카카오톡이 불신의 중심에 놓였다. 계속되는 검열·감찰 의혹에 다음카카오는 지난 8일, 보안을 강화하는 '외양간 고치기 프로젝트'를 시작한다고 밝혔다. 메시지 서버의 보관 주기를 기존 3~7일에서 2~3일로 줄이고, 수신 확인된 메시지가 사라지는 '비밀 대화' 기능을 추가하는 등의 방안을 제시했다. 카카오톡에 대한 감청 요청(통신제한조치)이 지난해 86건, 올 상반기 61건 있엇다는 등의 '투명성 보고서'까지 공개했지만 이용자들의 반응은 싸늘하다. 카카오톡이 이토록 이용자들의 미움을 사게 된 진짜 이유는 무엇일까.
서버에서 암호화 안 된 카카오톡 메시지
이용자들이 분노한 가장 큰 이유는 '압수수색 영장만 있으면 주고 받은 메시지가 모두 공개된다'는 데 있었다. 이에 대해 다음카카오 측은 서버 보관 기간이 3~7일에 불과해 옛 메시지까지 저장하기 힘들다고 밝혔고 그 기간마저도 줄이겠다며 진화에 나섰다. 하지만 보관 방법을 두고 논란이 일었다. 바로 암호화 문제다.
다음카카오 측은 “사용자들의 메시지를 서버에서 암호화하고 있지 않다”고 털어놨다. 알파벳이나 숫자처럼 복잡한 알고리즘의 형태가 아닌 한글 그대로 서버에 온전히 보관돼있다는 것이다. 누군가 서버를 열었을 때 별다른 절차 없이도 메시지를 읽을 수 있는 셈이다. 내용은 물론 보낸 사람과 받는 사람, 주고받은 주소와 날짜까지 모두 기록돼 있을 가능성이 높다. 다음카카오는 “서버 내 데이터를 안전하게 보관하는 기술적 방법은 여러 가지가 있다. 우리는 (암호화를 하는 대신) 서버 주변에 방화벽과 같은 보호막을 겹겹이 쳐서 보호한다”고 설명했다. 반발은 쉬이 가라앉지 않았다.
결국 다음카카오는 ‘종단간 암호화(end-to end encryption)’라는 기술을 연내 시행하겠다고 밝혔다. 텔레그램(telegram)이나 바이버(Viber), 아이메시지(iMessage) 등 주로 외국계 메신저들이 차용하고 있는 방식이다. 단말기에서 자체적으로 암호키를 만들기 때문에, 해커가 누군가의 텔레그램 메시지를 보고자 한다면 사용자의 휴대전화에도 직접 침투해야 하는 것이다. 이에 대해 고려대 정보보호대학원 김승주 교수는 "텔레그램의 시크릿 챗(Secret chat)기능이 여기에 해당되는데, 헐거운 종단간 암호화는 충분히 뚫을 수 있다. 제대로 된 암호화를 하려면 시스템에 과부하가 걸릴 수 있고 사용자들에게도 불편한 점이 생길 것"이라고 말했다.
전송시 암호화 돼있지만 ‘털 수도 있다’
'스마트폰에서 서버까지 가는 도중 실시간 감청이 가능할 수 도 있다'는 의문도 제기됐다. 다음카카오는 “스마트폰에서 서버까지 가는 통신구간은 암호화 돼있다”며 "실시간 감청은 절대로 불가능하다"고 밝혔다. 전문가들의 의견도 찬반으로 나뉜다.
가능하다고 보는 측에서는 ‘패킷(Packet) 감청’을 예로 든다. 서울대 언론정보학과 이준환 교수는 “내 IP주소와 다른 IP주소 사이에서 파일을 잘게 자른 형태의 데이터 조각들이 들어오고 나가게 되는데, 이 조각들을 모으면 하나의 파일이 완성된다”고 말했다. 이것이 패킷 감청의 원리라고 했다. 이렇게 추출한 데이터가 암호화가 돼있다면, 이 암호를 풀 암호키를 찾아내면 되는 셈이다.
