보안 메시징 기술의 진화와 규제적 시사점
우리는 텍스트를 통해 많은 사람과 일상적으로 소통하는데, 이를 위한 방법과 도구는 매우 다양하다. 특히 커뮤니케이션의 핵심 수단으로 자리 잡은 모바일 메시징 앱은 그 편리성과 보급률만큼이나 사용자 데이터 보호 및 통신 보안 문제가 중요하게 부각되고 있으며, 통신 기술의 발전과 함께 메시징 앱의 보안 수준은 점진적으로 진화하는 것을 목격할 수 있다. 그렇다면, 비밀스러운 이야기는 어떤 것으로 하는 게 가장 안전할까?
문자 메시지, 즉 SMS(Short Message Service)는 통신사 네트워크를 기반으로 하는데, 전송 과정에서 암호화가 미흡하거나 전혀 이루어지지 않아 보안 수준이 매우 취약하다고 한다. 또한, 메시지 내용이 통신사 서버에 평문으로 저장되거나 전송 중 도청될 위험이 상존한다.
애플의 아이메시지(iMessage)는 일반적인 SMS와 달리 애플 기기 간 통신 시 메시지가 발신자와 수신자 둘 사이에서만 완전히 비밀로 유지되는 종단 간 암호화(End-to-End Encryption, E2E)를 기본으로 지원하여 메시지 내용에 대한 접근을 원천적으로 차단함으로써, 문자나 카톡보다 높은 수준의 보안을 제공한다고 한다. 그러나 사용자가 아이메시지의 아이클라우드(iCloud) 백업을 허용하는 경우, 암호화 키가 애플에 의해 관리될 수 있는 여지가 생긴다. 또한, 아이메시지가 안드로이드 사용자에게는 여전히 보안성이 낮은 SMS로 전송된다는 점도 보안 측면에서 일관된 사용자 경험을 제공하지 못하는 한계로 지적된다.
카카오톡이나 라인(LINE)과 같이 광범위하게 사용되는 인스턴트 메시징 앱은 인터넷을 통해 데이터를 전송하며, 네트워크 사업자의 기본 인프라 보안 외에 앱 자체의 보안 프로토콜을 사용한다. 이들 앱은 사용자 편의성과 광범위한 기능을 제공하지만, E2E 적용 여부나 그 범위에 따라 보안 수준이 달라진다. 두 앱 모두 기본설정에서는 E2E가 적용되지 않으나, 카카오톡은 사용자가 별도의 '비밀 채팅'을 시작하는 경우 적용되고, 라인도 일부 기능에서 적용된다. 하지만, 이들 앱은 서비스 운영, 기능 개선, 마케팅 등의 목적으로 사용자가 언제, 누구와, 얼마나 자주 대화했는지 등의 정보인 메타데이터(metadata)를 수집하는데, 이 데이터는 메시지 내용 자체는 아니지만, 사용자의 사생활이나 관계망을 유추할 수 있는 중요한 정보가 된다. 따라서 이러한 이유들로 인해, 이들 상용 앱은 편리하지만 최고 수준의 사생활 보호를 제공하는 보안 앱으로 분류되지는 않는다.
보안을 최우선으로 하는 보안 메시징 앱으로는 시그널(Signal), 텔레그램(Telegram) 등이 있는데, 이 앱들이 일반적인 메시징 앱과는 확연히 구분되는 기술적 특성을 머피 교수는 자세히 설명한다. 이 앱을 사용할 때 통신은 종단 간 암호화(E2E)되므로 발신자와 수신자만이 메시지 암호 해독에 필요한 키를 알 수 있고, 메타데이터는 제한적으로 수집된다. 또한, 머피의 설명에 따르면 이들 보안 앱은 몇 가지 고급 보안 속성을 제공하는데, 첫 번째가 순방향 비밀성(forward secrecy)이다. 이는 "공격자가 현재 키를 탈취하더라도 공격자가 이전 메시지를 탈취할 수 없는 속성"으로, 실제로는 암호학적 프로토콜인 '디피-헬만'(Diffie-Hellman) 키 교환을 사용하여 각 세션마다 키를 생성한다. 또 다른 속성인 '사후 손상 보안'(post-compromise security)은 공격자가 현재 키를 획득했더라도 미래의 통신을 도청할 수 없도록 보안을 '복구'하는 기능으로, 보안 앱의 지속적인 안전성을 보장한다.
이러한 보안 메시징 앱의 기술적 진화와 확산은 독점적인 시장 지위를 가진 거대 플랫폼 기업들에 대한 산업경쟁규제 논의에 중요한 시사점을 제공한다. 관련시장에서 보안 기능의 차별화가 경쟁의 핵심 요소로 작용하게 되어 E2E와 같은 고급 보안 기능을 제공하는 앱이 등장하면서, 기존 지배적인 앱들은 보안 기능을 강화해야 하는 압박에 직면하게 되는데, 이와 같이 보안 경쟁이 촉발되는 점은 긍정적인 현상으로 평가할 수 있다. 하지만, 보안 이슈로 인해 기존 지배적 앱들의 영향력이 약해지고, 떠오르는 보안 앱들이 자체적인 암호화 프로토콜을 사용하면서 플랫폼 간의 메시지 교환이 어려운 상호 운용성(interoperability) 및 데이터 이동성 문제가 표면화될 수 있다. 이는 사용자들이 기존의 지배적 플랫폼에 갇히는 록인(lock-in) 효과를 강화하거나 멀티호밍을 해야 하는 불편을 야기할 수 있기 때문에 규제의 정교한 설계와 개입이 필요할 수 있다.
보안 메시징 기술의 발전이 촉발하는 긍정적인 경쟁과 플랫폼 재편 속에서, 규제 당국은 기술혁신을 저해하지 않으면서도, 사용자가 자신의 데이터에 대한 궁극적인 통제권을 가지는 '데이터 주권'과 테러, 마약 거래, 아동 성착취물 유포 등 중대한 범죄 행위가 보안 기술의 익명성 뒤에 숨어 활개 치는 것을 막는 '공공 안전'을 확보할 수 있도록 정교하게 설계된 규제적 개입을 통해 디지털 통신 생태계의 복잡한 균형점을 모색해야 한다.