Signal 메신저 앱 리뷰: 수사협조와 정부 자금 의혹
Signal 사용자가 한국에서는 극소수라 리뷰가 많지 않습니다. ‘시그널‘ 메신저는 일반인들에게는 이름 자체도 생소한데요. 메신저 앱의 핵심은 ‘소통’이기 때문에 사용자 수가 적으면 어쩔 수 없는 현상이긴 합니다. 일본과 동남아에서 한국에서의 카카오톡 만큼의 확고한 위치에 오른 ‘라인’도 한국에서 사용하는 사람을 찾기 어려운 것만 보더라도 시그널의 존재감은 미미할 수 밖에 없습니다.
최근 프랑스 경찰로 인해 텔레그램 대표 체포됐다는 소식이 들려오면서 혹시 텔레그램이 위태로워지거나 보관된 로그를 제공하지 않을까하는 불안함에 텔레그램 대체 앱을 찾으시는 분들도 생기고있어 Signal 메신저에 대한 정보룰 공유하고자 글을 올립니다.
시그널(Signal) 소개
시그널(Signal)은 메시지 전송 뿐 아니라 음성 통화, 영상 통화도 가능하며 그룹 채팅 기능도 포함하고 있습니다. 시그널의 장점은 ‘오픈 소스’ 앱이고, ‘종단 간 암호화’를 제공한다는 것인데요. 프라이버시 중심 서비스라면 E2EE는 빠질 수 없는 요소입니다.
종단간 암호화(E2EE)란?
중요한 부분이지만 자세히 알 필요는 없기 때문에 간단하게 설명하고 넘어갈게요.
메신저에서 ‘종단 간 암호화’는 통신을 주고받는 두 당사자인 ‘발신자’ 그리고 ‘수신자’만 주고 받은 메시지를 읽을 수 있도록 하는 보안 방식입니다. E2EE라는 이름으로 불리는 이유는 End-to-end encryption의 줄임말인데 to를 2로 표기한 것입니다.
종단간 암호화 쉬운 설명을 읽어보시면 이 부분에 대한 개념을 잡고 넘어갈 수 있어 다음에 비슷한 주제의 글을 봤을때 이해가 수월합니다.
시그널에 대한 주요 사실:
- 무료 : 독립적인 비영리 조직으로 운영되며 앱 개발과 회사 유지 비용은 기부금과 보조금으로 운영됨.
- 종단간 암호화 방식: 시그널은 자체적으로 Signal Protocol을 만들어 사용합니다. 대화를 주고 받는 당사자들끼리만 메세지를 확인할 수 있으며 시그널 본사도 중간에서 어떤 대화가 오가는지 알 수 없습니다.
- 오픈 소스: 시그널의 코드는 Github에 오픈 소스로 공개되어 있어 누구나 코드 내부를 들여다보고 검토, 감사 및 기여할 수 있습니다. 프로토콜과 앱 모두 공개되어있기 때문에 이러한 투명성은 큰 장점입니다. 전세계 수 많은 눈들이 감시하기 때문에 높은 신뢰성을 가지며, 백도어 혹은 악성코드 걱정을 하지 않아도 됩니다.
- 광고 및 트래커 없음: 시그널은 아직까지는 광고를 띄우지 않습니다. 그리고 사용자를 추적하는 트래커도 없으며 데이터를 수집하지 않습니다. 기부와 후원금으로 운영되고 있는데 텔레그램도 사용자가 많아지게 된 후 유료화를 검토했으니 나중에는 어떻게 바뀔지 모르겠습니다.
- 다중 플랫폼 지원: 시그널은 안드로이드, iOS, 데스크탑(윈도우, macOS, 리눅스)에서 사용 가능하며 앱 소스 또한 모두 오픈 소스로 깃헙에 공개되어있습니다.
시그널 만든 사람, 재단과 조직:
- 창립자: 시그널은 목시 말린스파이크(Moxie Marlinspike, 본명: 매튜 로젠펠드)와 브라이언 액튼(Brian Acton) 두 공동 창업자 의해 개발되었습니다.
- 목시 말린스파이크
- 2010년 – 유명한 암호학자이자 보안 연구자로, 그가 설립한 Whisper Systems에서 2010년 5월에 TextSecure, Redphone를 출시했습니다. 종단간 암호화 SMS 메시징 및 음성 통화 앱이었습니다.
- 2011년 – 바로 다음해에 트위터에서 회사를 인수하고 목시 말린스파이크도 트위터로 들어가 사이버 보안 책임자로 일하게 되었고, 두 앱은 오픈 소스로 만들었습니다.
