 의지다.
그런데도 디지털 리터러시가 떨어지는 범죄자도, 정치권도 텔레그램에 과의존했다. 하지만 프랑스에서 그랬듯 그 수장을 체포하는 방식으로 당국이 연락하는 방법을 알아낸 지금, 많은 이들이 범죄자처럼 떨고 있다. 국익과 연결된 수많은 정보가 그 안에서 오고 갔을 터니 말이다.
<김국현 IT칼럼니스트>