메신저, 화상회의 등 다양한 디지털 커뮤니케이션 수단에 쓰이는 종단간 암호화
향후 구글 메시지 앱 같은 문자 메시지에도 종단간 암호화 적용 예정
[보안뉴스 이상우 기자] 중세 유럽을 배경으로 하는 영화, 드라마 등에서는 편지를 보낼 때 녹은 밀납을 붓고, 그 위에 가문의 인장을 찍어 봉인하는 장면이 종종 등장한다. 이는 편지를 전달하는 과정에 전령 등 타인이 내용을 훔쳐볼 수 없게 하기 위한 수단이다. 누군가 봉인을 뜯어 내용을 본다면, 이 과정에서 봉인이 훼손되기 때문에 편지를 받는 사람 입장에서도 ‘이 문서 내용은 아직 타인이 보지 않았다’는 것을 확인할 수 있는 수단이 된다.
[이미지=utoimage]
오늘날 전자 메시지를 주고받을 때는 이처럼 밀납과 인장을 사용하지는 않지만, 종단간 암호화(E2EE, End to End Encryption)가 이와 같은 역할을 하고 있다. 종단간 암호화란 메시지 발신자부터 최종 사용자까지, 즉 메시지 전달 과정의 가장 끝에서 끝까지 도달하는 동안 내용을 암호화하는 방식이다. 암호화한 내용을 평문으로 되돌리기 위한 암호화 키는 최종 사용자만 보유하고 있기 때문에 메시지를 주고받는 당사자 외에는 이 내용을 알 수 없다.
주고 받는 당사자만 확인할 수 있는 메시지
오늘날 네트워크를 통해 다른 PC(클라이언트)로 전송되는 정보는 거의 대부분 기록을 남긴다. 가령, 스마트폰을 이용해 와이파이(무선 공유기)에 접속했다면 무선 공유기는 어떤 사용자가 접속했는지 기록을 남기기 위해 기기의 하드웨어 주소(MAC 주소)와 접속 시간 등을 남기며, 네트워크 관리자는 해당 사용자가 어떤 사이트에 접속했는지 같은 정보를 확인할 수 있다. 뿐만 아니라 스마트폰과 공유기 사이에 주고받는 정보(패킷)를 탈취할 경우, 보안이 취약한 방식을 이용한다면 사용자가 웹 사이트에서 입력한 내용(ID와 비밀번호 등)이 노출되는 것도 가능하다. 뿐만 아니라 서버를 거쳐 상대방에 메시지를 보내는 과정에서 이 내용이 상대방에게 평문으로 저장 및 전송된다면 통신 과정에 접근할 수 있는 누구나 내용을 무단으로 열어볼 수 있게 된다.
이 때문에 전송하는 데이터에 대해서 암호화가 필요하다. 예를 들어보자. A라는 사람이 B라는 사람에게 이메일을 보낸다면, A가 보낸 메일은 B가 사용하는 메일서버에 도달한다. B는 이후 해당 메일서버에 접속해 자신에게 온 이메일을 내려받아 확인할 수 있다. 그런데 이 내용이 암호화되지 않았다면, 해당 메일서버에 접근할 수 있는 누구나 이메일 내용을 확인할 수 있다.
여기에 통신구간 암호화를 적용한다면 허가되지 않은 외부인은 전송되는 메시지에 쉽게 접근할 수 없다. A와 B 사이에 이메일을 중계하는 메일서버에 암호화 키를 보관하고, B는 신원 증명 등을 통해 이 키를 받고 서버에 있는 메시지를 읽는 방식이다. 하지만, 메일서버가 공격당해 암호화 키가 유출될 경우 타인이 메시지에 접근할 수 있으며, 수사기관 등이 특정한 목적을 가지고 해당 키를 요구할 수도 있다.