- 2013년 – 트위터에서 나와 Open Whisper Systems를 다시 설립하고 TextSecure, Redphone의 지속적인 개발을 위해 프로젝트 및 Signal Protocol 개발 시작
- 2014년 – Signal Protocol은 TextSecure를 통해 처음 소개됨.
- 2015년 – TextSecure 및 RedPhone 애플리케이션을 Signal로 통합
- 2016년 – 2014년부터 2016년 사이에 Marlinspike는 WhatsApp, Facebook 및 Google과 협력하여 Signal Protocol을 메시징 서비스에 통합
- 2018년 – 말린스파이크와 Whats App의 공동 창립자인 브라이언 액턴은 501(c)(3) 비영리 단체인 Signal Foundation과 그 자회사인 시그널 메신저 LLC의 설립을 발표
- 2022년 1월까지 시그널의 CEO를 역임했습니다. (그 이후에는 재단 산하의 자체 비영리 단체인 Signal Messenger의 CEO 및 수석 개발자로 남을 것)
- 브라이언 액튼은 WhatsApp의 공동 창립자로, Facebook이 WhatsApp을 인수한 후 회사를 떠나 목시 말린스파이크와 함께 2018년 시그널 재단을 설립했습니다.
- 구글 임원 겸 AI 연구자인 메러디스 휘태커(Meredith Whittaker)가 시그널의 새로운 대표로 임명
- 목시 말린스파이크
- 시그널 재단: 2018년에 설립된 시그널 재단은 시그널 앱의 개발을 지원하는 비영리 단체입니다. 이 재단을 설립할때 브라이언 액튼이 제공한 5천만 달러로 시작되었다고 하네요. 액튼은 재단의 이사회 의장을 맡았습니다.
- 자금: 시그널은 빅테크 기업의 투자나 벤처 캐피털 자금, 광고 등에 의존하지 않고 기부와 사용자들의 후원을 통해 운영됩니다.
개인정보 보호 정책
2024년 8월 27일에 확인한 정책이며 Signal Privacy Policy 정책은 2018년 5월 25일 이후로 업데이트되지 않았습니다. 이는 그만큼 일관성있게 유지되어왔다느 뜻으로 해석할 수 있습니다.
여러분이 궁금해할 부분만 요약했어요.
- 사용 최소 연령 : 미국에서는 13세 이상부터 사용가능하며 국가별 나이 제한이 다름.
- 계정 등록 : 전화번호를 사용하여 서비스 등록
- 메시지 : Signal은 메시지 또는 통화 내용을 복호화하거나 액세스할 수 없습니다.
- 무작위로 생성된 인증 토큰, 키, 푸시 토큰 및 통화를 설정하고 메시지를 전송하는 데 필요한 기타 자료를 포함한 추가 기술 정보가 당사 서버에 저장됩니다. Signal은 이러한 추가 기술 정보를 서비스 운영에 필요한 최소한의 정보로 제한
- 장치에 있는 연락처의 정보는 암호화된 해시로 해시되어 서버로 전송
- Signal이 사용자의 데이터를 공유할 수 있는 정보
- 관련 법률, 규정, 법적 절차 또는 강제력이 있는 정부 요청을 충족하기 위해.
- 잠재적 위반에 대한 조사를 포함하여 해당 약관을 집행하기 위해.
- 사기, 보안 또는 기술적 문제를 감지, 예방 또는 해결하기 위해.
- 법에서 요구하거나 허용하는 바에 따라 Signal, 사용자 또는 대중의 권리, 재산 또는 안전에 대한 피해로부터 보호하기 위해.
- 개인 정보 보호 정책 문의 : privacy@signal.org
익명과 프라이버시의 차이
여러분이 Signal을 찾으시는 이유는 다양하겠지만 아마도 텔레그램 만큼 익명에 가까운 상태로 사용하고 작은 흔적을 남기더라도 수사 협조를 해주지 않는 정책일 것입니다. 여러분은 우선 ‘익명’과 ‘프라이버시’의 차이점부터 아셔야 합니다.
간단하게 말씀드리자면 Signal은 ‘Privacy 앱’이지 ‘익명 앱’은 아닙니다. 계정 등록과 시그널 앱 사용을 위해서는 ‘여러분의 전화번호’가 필요합니다. 물론 여러분이 능력껏 추적을 따돌릴 수 있는 전화번호를 구하실 수 있다면 익명이나 다름없이 사용가능하겠지만요.