일반적으로 암호화는 RSA(Ron Rivest, Adi Shamir, Leonard Adleman)나 SHA(Secure Hash Algorithm)와 같은 전세계 표준 알고리즘 형태를 취한다. 형식이 일정하기 때문에 해커들은 프로그램을 만들어 암호키를 생성해 침투하는 경우가 많다. 쉬운 예로 네 자리 비밀번호 창에 0~9까지 마구잡이로 넣다 보면 얼떨결에 비밀번호를 맞히게 되는 것과 같은 이치다. 개발자들은 "사람이 일일이 코드를 작성해 넣어보는 것이 아니라, 기계가 자동으로 돌아가며 맞히기 때문에 시간도 그리 오래 걸리지 않는다"고 말한다.
내가 보낸 메시지가 어느 곳을 거쳐 서버까지 이르는지 루트도 확인할 수 있다. 일반인들도 Traceroute(트레이스 라우트)라는 명령어를 써서 현재 내 위치에서 상대 서버로 접속하는 IP(Internet Protocol)주소를 대부분 확인할 수 있다. 검찰이 하드웨어를 압수수색을 할 때 찾아가는 각종 IDC센터(인터넷 데이터센터)도 정보가 전송되는 길목에 대부분 포함된다. 누군가의 메시지를 감청하고자 한다면 그가 메시지를 보내는 루트를 미리 파악할 수도 있다는 뜻이다.
하지만 실제로 중간에 메시지를 가로채 암호를 풀어 확인하는 건 불가능하다는 견해도 있다. 김인성 전 한양대 컴퓨터공학부 교수는 “카카오톡을 비롯한 많은 정보들이 제3자가 절대로 알아볼 수 없는 함수 형태(Encryption Send)로 메시지를 전송하고, 수신자의 휴대전화에서 해독되도록 하는 형태(Decryption Receive)를 취한다”며 “암호학적으로나 수학적으로도 추출이 불가능한 암호문이다. 절대로 풀리지 않는다”고 주장한다.
“우리나라 기업만 못 믿나”
'메신저 망명'을 택하는 가장 큰 이유는 결국 "서버가 외국에 있으니 한국 정부가 압수수색을 하지 못할 것"이라는 데 모아진다. 그러자 역으로 외국 서버에는 우리의 정보를 줘도 된다는 말이냐는 반론도 제기됐다. 국내 기관의 감찰을 피하기 위해, 외국 기업에 거대한 빅데이터를 제공하는 것 자체가 아이라니라는 것이다.
데이터저널리스트 이준행씨는 “외국에서도 센서십(Censorship)이라고 불리는 검열과 도·감청이 늘 문제가 됐다”며 “결국 데이터는 돌고 도는 것인데다가 어디서든 캡처(Capture)가 가능한데, 단지 우리 정부의 눈을 피하겠다고 생각해 유행처럼 메신저 망명을 택하는 것도 안타깝다”고 말했다.
원형감옥에 있듯 정부라는 빅브라더(Big brother)에게 모든 것을 읽히는 것 아니냐는 질문에 대해서도 “타당성도 있지만 기우(杞憂)일 수도 있다”고 설명했다. 이씨는 “CCTV와 같은 이치다. 정부에서 범죄 발생을 줄인다는 이유로 국민의 동의 없이 CCTV를 대거 설치했고, 이에 따라 우리는 우리의 모든 행동을 감시당하며 살게 됐다. 하지만 이것을 대다수의 사람들은 별로 의식하지 않고 산다”고 했다. 그는 이어 “사이버 감청도 마찬가지다. 이를 감수하며 살 것인가 아닌가는 결국 이용자의 생각에 따라 달라질 수 있다. 혹자에게는 큰 두려움일 수 있고, 누군가에게는 기우에 그칠 수도 있다는 것이다”고 말했다.
