펌) 텔레그램 과연 안전할까?

 

 

 

카카오톡에 파일 첨부시 나오는 안내 메시지 다

 

많은 사람들이 이미 알고 있지만 한국 정부가 아주 지랄이 났는데

 

기어코 감시를 하려 들겠다고 하는데 ...

 

그러면 우리는 어떻게 정부의 감시를 피할 수 있을까???

 

이 질문에 대한 정답은 바로?

 

해외 메신저를 쓰면 된다.

 

근데 보통 해외 안전한 메신저 말하면 텔레그램만 떠올리던데.

 

그래서 그에 대한 이야기를 해보려고 한다

 

 

1. 텔레그램은 그리 안전하지 못하다.

 

아니 이게 머선? 소린가.

대한민국 범죄자들은 다 텔레그램 쓰는 거 아닌가?

해외 범죄자들도 텔레그램 쓸텐데? 그렇다. 그런 놈들도 텔레그램 쓴다.

 

텔레그램도 꽤 안전하긴 하다.

그러나 텔레그램은 최고의 선택이 아니다. 이유는 다음과 같다.

 

 

가. 텔레그램은 종단간 암호화가 아니다.

 

종단간 암호화는(단대단 암호화라고도 하고, E2EE라고도 한다.), 채팅 내용의 암호키가 서버에 저장되어 있는 것이 아니라, 오직 단말기에만 저장되어 있는 것을 말한다.

 

예를 들어 A가 B에게 채팅앱으로 메시지를 보낸다고 하자. 둘이 메시지를 주고받을 때, 채팅 서버를 통한다. 서버는 채팅앱 회사가 갖고 있을 거고.

 

그러면 회사 직원이나 서버를 감청하는 정부 요원은 오가는 메시지를 읽을 수 있다.

 

종단간 암호화가 적용되면, A는 B만 열어볼 수 있게 메시지를 암호화해서 보낸다. 그러면 회사 직원도 정부 요원도 그 메시지를 읽어볼 수 없다. (혼동하면 안된다. 일반적으로 채팅 앱이 암호화를 한다고 하면 A가 서버만 열어볼 수 있게 암호화한다는 거다. 그러면 서버에서 열어서 처리해서 B만 열어볼 수 있게 암호화해서 B한테 보낸다. 중요한 건 서버가 메시지를 읽을 수 있냐 없냐의 문제다.) 

 

텔레그램에는 이러한 종단간 암호화가 기본적으로 적용되어 있지 않다.

 

텔레그램이 암호화되어있어서 안전하다고 생각하는 사람이 많은 것 같다. 아니다. 그런 암호화는 카톡에도 적용되어있다

 

 

 

"기관"과 비밀 채팅을 시작하시겠습니까?

 

텔레그램에서 기본 채팅은 종단간 암호화가 적용되어 있지 않다. Secret chat을 따로 시작해서 나오는 채팅방만 종단간 암호화가 적용된다. 그리고 그룹 채팅에는 Secret chat을 적용할 수 없다.

 

즉 기본 채팅/그룹 채팅은 텔레그램 개발자나, 정부 기관이 맘먹으면 뚫릴 수 있다는 것이다.

 

 

나. 암호화 방식이 조오금 그렇다.

 

이거는 너가 막 미국이나 러시아의 미움을 사는(NSA 내부고발 했다던가, 테러범이라던가, 랜섬웨어 뿌린다던가, 실아청물을 만든다던가) 사람이 아니면 괜찮긴 하다.

 

다음은 텔레그램의 암호 구조이다.

 

 

 

뭐 대충 이렇다. 이게 문제가 뭐냐면, 뭔가 비표준적인 알고리즘이라는 것이다. 원래 MAC이 들어갈 자리에 SHA-256이 들어가있다던가, 내가 살다가 AES-IGE라는건 첨 들어본다.

 

Don't roll your own crypto라는 말이 있다. 너가 암호학 박사가 아니면 암호 알고리즘을 새로 만들지 말란 말이다. 이걸 만든 파벨 두로프는 수학 박사다. 암호학이 아니란 말이다.

 

그래서 텔레그램은 알고리즘 취약점을 꽤 많이 지적당했다. 그때마다 고쳐서 나아지긴 했는데, 정말 그게 다 고쳐진 게 맞을까? 저기 NSA는 암호학자를 존나 많이 고용한 것으로 유명하다. 걔네들이 정말 아는 게 없을까?

 

다시 말하지만 이거는 너가 막 미국이나 러시아의 미움을 사는(NSA 내부고발 했다던가, 테러범이라던가, 랜섬웨어 뿌린다던가, 실아청물을 만든다던가) 사람이 아니면 괜찮긴 하다. 근데 언제나 좋은 게 좋은 거니깐..

 

 

다. 전화(번호)를 압수당하면 채팅이 털린다.

 

이건 중요하다.

 

너의 채팅 내용은 텔레그램 서버에 저장되어 있다. 얘는 암호화되어 있다. 근데 종단간 암호화가 아니라고 했지? 암호키도 텔레그램 서버에 저장되어 있다.