대화 내용은 확실하게 ‘종단 간 암호화(E2EE)’로 시그널 본사도 알 수 없도록 보호해주지만 Signal 메신저를 통해 범죄를 저질렀다면 텔레그램만큼 사용자의 정보와 Log를 보호해줄지는 확신할 수 없습니다.
텔레그램도 전화번호가 필요하지만 파벨 두로프가 텔레그램 본사를 UAE에 세운 이유는 법망이 촘촘하고 강력한 국가(미국, 유럽 등)에 본사를 세우면 수사 협조와 각종 요구로부터 피곤해지기 때문일 것입니다. 하지만 시그널은 미국에 있죠.
수사 협조
시그널 본사 주소는 Privacy Signal Messenger, LLC 650 Castro Street, Suite 120-223 Mountain View, CA 94041 입니다. 캘리포니아, 즉 미국 기업입니다. 그렇기 때문에 미국 법의 통제를 받으며 미국 법원의 명령이 있으면 따를 수 밖에 없습니다.
유튜브, 인스타그램, 페이스북 등 유명 미국 기업들이 한국 경찰의 수사 요청을 무시하기로 유명하기도 하지만 그동안 한국의 수사 기관이나 고소인측에서 제대로 된 방법을 몰랐거나 그 프로세스가 굉장히 복잡하고 비용이 많이 들 수 있기 때문에 포기한거지 수사 협조를 절대 하지 않는게 아닙니다. 최근 한국 아이돌 소속사가 유튜브로부터 피고소인의 정보를 얻을 수 있었던 것만 보더라도 미국 기업은 미국 법원의 명령만 확실하게 있으면 제공하게 되어있습니다. 그 대표적인 예가 ‘탈덕수용소’ 입니다. 요즘 법을 통해 제대로 응징당하고 있죠.
하지만 시그널은 국가 기관의 요청이 들어오더라도 No Log에 가깝다고 할 수 있기 때문에 이론적으로는 내어줄 수 있는 정보가 거의 없어서 수사 협조가 되지 않을거라 생각합니다. (저의 주관적 판단입니다.)
긍정적으로 보는 기술적 장점
시그널 메신저의 경우 우리 입장에서 긍정적인 부분은 서버에 저장하는 데이터는 최소화되어 있으며, 이로 인해 수사 기관이 요청할 수 있는 정보는 주로 계정 생성 시 사용한 전화번호와 서비스의 마지막 접속 시간 정도입니다. 대화 내용이나 메타데이터 등은 서버에 저장되지 않기 때문에 제공할 수 없습니다.
수사 기관이 협조 요청을 하더라도 제공할 수 있는 정보가 매우 제한적입니다. Signal이 서버에 저장하는 데이터는 최소화되어 있으며, 이로 인해 수사 기관이 요청할 수 있는 정보는 주로 계정 생성 시 사용한 전화번호와 서비스의 마지막 접속 시간 정도입니다. 대화 내용이나 메타데이터 등은 서버에 저장되지 않기 때문에 제공할 수 없습니다.
대화 목록, 사용자의 GPS 위치 정보, 사용자의 프로필, 아바타 정보, 연락처, 소셜 그래프 등의 기록은 저장되지 않습니다. 따라서 Signal은 수사 협조 요청에 응할 수는 있지만, 실제로 제공할 수 있는 정보는 매우 제한적이며, 이는 사용자 프라이버시를 보호하기 위한 의도적인 설계로 볼 수 있습니다.
기술적으로도 Signal Protocol은 오픈 소스라는 장점 뿐 아니라 장기간 시장에서 검증받은 기술이고, 시그널 프로토콜을 통해서 종단 간 암호화만 되는게 아니라 Sealed sender를 통해 ‘발신자의 인증서 및 메세지 암호’가 포함된 정보 또한 수발신자의 ID를 통해서 암호화되어 전달됩니다.
음성/영상 통화 역시 P2P 송수신으로 가능하기 때문에 중앙 서버 저장 및 도감청에 대한 불안감은 버리셔도 좋습니다. 다만 P2P 통화는 본인의 IP 주소가 보이는데 이 부분이 싫으시다면 VPN을 한번 사용해보세요. VPN 정보는 저의 블로그 메뉴에서 보실 수 있습니다.
의혹
익명 방문자님께서 주신 댓글 내용 중 하나에 호기심이 생겨서 제가 좀 더 찾아봤습니다.
