익명 메신저 앱 Session 분석: 텔레그램보다 안전하다.

Hours 첫 작성 : Hours 업데이트 :
Comments 4 Comments

절대 무너지지 않을 것 같았던 텔레그램에 대한 믿음에 조금씩 금이가기 시작하면서 더 안전한 대체 메신저 앱을 찾는 사람들이 늘어나는 것 같습니다. 대체 앱으로 스포트라이트를 받는 메신저 앱 중 하나가 Session 입니다. 기술적인 부분과 스펙만 보자면 가장 안전한 메신저 앱이라고 할 수 있습니다.

텔레그램이 하루아침에 무너지진 않겠지만 혹시나 파벨 두코프가 빠져나오기 위해 협상할수도 있고 반대로 감옥에 오래 갇히게되는 상황이 벌어진다면 텔레그램은 머리 잃은 몸통이 되어버리기 때문에 사용자들은 불안에 떨 수 밖에 없네요.

Session 앱 장점은 프라이버시와 보안 측면에서 Signal보다 더 강화된 기능들을 제공하기 때문입니다. 주요 이유는 다음과 같습니다:

No Server

놀랍게도 Session은 메세지를 전달하는 중앙 서버 네트워크가 없습니다. 분산 네트워크를 사용하여 메시지를 전송합니다. 이는 중앙 서버에 메시지가 저장되지 않음을 의미하며, 사용자의 메시지가 서버에 저장될 위험을 줄입니다.

Oxen 블록체인 네트워크

Session 메신저는 분산 네트워크를 사용하여 사용자 데이터를 보호하는 메신저 앱입니다. 이 네트워크는 중앙 서버를 사용하지 않고, Oxen 블록체인 기반의 노드 네트워크를 통해 메시지를 송수신 합니다. 발신자가 메시지를 보내면 여러 서비스 노드에 잠시 머물렀다가, 수신자가 메시지를 받으면 해당 노드에서 자동 삭제되므로 이론적으로는 흔적이 남지 않습니다.

Onion 라우팅

Onion routing Salad-powered security

분산 네트워크를 통한 탈중앙화된 아키텍처를 사용하기 때문에, 사용자의 개인 정보는 지금 유명한 메신저 앱 중에서는 최고 수준이라 할 수 있습니다.

특히, IP 주소 등 개인을 특정할 수 있는 중요한 Log를 남기지 않고, Tor 네트워크와 유사한 Onion 라우팅 기술을 통해 메시지의 경로를 숨깁니다. 이로 인해 우리가 주고 받는 메세지가 어떤 경로를 통해 전송되는지 추적하기 어렵게 만듭니다.

기존의 암호화 방식과 달리, Onion 라우팅은 단순히 데이터를 읽거나 가로채는 것을 막는 것이 아니라, 다중 암호화 레이어와 여러 서버를 경유하여 메시지를 전달함으로써 제3자가 중간에서 누가 누구에게 데이터를 보내는지를 알 수 없습니다.

Netxhack이 Agent와 대화한다고 가정하면

  1. Netxhack : “내일 11시30분 인천공항에서 그 사람을 안전하게 픽업하고 물건은 차에서 교환해” 라고 보내면
  2. Session에서 두 번 암호화를 거치고
  3. Lokinet으로 보내진 후 4번의 암호화
  4. 여러번 암호화 된 메시지는 여러 겹의 레이어로 겹친 상태가되고
  5. Loki 서비스 노드로 전송
  6. 각 서비스 노드는 한 겹씩 암호를 해독
  7. 메시지 전달
  8. Agent의 디바이스에 도착
  9. Agent의 Session 앱에서 남은 두 겹의 암호를 해독해서 메시지를 읽을 수 있게 됨

이로 인해 내가 어떤 메시지를 언제, 어디서, 누구에게 보냈는지 등의 메타 데이터도 수집되지 않아 프라이버시는 더욱 강력하게 보호받을 수 있습니다.

Session 앱을 켠 뒤 왼쪽 상단 내 프로필을 누르면 Path라는 메뉴가 보이는데 눌러보시면 나-대화 상대 사이에 3개의 Node가 보입니다.