종단간 암호화는 이와 조금 다른 방식이다. 구간 암호화의 경우 A가 메시지를 보낸 대상은 실제로는 B가 아니라 메일서버다. 이와 달리, 종단간 암호화는 최종 수신자가 B이며, 암호화 키 역시 B에게 있다. 때문에 메시지 전송 과정에서 끝과 끝에 있는 사람, 즉 메시지를 발송하는 사람과 수신하는 사람만 내용을 볼 수 있으며, 악의적인 해커의 공격으로부터 메시지 내용을 보호할 수 있다. 특히, 수사기관의 개입으로 서버를 직접 수색하더라도 서버에는 암호화된 메시지만 보관되기 때문에 이를 해독하기 어려워 개인의 프라이버시를 지킬 수 있다.
메신저, 화상회의 등 다양한 분야에 적용되는 종단간 암호화
오늘날 국내에서 주로 쓰이는 메신저 카카오톡은 비밀대화라는 이름으로, 라인은 레터실링이라는 이름으로 종단간 암호화 기능을 제공한다. 사실 지난 2014년, 국내에서는 메신저로 주고 받은 내용에 대한 감청으로 큰 이슈가 있었다. 통신구간 암호화를 적용한 일부 메신저 서비스가 수사기관의 요청에 따라 일부 사용자의 대화자료를 제공하면서 민간인 사찰과 사생활 침해에 대한 논란이 발생했다. 이에 따라 국내 사용자는 정부의 감청 등을 우려하며 종단간 암호화를 제공하는 텔레그램 등 해외 메신저로 ‘사이버 망명’을 떠나기도 했다.
▲라인 레터실링 기능[자료=네이버]
글로벌 화상회의 서비스인 줌 역시 종단간 암호화에 대한 이슈가 있었다. 줌은 과거 종단간암호화를 지원한다고 소개한 바 있으나, 지난해 초 자사의 블로그를 통해 이 용어를 잘못 사용해 왔다고 밝혔다. 줌의 경우 최종 사용자 사이의 암호화가 아닌 사용자와 서버 사이에 전송되는 데이터만 암호화했으며, 이를 복호화하는 키를 서버에 보관하는 통신구간 암호화를 적용해 왔다. 특히, 당시 줌 서버 중 일부는 사이버 검열이 심한 국가에 위치한 것으로 알려져 더 큰 논란이 됐다.
결국 줌은 2020년 10월, 회의 내용에 종단간 암호화를 적용하겠다고 발표했다. 과거 서버에서 암호화 키를 생성해 회의참석자에게 전달하던 방식과 달리, 종단간 암호화를 통해 회의 개설자 단에서 암호화 키를 생성해 암호화하고, 회의 참가자는 이 키를 직접 개설자에게 전달받아 메시지를 복호화한다. 줌에 따르면 암호화에는 AES-256 알고리즘을 통해 대화 참가자의 회의 내용을 보호하며, 줌은 물론 모든 외부인이 회의 내용을 볼 수 없도록 조치했다고 밝혔다.
앞서 언급한 것처럼 네트워크를 통해 전송되는 모든 정보는 어떤 방식으로든 타인이 접근할 수 있다. 이러한 정보를 원하는 사람에게만 전달하기 위해 필요한 기술이 암호화이며, 종단간 암호화는 메시지를 볼 수 있는 사람을 한정해 보안을 강화하는 방식이다.
하지만 종단간 암호화 역시 완벽하지는 않다. 이미 사이버 공격자가 최종 사용자 단말기에 악성코드를 설치한다면 복호화된 상태의 메시지를 직접 확인하는 것이 가능하다. 뿐만 아니라, 아무리 강력한 암호화 기술을 적용하더라도 언젠가는 이를 키 없이 해독할 수 있는 컴퓨팅 기술이 등장할 수 있다. 실제로 해제하는 것이 불가능에 가깝다고 여겨지던 RSA 알고리즘 역시 양자컴퓨팅 시대의 도래와 함께 위협받고 있다. 종단간 암호화 역시 마찬가지다. 수준 높은 암호화를 적용했다 한들, 결국 메타데이터가 쌓이고 이걸 해석할 수 있는 컴퓨팅 기술이 등장한다면 암호화된 메시지를 실시간으로 감청하는 것 역시 가능해질 수 있다는 의미다.