Signal은 Edward Snowden이 매일 사용한다고 말하면서 더 신뢰를 얻었습니다. 특히 감청, 검열 분야에서 스노든의 한마디는 매우 파급력이 큽니다. 여기에 일론 머스크 등 유명 인사들까지 지지하는 의견을 내놓으며 계속해서 순항하던 중 시그널에 대해 2024년 5월에 뉴욕에 위치한 언론사인 City Journal가 기사를 냅니다. – Source
(* 이 언론은 보수주의적 시각을 담은 언론임을 감안하고 읽어보세요. 본문에 left-wing, 즉 좌파라는 단어가 나오는 이유이며 글을 기고한 크리스토퍼 F. 루포는 ‘미국의 문화대혁명: 급진좌파는 어떻게 모든 것을 정복했는가’의 저자 입니다.)
정부와 연관성이 있는 OTF(Open Technology Fund)로부터 3백만 달러의 보조금을 지원받았다는 내용입니다.
기사를 요약하면 아래와 같습니다.
- 시그널은 초기에는 미국 정부가 후원하는 Open Technology Fund(OTF)로부터 300만 달러의 보조금을 받았다.
- OTF는 원래 냉전 기간 동안 반공주의 정보 서비스를 위해 설립된 Radio Free Asia에서 파생된 조직으로 OTF와 미국 정보 기관의 사이는 겉으로 보이는 것보다 깊다고 주장
- 익명을 요구한 한 사람은 “이 프로젝트가 실제로는 해커 커뮤니티가 만든 오픈 소스 인터넷 프로젝트를 미국 외교 정책 목표를 위한 도구로 활용하려는 국무부와 연결된 이니셔티브”이며 점점 더 분명해진다고 주장.
- 또 다른 문제는 시그널 재단의 현재 이사회 의장인 Katherine Maher입니다. 이 사람은 미국의 지원을 받는 정권 교체 요원으로 경력을 시작했고, 아랍의 봄 기간 동안 마허는 중동 및 북아프리카에서 미국의 외교 정책 캠페인에서 일했다는 주장
- 그녀는 Wikimedia 재단의 CEO가 되었다가, 2024년 초 National Public Radio의 CEO로 임명되었는데 그 전에 미 국무부 외교정책위원회(Foreign Affairs Policy Board)에서 1년 일했었음
- (내 의견) 그녀의 트위터 @krmaher를 보면 2022년까지도 중동 인권에 대한 트윗을 올렸습니다 있습니다. 전체 트윗이 무려 29000개가 넘음;) 그녀가 이집트 카이로의 어학원 다닌 것을 시작으로 시리아, 레바논, 튀니지에서 생활했었고 뉴욕대에서 중동 및 이슬람 연구로 학사 학위를 받았다고 합니다. 고로 중동쪽 일을 맡은게 이상해 보이진 않은것 같기도?
- 애틀랜틱 카운슬(Atlantic Council)에서의 연설에서 그녀는 “허위 정보에 대해 매우 적극적으로 대응했다”며, 정부와의 대화를 통해 검열을 조율했다.
- 시그널 재단의 회장을 맡게 된 Meredith Whittaker는 Katherine Maher가 고문으로 재직 중인 OTF와 같은 비영리 단체와의 상호 연결로 인해 Katherine Maher를 이사회로 영입.
- * 휘태커는 이전에 구글에서 13년간 일했고 2018년 2만명 이상이 참여한 Google Walkouts(파업) 핵심 주도자였으며 2019년에 구글 퇴사.
- “마허가 시그널 이사회에 합류한 것은 우려스러운 일”이라고 국가안보 분석가 J. 마이클 월러는 말합니다.
- Ruby on Rails 웹 개발 프레임워크의 창시자인 David Heinemeier Hansson도 이에 동의하며, Maher의 이사회 리더십 하에 있는 Signal Foundation을 신뢰하는 것이 “갑자기 실질적으로 더 어려워졌다”고 말합니다.
- 자유롭고 개방된 인터넷을 믿는 사람들에게 마허의 시그널 역할은 경고 신호가 되어야하며, 그녀의 이데올로기에 따르면 “인터넷 자유”는 원칙이 아니라 전술이며, “허위 정보에 맞서 싸운다”는 것은 가정을 포함하여 언론 억압을 의미합니다.라고 주장
합리적인 의심을 하는 것도 좋지만, 너무 휩쓸리는 것도 좋지 않으니 판단은 여러분이 해보시길 바랍니다.
제가 볼 땐 Katherine Maher, Meredith Whittaker 두 사람이 각자 개인적으로 특이한 사상을 가진것도 있지만 이력을 봤을때 특별하게 문제되는 부분은 없어보입니다. 글 기고자가 ‘정권 교체 요원으로 경력’이라고 주장한 부분이 확실히 검증되어야 할 것 같습니다.
