IT's Fun2016.07.01 11:42

최근 개인의 사생활과 보안 침해, 감청에 대한 이슈가 붉어지면서 많은 메세징 서비스들이 보안에 심혈을 기울이고 있습니다. 페이스북이 소유하고 있는 와츠앱(WhatsApp)은 이미 모든 사용자들의 대화를 종단간 암호화(E2EE, End-2-End Encryption) 한다고 발표한바 있습니다. 상장 소식으로 요즘 버즈 키워드가 된 라인(LINE) 역시 이런 대열에 새롭게 합류하기로 결정하고 최신 업데이트부터 레터실링(Letter Sealing)으로 불리우는 자사의 종단간 암호화 기술을 사용자들의 1:1 대화에 기본적으로 적용하기로 했습니다.


라인의 경우 종단간 암호화 기능이 도입된지 오래되었지만 서비스 차원에서 이 기능을 강제하지는 않고 있었습니다. 이번 업데이트에서 발표한 내용은 메세징 서비스 시장에서 "종단간 암호화는 기본"이라는 조류가 형성되는 것과 함께 상장을 앞두고 사용자들의 보안에 많은 신경을 쓰고 있다는 인상을 주기위한 정책 변경이 아닌가 싶습니다. 종단간 암호화는 사용자들의 중간에서 메세지를 경유하는 서버가 메세지를 열어보지 못하게 하여 사생활의 노출을 막을 수 있는 기술입니다.




종단간 암호화는 보안이라는 관점에서 좋은 기능이긴 하지만 거꾸로 릴레이 서버에서 해줄 수 있는 동작, 예를 들면 메세지의 일부를 보여주면서 푸시 메세지를 노출시켜 주는 것과 같은 기능이 제한된다는 약점을 가지고 있습니다. 그럼에도 불구하고 푸시 메세지를 통해 메세지의 일부를 확인하는 것과 내 메세지가 보호되는 것 사이에서 "보안"이 더 중요하다는 인상을 주기에 충분한 조치라 생각됩니다. 


아직 단체 대화방에 해당 기능이 적용되는지의 여부는 (기술 구현의 관점에서 난해함이 다소 있을 것 같긴 합니다) 확인되지 않았지만 최종 타겟은 유통되는 모든 메세지를 중간에서 가로챌 수 있는 여지를 막겠다는 것으로 보입니다. 메세징 서비스는 최근 모바일 사용자 경험의 중심으로 자리를 잡아가는 중입니다. 그런만큼 더욱 보안에 대한 이야기가 많이 나오게 될 수 밖에 없을겁니다. 조만간 모든 메세징 플랫폼, 서비스들이 종단간 암호화를 전격 적용하기를 기대해 봅니다!


라인 공식 블로그에서 종단간 암호화 전격 적용 포스팅 살펴보기 [바로가기]



저작자 표시 비영리
신고
Posted by 노피디
IT's Fun2015.10.16 15:59

디지털 시대에 개인정보 보호는 무척 첨예한 화두입니다. 디지털이라는 환경의 특성상 복제와 변조가 용이하고 유출되는 경우 손쉽게 퍼져나갈 수 있는 파급력이 있기 때문입니다. 이런 이유 때문에 많은 서비스들은 수집하는 사용자 정보를 최소화 하는 노력을 하고 있고 저장된 정보, 실시간으로 주고 받는 개인간의 대화와 같은 정보 컨텐츠를 어떻게 하면 더 잘 보호할 수 있을 것인지에 대해 무척 많은 관심과 노력을 기울이고 있습니다. 디지털 시대로 변화하면서 사람들의 커뮤니케이션패턴을 음성에서 데이터로 송두리째 바꾸어 놓은 메세징 서비스(Messging Service) 역시 그런 핫 이슈에서 자유롭기는 힘듭니다.