 

엥 그럼 완전 쓸모없는거 아님??? 그건 아니다. 일단 서버 위치를 공개를 안하고, 암호키가 여러 나라 서버에 분산돼서 저장되있거든. 대충 두바이에 5분의 1, 저기 스위스에 5분의 1, 루마니아에 5분의 1, 아일랜드에 5분의 1, 셰이셀 공화국에 5분의 1, 이런 느낌으로 암호키를 나눠서 저장한다. (실제가 아니라 대충 예를 든거임. 그리고 혹시 암호 배우는 넘들은 그렇다고 암호키를 길이 단위로 잘라서 저렇게 저장하면 안된다!!!)

 

그래서 만약 아일랜드 정부에서 서버 위치를 찾아내서 압수수색영장을 발부해서 서버를 털었다고 해도 쓸모없음. 저기 다른 나라들 서버까지 다 털어야 비로소 암호화된 내용을 읽을 수 있기 때문임.

 

근데 이 암호키는 너가 텔레그램에 로그인을 하면 서버에서 받을 수 있거든. 근데 로그인을 어떻게 하더라? 문자 인증으로 함.

 

그래서 너의 문자를 볼 수 있는 사람은 너의 채팅을 읽을 수 있음. 경찰이 니 핸드폰 압수해서 유심을 다른 데 꼽고 로그인한다던가, 그것도 할 거 없이 그냥 니 문자를 감청하도록 한 다음에 로그인한다던가 하는 식으로 니 텔레그램에 완전히 접근할 수 있음. (이거 갖고 무슨 좋은 과학수사 기법 그런거로 상탔더라? 병신들 고작 그런 아이디어 갖고 상을 주냐)

 

이건 비밀번호를 설정하면 막을 수 있음.

 

 

 

여기서 Passcode와 Two-Step Verification을 무조건 켜놓을것!!!!!

 

 

라. 전화번호 가리기

 

텔레그램을 쓰면서 내 신상을 숨길 때는 각별한 주의가 필요하다. 텔레그램 기본 설정은 전화번호를 털리기 딱좋기 때문이다.

 

 

 

 

 

무조건 전화번호를 누구에게도 보여주지 않도록 설정하고, 전화번호로 나를 찾을 수 있는 사람도 My Contacts(연락처)에 있는 사람으로 한정하자. 저렇게 안하면 모르는 사람이 니 전화번호로 너를 역추적 할 수 있게 된다.

 

개인적으로는 전화번호로 역추적하는거도 완전 불가능하게 만들어야 한다고 생각하는데... 텔레그램은 그게 안 된다. My Contacts(연락처)에 있는 사람은 그걸 할 수 있다. 그러니 연락처에 누구를 추가할 때는 정말 100% 아는 사람만 해야 한다.

 

 

마. 그래도 전화번호는 털린다.

 

만약 너가 정말로 전화번호를 가리고 싶으면, 그냥, 저기 해외 사이트 찾아서 해외 문자 인증 서비스 있다. 그런거 써라.

 

내가 알기로, 옛날에 010-0000-0000부터 010-9999-9999까지 다 친추 돌려서 UID를 따낸 사례가 있다.

 

그러면 너가 그룹채팅방에 있다고 치면, UID는 공개되어 있는 내용이기 때문에, 그걸 바탕으로 너를 역추적할 수 있다. 처신 잘해라.

 

 

 

2. 그러면 무슨 메신저를 써야 하는가?

 

아래는 내가 아는 한 안전하고 좋은 메신저 앱들이다.

 

서로 전화번호를 아는 사람과 안전한 채팅을 하고 싶으면: Signal(시그널)

 

 

 

 

 

시그널은 기본적으로 종단간 암호화가 되어있다. 1:1 채팅부터 그룹 채팅까지 완전히 종단간 암호화를 지원한다. 심지어 얘네들은 집착증이 있어서 스티커까지 암호화되어있다.

 

사실 위에서 겁을 많이 주긴 했만, 위에서 말한 것만 잘 따르면 텔레그램도 어느정도 안전하게 쓸 수 있긴 하다. 텔레그램을 아주 갖다버릴 필요는 없다. 그렇지만 텔레그램이 문제점이 있는 것도 사실이긴 하다.

 

많은 사람들이 텔레그램을 쓴다/다른 앱이 더 안전하다 사이에서, 너한테 어느 쪽이 맞을지는  선택해서 쓰면 되겠다.

 

아무튼 전화번호를 모르는 사람과 안전한 채팅을 하고 싶으면: Session(세션)

 

 

 

 

 

세션은 니 전화번호도 이메일도 아이디도 입력받지 않는다. 대신 널 나타내는 아주 긴 아이디를 하나 랜덤으로 생성해준다. 즉 가입하면서 니 신상이 엮여서 저장될 일이 전혀 없다는 뜻이다. 마찬가지로 종단간 암호화된다.

 

그리고 세션은 중앙 서버가 없고 완전히 탈중앙화되어있다. Tor(토르) 브라우저처럼 작동한다고 생각하면 편함