종단간 암호화(E2EE)란?
종단간 암호화(End-to-End Encryption, E2EE)는 발신자와 수신자만이 메시지를 읽을 수 있도록 하는 암호화 방식입니다. 메시지가 기기를 떠나는 순간부터 수신자의 기기에 도착할 때까지 암호화된 상태로 유지됩니다.
E2EE의 핵심 원리
- 메시지는 발신자의 기기에서 암호화됩니다
- 서버는 암호화된 데이터만 전달하며, 내용을 볼 수 없습니다
- 오직 수신자의 기기에서만 복호화됩니다
- 서비스 제공자조차 메시지 내용을 알 수 없습니다
하지만 모든 메신저가 E2EE를 기본으로 적용하지는 않습니다. 또한 메타데이터(누가, 언제, 누구에게 메시지를 보냈는지)는 E2EE로도 보호되지 않는 경우가 많습니다.
메신저별 보안 비교
카카오톡
한국에서 가장 많이 사용되는 메신저인 카카오톡은 일반 대화에서 종단간 암호화를 적용하지 않습니다. "비밀 채팅" 기능에서만 E2EE가 활성화됩니다.
일반 대화는 서버에 저장되며, 수사 기관의 영장에 따라 메시지 내용이 제공될 수 있습니다.
텔레그램
텔레그램은 "보안 메신저"로 알려져 있지만, 실제로는 일반 채팅에서 종단간 암호화를 사용하지 않습니다. "비밀 채팅"에서만 E2EE가 적용됩니다. 클라우드 기반 일반 채팅은 텔레그램 서버에서 암호화되어 저장되지만, 텔레그램이 키를 보유하고 있습니다.
WhatsApp은 2016년부터 모든 대화에 기본적으로 E2EE를 적용합니다. Signal 프로토콜을 사용하며, 메시지 내용은 WhatsApp/Meta도 볼 수 없습니다. 다만 메타데이터(연락처 목록, 메시지 전송 시간 등)는 수집됩니다.
Signal
Signal은 가장 강력한 프라이버시를 제공하는 메신저입니다. 모든 통신이 E2EE로 보호되며, 메타데이터 수집도 최소화합니다. 오픈소스이며, 보안 전문가들이 가장 추천하는 메신저입니다.
주의: "암호화"와 "종단간 암호화"는 다릅니다
많은 메신저가 "암호화"를 사용한다고 말하지만, 이는 전송 중 암호화(TLS)만을 의미할 수 있습니다. 종단간 암호화가 없으면 서버에서 메시지를 읽을 수 있습니다.
텔레그램의 정책 변화
텔레그램은 오랫동안 수사 협조를 거부하는 것으로 유명했습니다. 하지만 2024년 창업자 파벨 두로프의 프랑스 체포 이후 정책이 크게 바뀌었습니다.
"텔레그램은 2024년 파벨 두로프 체포 이후 정책을 변경했습니다. 현재 한국 경찰의 수사 협조 요청에 95% 이상 응하고 있으나, 제공하는 정보는 IP 주소와 전화번호에 한정됩니다. 채팅 내용은 여전히 제공하지 않습니다."
2024년 텔레그램 정책 변화 관련 보도
N번방 사건의 영향
2020년 N번방 사건은 텔레그램의 한국 내 이미지에 큰 영향을 미쳤습니다. 사건 이후 텔레그램은 한국 수사기관과의 협조를 강화했으며, 불법 콘텐츠 신고 시스템을 개선했습니다.
서버에 저장되는 정보
E2EE가 적용되어도 서버에는 다양한 정보가 저장됩니다.
- 연락처 정보: 누구와 연결되어 있는지
- 그룹 멤버십: 어떤 그룹에 속해 있는지
- 메시지 전송 시간: 언제 메시지를 보냈는지
- IP 주소: 어디서 접속했는지
- 기기 정보: 어떤 기기를 사용하는지
이러한 메타데이터만으로도 많은 정보를 유추할 수 있습니다. 누가 누구와 얼마나 자주 대화하는지, 어떤 시간대에 활동하는지, 어디서 접속하는지 등을 알 수 있죠.
추가 보안층 만들기
어떤 메신저를 사용하든, 정말 민감한 정보는 추가로 암호화하는 것이 좋습니다.
CodeTalk으로 이중 암호화
CodeTalk을 사용하면 어떤 메신저에서든 메시지를 암호화해서 보낼 수 있습니다. 카카오톡의 일반 대화에서도, 텔레그램의 클라우드 채팅에서도 암호화된 메시지만 전송되므로, 서버가 탈취당해도 원본 내용은 안전합니다.
민감한 정보 전송 시 권장 사항
- 비밀번호, 금융 정보는 반드시 암호화해서 전송
- 암호화 키(비밀번호)는 별도의 채널로 공유
- 가능하면 자동 삭제 타이머 설정
- 스크린샷 방지 기능이 있다면 활성화