오랫동안 경찰이나 검찰, 국정원과 같은 국가 기관들은 수사의 목적으로 통신사에 정보를 요청하는 경우가 많았습니다. 이런 정보 제공 요청 역시 디지털 시대에 걸맞게 데이터베이스나 사용자들이 주고받은 메세지 등으로 범위가 확대, 변형 되면서 개인의 정보는 어디까지 보호될 수 있을 것인지에 대한 말들이 많습니다. 작년도에 텔레그램(Telegram) 으로의 사이버망명 사태를 일으켰고 최근 다시 한번 붉어지고 있는 카카오톡(KakaoTalk) 감청 논란은 이런 변화의 피해자 일지도 모르겠습니다.



출처 : 라인 공식 웹사이트 (http://line.me/en-US/)



메세징 서비스를 제공하는 회사들이 이런 논란으로부터 자유롭지 못한 것은 사용자들이 단말, 메세지 클라이언트를 이용해 주고 받는 기술의 특성 때문입니다. 공개키 기반의 암호화 기술들은 정보를 주고 받는 당사자들간의 구간에서는 주고받는 정보가 보호되겠지만 이를 받은 후 다시 다른 사용자에게 전달하는 과정과 루트는 다시 별도의 암호화 구간이 되는 한계를 가지고 있어 만에 하나라도 서버 자체가 공격을 당하는 등의 상황에서는 메세지가 평문으로 노출될 수 있습니다.


라인(LINE)이 13일 공식 개발자 블로그를 통해 공개한 사용자간의 종단간 암호화 기술 레터실링(Letter Sealing)은 중간의 릴레이 역할을 하는 서버나 장비들이 전송되는 내용을 해석하여 다시 암호화 하는 방식이 아니기 때문에 일반적인 구간별 암호화 보다는 훨씬 안전할 것으로 예측됩니다. 사용자간의 키를 교환하는 과정 등에서도 여러가지 보완책을 통해 가능한 안전한 키교환을 할 수 있는 방법을 통해 보안을 보장하기 위해 애쓴 내용들도 블로그 포스팅 곳곳에서 발견됩니다.






출처 : 라인 개발자 블로그 (http://developers.linecorp.com/blog/ko/?p=162)



물론 이러한 종단간(End-To-End) 암호화 기술을 적용하게 되면 사용자들의 대화 내용 등을 미리 토스트 팝업(Toast Popup)으로 알려주는 것과 같은 부가적인 메세징 서비스들의 기능을 활용할 수 없게 되는 등 약간의 불편함이 발생할 수 있습니다. 하지만 근래의 감청 논란에서 비롯되는 것처럼 중간에 누군가 장비를 설치하던 서버를 압수하던가 하는 방식의 수사나 악의적인 공격으로 서버가 탈취 당했을 때 발생할 수 있는 정보 보호의 이슈에서는 분명 자유로와질 수 있을 것입니다.


현실에서의 이슈들은 기술발전을 이끌어냅니다. 물론 그런 이슈가 긍정적인 것인지 부정적인 것인지에 따라 기술의 활용이나 기술 자체의 가치는 다르게 평가받을 수 있을 것입니다. 라인이 공개한 레터실링과 같은 기능 역시 사용자들의 메세지 교환을 적극적으로 보호해 준다는 순역할과 함께 서비스에 대한 위협(?)이 되고 있는 악의적인 공격이나 수사의 압박 등에서 비교적 자유로워질 수 있다는 순역할이 존재합니다. 어떤 것이 맞고 틀리고를 떠나서 이러한 움직임들은 그냥 하나의 기능 개선으로 보기 보다는 조금 더 진중하게 무엇이 문제이고 이슈인지에 대해 이야기 할 수 있는 담론의 장이 있었으면 하는 생각입니다.


라인 개발자 블로그 "더 안전한 대화를 위한 Letter Sealing" 전문 살펴보기 [바로가기]



저작자 표시 비영리
신고
Posted by 노피디

티스토리 툴바