다만 위키미디어에서 일할 당시 허위 정보에 대해 정부와의 대화를 통해 검열을 조율했다는 부분은 생각해봐야할 것 같네요.
OTF에 대해서 조금 더 이야기하자면, 2012년 자유아이사방송의 파일럿 프로그램으로 운영되었다가 비영리 독립 단체로 설립되었는데 Signal 뿐 아니라 Tor Project에도 자금을 지원했습니다. 만약 OTF 자금이 의심을 받으려면 Tor Browser도 동일 선상에서 평가받을 수 있습니다.
Tor 후원자 페이지에 들어가보면 가장 첫 번째 자리에 Open Technology Fund가 있고 그 바로 아래에 보면 미 국무부 산하 단체의 이름도 있습니다. 투자자와 투자금만으로 평가하자면 Tor는 Signal보다 더 의심스러운 위치에 있게 됩니다.
결론
그래서 결론적으로는 운영하는 조직도 비영리 재단에, 기술적인 부분이나 프라이버시 정책 등 매우 안전한 앱이라고 생각합니다. 하지만 한국에서는 시그널을 설치 후 대화할 사람이나 텔레그램처럼 정보를 얻을 수 있는 채널들이 거의 없기 때문에 지속적으로 사용하실분이 거의 없을거라 생각합니다.
댓글로 좋은 정보 알려주시는 익명의 방문자님께도 감사드립니다. 본문에 없는 흥미로운 내용이니 한번 읽어보세요!
시그널 예전에 두로프가 깠죠… 지금은 뭐 감방에서
🤫 트위터 설립자 잭 도르지가 공유한 기사에 따르면, ‘안전한’ 메시징 앱으로 알려진 시그널의 현재 리더들은 해외에서 미국 국무부가 정권 교체를 위해 사용하는 활동가 들이다.🥷
🥸 미국 정부는 Signal의 암호화를 구축하는 데 300만 달러를 썼고, 오늘날 정확히 동일한 암호화가 WhatsApp, Facebook Messenger, Google Messages, 심지어 Skype에도 구현되어 있습니다. 미국의 거대 기술 기업이 정부의 간섭과 무관한 자체 암호화 프로토콜을 구축하는 것이 허용되지 않는 것처럼 보입니다.🐕🦺
🕵️♂️ 내가 만난 중요한 인물 중 놀라울 정도로 많은 사람이 그들의 “비공개” Signal 메시지가 미국 법원이나 미디어에서 악용되었다고 말했습니다. 하지만 누군가가 암호화에 대해 의심을 제기할 때마다 Signal의 전형적인 대응은 “우리는 오픈 소스이므로 누구나 모든 것이 괜찮은지 확인할 수 있습니다”입니다. 하지만 그것은 속임수입니다.🤡
🕵️♂️ Telegram과 달리 Signal은 연구자들이 자신의 GitHub 코드가 사용자의 iPhone에서 실행되는 Signal 앱에서 사용된 코드와 동일한지 확인할 수 없습니다. Signal은 iOS용 재현 가능한 빌드를 추가하는 것을 거부하여 커뮤니티의 GitHub 요청을 마감했습니다. 그리고 WhatsApp은 앱의 코드조차 공개하지 않으므로 “개인정보 보호”에 대한 모든 이야기는 훨씬 더 명백한 서커스 트릭입니다.💤
🛡 Telegram은 모든 앱이 실제로 Github에 게시된 동일한 오픈 소스 코드를 사용하는지 확인할 수 있는 유일하게 인기 있는 메시징 서비스입니다. 지난 10년 동안 Telegram Secret Chats는 검증 가능한 개인 정보 보호가 가능한 유일한 인기 있는 커뮤니케이션 수단으로 남아 있습니다.💪
익명님 이모지까지 사용하셔서 이렇게 깔끔하게 정리를!!! 흥미로운 정보들을 다른 분들도 보실 수 있게 본문에 언급해두겠습니다. 댓글 감사해요
아니요 그냥 두로프의 말을 기계 번역 한 것 입니다. 최근 셀러브라이트 정보 유출에서 스마트폰의 포렌식 저항에 관한 이야기가 나왔는데 이에 관한 글도 써 주시면 좋겠네요 https://m.dcinside.com/board/galaxy/1433628?recommend=1, https://m.dcinside.com/board/galaxy/1440433
나중에 시간날때 한번 읽어보겠습니다 익명님~!
덕분에 내용 중 일부를 보강했습니다. 감사합니다.