세계 최대 소셜 미디어인 페이스북이 '비밀 대화' 기능을 선보였다. 정부도 추적이 불가능한 강력한 보안 성능이라는 평가다.
페이스북은 메신저 앱에 '비밀 대화(Secret Conversations)' 모드 채팅에 참여한 사용자끼리 메시지를 본 후 일정 시간 이후 대화 내용이 사라지는 종단간 암호화(end-to-end) 기술이 탑재된 새로운 기능을 출시했다.
지난 7월부터 테스트를 시작해온 페이스북은 지난 5일 '비밀 대화' 기능을 전 세계 10억 명의 사용자가 이용할 수 있도록 글로벌 서비스로 공식 확대했다. 이같은 종단간 암호화 기술 적용은 세계 최대 규모다.
'비밀 대화' 모드를 사용하기 위해서는 사용자가 직접 친구들과의 대화를 할 때 '비밀 대화' 모드를 설정해야 한다.
사용자가 비밀 대화를 처음 시작하면 "메시지는 기본적으로 보안이 설정되어 있지만, 비밀 대화는 기기 간에 암호화되어 전송됩니다. 비밀 대화에서는 메시지가 사라지도록 선택할 수 있으며, 메시지가 사라진 후에도 일정 기간 동안 대화를 신고할 수 있습니다"는 알림 메시지가 뜬다.
iOS와 안드로이드 앱의 업데이트 내용에 '암호화' 기능을 명시적으로 언급하고 있지 않지만 메신저 앱을 업데이트 한 뒤 실행해 화면 상단 오른쪽의 '새 메시지(노트 아이콘)'를 클릭해 들어가면 '비밀' 옵션이 노출된다.
사용 방식은 인스턴트 메시징 앱 스냅챗과 비슷하다. 대화 내용이 사라지는 시간은 5초부터 24시간 중에 선택할 수 있지만, 이 기능을 설정하면 문자 메시지나 스티커, 사진 등을 보낼 때 갯수와 일부 기능이 제한 된다.
페이스북 메신저의 '비밀 대화'에 적용된 암호화 기술은 보안 기술 업계에서 유명한 '오픈 위스퍼 시스템즈(Open Whisper Systems)'의 프로토콜 시그널(Signal)을 사용한다.
오픈 위스퍼 시스템즈는 2011년 트위터가 인수한 보안 기술 스타트업 '위스퍼 시스템즈'의 해커출신 말린스파이크가 창업한 회사로 2013년 트위터를 떠나 '오픈 위스퍼 시스템즈'를 새로 창업했다. 그가 만든 보안 메시징 앱 '시그널(Signal)'은 텔레그램보다 강력한 보안 성능으로 유명하다.
CIA와 국가안보국에서 프로그래머로 일했다가 내부 정보를 폭로해 미국 당국의 추적으로 받고 있는 에드워드 스노든도 이 시그널 앱을 사용하는 것으로 알려져 있다.
종단간 암호화 기술을 적용하게 되면 해커의 공격이나 사법기관의 개인정보 접근을 사실상 차단할 수 있게 된다.
이 비밀 대화 기능은 페이스북이 보유한 글로벌 메신저 앱 '왓츠앱'이나 '시그널'처럼 자동으로 적용되지 않고, 사용자가 모든 대화를 수동으로 활성화 시켜야만 가능하고 '메시지가 사라진 후에도 일정 기간 동안 대화를 신고할 수 있습니다'는 내용처럼 공유된 대화 내용이 한시적으로 저장될 수 있다. 이는 페이스북이 사법당국의 압력을 완화하기 위한 조치라는 게 업계의 시각이다.
정부나 사법기관들은 이같은 IT 기업들의 암호화 기술이 지능범죄 차단에 방해 요소가 되고 있다고 보고 있다. 테러나 범죄 사실을 사전에 파악하거나 사후 조사하기 위해서는 쉽게 개인정보에 접근할 수 있어야 하지만 중요한 범죄 증거를 파악하기 어려워지기 때문이다. 이 때문에 기업들에 대한 정부나 사법기관의 압력이 심화되는 추세다.
특히 종단간 암호화 기술은 서비스를 제공하는 IT 기업들에게도 부담이 된다. 현재 각종 플랫폼에 탑재가 시도되고 있는 '챗봇'이나 '인공지능(AI)'과 같은 사용자의 데이터를 분석할 수 있는 능력도 억제될 수 있기 때문이다.
IT 보안 업계 관계자는 "페이스북처럼 사용자가 사용할 수 있는 암호화 기능을 일부 제한하거나, 개인 정보 수집에 동의를 구하는 '옵트인(opt-in)' 방식도 이같은 압력으로부터 벗어날 수 있는 하나의 대안이 될 수 있다"고 말했다.
최근 메시징 앱의 보안 강화 추세는 일반적인 현상이다. 개인 정보의 유출을 우려하는 사용자들을 확보하기 위한 것도 있지만, 교통이나 쇼핑, P2P 결제와 같은 금융 서비스가 폭넓게 적용되고 있어 이를 위한 보안 플랫폼의 수요가 급증한 탓이다.
페이스북은 메신저 앱이 사용자간 소통의 중심이 되도록 하기 위해 주기적인 보안 업데이트를 해왔지만 이처럼 고도화된 대규모 개인정보 보안 업데이트는 이번이 처음이다.