[이상우 기자(boan@boannews.com)]
향후 구글 메시지 앱 같은 문자 메시지에도 종단간 암호화 적용 예정
[보안뉴스 이상우 기자] 중세 유럽을 배경으로 하는 영화, 드라마 등에서는 편지를 보낼 때 녹은 밀납을 붓고, 그 위에 가문의 인장을 찍어 봉인하는 장면이 종종 등장한다. 이는 편지를 전달하는 과정에 전령 등 타인이 내용을 훔쳐볼 수 없게 하기 위한 수단이다. 누군가 봉인을 뜯어 내용을 본다면, 이 과정에서 봉인이 훼손되기 때문에 편지를 받는 사람 입장에서도 ‘이 문서 내용은 아직 타인이 보지 않았다’는 것을 확인할 수 있는 수단이 된다.
[이미지=utoimage]
오늘날 전자 메시지를 주고받을 때는 이처럼 밀납과 인장을 사용하지는 않지만, 종단간 암호화(E2EE, End to End Encryption)가 이와 같은 역할을 하고 있다. 종단간 암호화란 메시지 발신자부터 최종 사용자까지, 즉 메시지 전달 과정의 가장 끝에서 끝까지 도달하는 동안 내용을 암호화하는 방식이다. 암호화한 내용을 평문으로 되돌리기 위한 암호화 키는 최종 사용자만 보유하고 있기 때문에 메시지를 주고받는 당사자 외에는 이 내용을 알 수 없다.
주고 받는 당사자만 확인할 수 있는 메시지
오늘날 네트워크를 통해 다른 PC(클라이언트)로 전송되는 정보는 거의 대부분 기록을 남긴다. 가령, 스마트폰을 이용해 와이파이(무선 공유기)에 접속했다면 무선 공유기는 어떤 사용자가 접속했는지 기록을 남기기 위해 기기의 하드웨어 주소(MAC 주소)와 접속 시간 등을 남기며, 네트워크 관리자는 해당 사용자가 어떤 사이트에 접속했는지 같은 정보를 확인할 수 있다. 뿐만 아니라 스마트폰과 공유기 사이에 주고받는 정보(패킷)를 탈취할 경우, 보안이 취약한 방식을 이용한다면 사용자가 웹 사이트에서 입력한 내용(ID와 비밀번호 등)이 노출되는 것도 가능하다. 뿐만 아니라 서버를 거쳐 상대방에 메시지를 보내는 과정에서 이 내용이 상대방에게 평문으로 저장 및 전송된다면 통신 과정에 접근할 수 있는 누구나 내용을 무단으로 열어볼 수 있게 된다.
이 때문에 전송하는 데이터에 대해서 암호화가 필요하다. 예를 들어보자. A라는 사람이 B라는 사람에게 이메일을 보낸다면, A가 보낸 메일은 B가 사용하는 메일서버에 도달한다. B는 이후 해당 메일서버에 접속해 자신에게 온 이메일을 내려받아 확인할 수 있다. 그런데 이 내용이 암호화되지 않았다면, 해당 메일서버에 접근할 수 있는 누구나 이메일 내용을 확인할 수 있다.
여기에 통신구간 암호화를 적용한다면 허가되지 않은 외부인은 전송되는 메시지에 쉽게 접근할 수 없다. A와 B 사이에 이메일을 중계하는 메일서버에 암호화 키를 보관하고, B는 신원 증명 등을 통해 이 키를 받고 서버에 있는 메시지를 읽는 방식이다. 하지만, 메일서버가 공격당해 암호화 키가 유출될 경우 타인이 메시지에 접근할 수 있으며, 수사기관 등이 특정한 목적을 가지고 해당 키를 요구할 수도 있다.