김승주 교수도 “정치인이나 대기업 CEO들이 사이버 망명을 할 경우 오히려 외국에 국내 주요 정보를 내주는 꼴이 될 수도 있다”고 말했다. "미국에서도 9.11 테러 이후 인터넷 검열을 하는 ‘프리즘 프로젝트(PRISM Project)’를 시행했는데, 주요 창구가 구글과 페이스북인 것이 알려지자 오히려 독일 국민들이 크게 반발했다"고도 했다.
가장 본질적인 문제는 결국 정부에 대한 불신에 있는데, 불똥이 애먼 데로 튀었다는 말도 있다. 김인성 교수는 “전세계적으로 사물인터넷(IoT)을 통해 빅데이터를 모아 활용하는 게 기업의 경쟁력으로 여겨지고 있다"며 "다음카카오는 이번 사건 때문에 여러 면에서 큰 타격을 입었다. 진작에 제대로 암호화를 하는 등 카카오톡 스스로 신경을 썼어야 하는 것도 맞지만, 검찰에서 사이버 검열을 하겠다고 드는 바람에 우리나라 기업의 경쟁력도 떨어지게 됐다”고 말했다.
산업계 분위기도 침체됐다. 한 프로그램 개발자는 “게임 개발자들이 (각종 규제 때문에) 한국을 저주하고 이 곳을 떠나고 싶어하듯, 인터넷 관련 서비스를 기획하거나 이를 꿈꾸는 사람들도 이번 일로 크게 실망한 것 같다”며 “카카오톡 논란으로 한국은 더 이상 사업을 펼칠만한 곳이 못 된다는 것을 각인시켜준 셈”이라고 말했다.
감정적으론 이탈해도 카톡은 이미 '습관'
카카오톡이 사과문을 발표하며 진화에 나서기는 했지만, 10일 현재 모기업인 다음(DAUM)의 주식은 이틀 연속 폭락했다. 전날보다 4%p 가량 내린 14만 3800원대에서 거래가 시작된 뒤로 하락폭이 커지더니 최종 13만 9200원으로 장을 마감했다. 이날 오후에는 최고 10%p가 떨어지기도 했다.
9일 새정치민주연합 전병헌 의원이 랭키닷컴 자료를 분석한 결과 카카오톡 이용자는 지난주 2천646만명에서 1.54% 줄어든 2천605만명으로 나타났다. 그 사이 텔레그램의 한국인 사용자는 150만명을 돌파했다. 이 와중에 텔레그램의 CEO 파벨·니콜라이 두로프 형제가 러시아 정부의 개인정보 공개 요청을 거부했다는 일화도 국내에 알려졌다. 두로프 형제가 러시아판 페이스북인 'vk.com'을 운영하던 중 러시아 정부로부터 "우크라이나 시위에서 반 러시아 운동을 한 이들의 개인정보를 보내달라"는 요청을 받았는데, 당시 파벨 두로프가 이 요구를 거부한 것은 물론 해당 공문을 자신의 페이지에 전체적으로 공문해 파장이 일었던 것이다. 이 때문에 파벨 두로프는 CEO 직에서 쫓겨났고, 현재 독일에 서버를 둔 텔레그램을 운영하고 있다. 국내 상황과 맞물려 비교 대상이 된 셈이다.
많은 이용자들이 감정적으로 카카오톡을 이탈했다는 분석도 많지만, 동시에 이용자들이 완전히 카카오톡을 끊기도 쉽지 않을 것이란 주장도 있다. 이미 한국인의 메신저 사용 습관이 카카오톡에게 길들여져 있고, 많은 이용자들이 한꺼번에 다른 메신저로 옮겨가기도 현실적으로 어렵기 때문이다. 연세대 심리학과 황상민 교수는 “이번 기회에 사용자들은 다른 대안을 경험해보게 됐고, 카카오톡 입장에서는 본인들이 경쟁 업체에 비해 어떤 강점이 있는지를 역으로 확인할 수도 있게 됐다"며 "사람들이 메신저를 한 개만 쓰지 않고 여러 개 섞어서 쓰는 식으로 행동 패턴 자체가 바뀔 수도 있을 것"이라고 전망했다.
유재연 기자 queen@joongang.co.kr