종단간 암호화는 이와 조금 다른 방식이다. 구간 암호화의 경우 A가 메시지를 보낸 대상은 실제로는 B가 아니라 메일서버다. 이와 달리, 종단간 암호화는 최종 수신자가 B이며, 암호화 키 역시 B에게 있다. 때문에 메시지 전송 과정에서 끝과 끝에 있는 사람, 즉 메시지를 발송하는 사람과 수신하는 사람만 내용을 볼 수 있으며, 악의적인 해커의 공격으로부터 메시지 내용을 보호할 수 있다. 특히, 수사기관의 개입으로 서버를 직접 수색하더라도 서버에는 암호화된 메시지만 보관되기 때문에 이를 해독하기 어려워 개인의 프라이버시를 지킬 수 있다.
메신저, 화상회의 등 다양한 분야에 적용되는 종단간 암호화
오늘날 국내에서 주로 쓰이는 메신저 카카오톡은 비밀대화라는 이름으로, 라인은 레터실링이라는 이름으로 종단간 암호화 기능을 제공한다. 사실 지난 2014년, 국내에서는 메신저로 주고 받은 내용에 대한 감청으로 큰 이슈가 있었다. 통신구간 암호화를 적용한 일부 메신저 서비스가 수사기관의 요청에 따라 일부 사용자의 대화자료를 제공하면서 민간인 사찰과 사생활 침해에 대한 논란이 발생했다. 이에 따라 국내 사용자는 정부의 감청 등을 우려하며 종단간 암호화를 제공하는 텔레그램 등 해외 메신저로 ‘사이버 망명’을 떠나기도 했다.
▲라인 레터실링 기능[자료=네이버]
글로벌 화상회의 서비스인 줌 역시 종단간 암호화에 대한 이슈가 있었다. 줌은 과거 종단간암호화를 지원한다고 소개한 바 있으나, 지난해 초 자사의 블로그를 통해 이 용어를 잘못 사용해 왔다고 밝혔다. 줌의 경우 최종 사용자 사이의 암호화가 아닌 사용자와 서버 사이에 전송되는 데이터만 암호화했으며, 이를 복호화하는 키를 서버에 보관하는 통신구간 암호화를 적용해 왔다. 특히, 당시 줌 서버 중 일부는 사이버 검열이 심한 국가에 위치한 것으로 알려져 더 큰 논란이 됐다.
결국 줌은 2020년 10월, 회의 내용에 종단간 암호화를 적용하겠다고 발표했다. 과거 서버에서 암호화 키를 생성해 회의참석자에게 전달하던 방식과 달리, 종단간 암호화를 통해 회의 개설자 단에서 암호화 키를 생성해 암호화하고, 회의 참가자는 이 키를 직접 개설자에게 전달받아 메시지를 복호화한다. 줌에 따르면 암호화에는 AES-256 알고리즘을 통해 대화 참가자의 회의 내용을 보호하며, 줌은 물론 모든 외부인이 회의 내용을 볼 수 없도록 조치했다고 밝혔다.
앞서 언급한 것처럼 네트워크를 통해 전송되는 모든 정보는 어떤 방식으로든 타인이 접근할 수 있다. 이러한 정보를 원하는 사람에게만 전달하기 위해 필요한 기술이 암호화이며, 종단간 암호화는 메시지를 볼 수 있는 사람을 한정해 보안을 강화하는 방식이다.
하지만 종단간 암호화 역시 완벽하지는 않다. 이미 사이버 공격자가 최종 사용자 단말기에 악성코드를 설치한다면 복호화된 상태의 메시지를 직접 확인하는 것이 가능하다. 뿐만 아니라, 아무리 강력한 암호화 기술을 적용하더라도 언젠가는 이를 키 없이 해독할 수 있는 컴퓨팅 기술이 등장할 수 있다. 실제로 해제하는 것이 불가능에 가깝다고 여겨지던 RSA 알고리즘 역시 양자컴퓨팅 시대의 도래와 함께 위협받고 있다. 종단간 암호화 역시 마찬가지다. 수준 높은 암호화를 적용했다 한들, 결국 메타데이터가 쌓이고 이걸 해석할 수 있는 컴퓨팅 기술이 등장한다면 암호화된 메시지를 실시간으로 감청하는 것 역시 가능해질 수 있다는 의미다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