어제 저는 [나 – 독일(Entry Node) – 캐나다(Service Node) – 독일(Service node) – 목적지] 이렇게 경유했는데. 오늘은 [Entry Node 미국 – Service Node 오스트리아 – 2차 Service node 미국 – 목적지] 이 루트로 분산되고 있습니다.

익명성

Telegram, Signal은 가입할 때 전화번호가 필요합니다. Session은 전화번호, 이메일 주소 같은 개인 식별 정보를 전혀 필요로하지 않습니다. 아래는 제가 Session 가입하는 화면 입니다. 보안정책에 따라 앱 화면을 캡쳐할 수 없어서 다른 폰으로 사진을 찍었어요.

메신저 앱 중에서 Session은 하나라 헷갈리진 않으실거예요.

Create account를 눌러서 1분만에 계정을 만드실 수 있습니다. 이메일 계정도 필요없습니다.

Pick your display name – 아이디는 아무거나 넣으세요. 아이디 중복 체크는 하지 않으니 단순한 단어를 넣으셔도 됩니다. 어차피 각자 다른 ID Code가 부여되거든요. 닉네임은 나를 특정하는 개인 정보로 사용되지 않으며 언제든지 바꿀 수 있습니다.

메신저 알림 설정입니다. 아무거나 하셔도 무관.

  • Fast Mode : 구글 알림 서버를 통해 즉시 받기
  • Slow Mode : 세션이 백그라운드에서 돌아가면서 새로운 메세지를 때때로 체크해서 알림

이걸로 계정 생성은 끝입니다.

우측 상단 Continue를 눌러서 Recovery Password를 꼭 확인 후 따로 저장해두셔야 합니다.

저도 복사 후 따로 보관해두었습니다.

설정으로 들어가시면 ‘당신의 세션 ID’에 장문의 복잡한 문자들이 있는데 그것이 고유 ID 입니다. 저기서 Path도 눌러보시고 기타 설정도 구경해보세요.

오픈소스

Session의 소스 코드는 오픈 소스로 공개되어 있어습니다. 앱이 어떻게 만들어져있고 어떻게 구동되는지 모든 내용이 공개되어있으면 전세계 모든 보안 전문가 및 연구원, 프로그래머 등 다양한 분야의 사람들이 장단점, 취약점을 분석하고 검토 및 개선이 가능하며 오픈 소스라는 자체만으로 신뢰성과 보안성은 크게 상승합니다. 그리고 ‘무료’ 입니다.

종단 간 암호화

Session은 기본적으로 모든 메시지에 대해 오픈 소스인 libsodium을 기반으로 구축된 종단 간 암호화를 제공하며, 이는 해커, 정부 등 제3자 혹은 세력이 중간에서 메시지를 가로챌 수 있다고 하더라도 내용을 알 수 없습니다. Telegram의 경우 비밀 채팅에만 종단 간 암호화를 제공하지만 Session과 Signal은 모든 대화 내용이 E2EE로 보호됩니다. – 종단간 암호화란?

그리고 자체적으로 개발한 세션 프로토콜(Session Protocol)을 함께 사용합니다.

Session 용어 설명

  • 서비스 노드 – Oxen Network를 구성하는 커뮤니티 운영 노드로서 현재 1,000개 이상의 노드로 네트워크가 구성되어 있습니다. 서비스 노드의 주요 역할은 세션 메시지를 저장하고 라우팅하는 것입니다.
  • Swarm – 메시지 저장을 담당하는 5 – 7개의 서비스 노드 모음. Swarm에 의해 일정 시간 저장되었다가 삭제되며 송수신을 위해 잠시 저장되는 메시지도 내 디바이스에 저장된 개인 키를 통해서만 해독 가능. 메시지를 여러 곳에 복제되도록해서 서비스 노드 중 하나가 오프라인 상태가 되어도 메시지 손실이 생기지 않게함.
  • Lokinet – 실시간 음성 통신도 처리 가능한 고성능 onion 라우터입니다. 중앙 서버없이 실시간 종단 간 암호화된 음성 통화를 가능하게 해줍니다.

관할법과 외부 감사

Session은 호주에 본사를 두고, 스위스에 지사를 두고 있습니다. 고로 호주의 법을 따라야 합니다. 5eyes에 포함되는 국가아 아쉽긴 하지만 Signal은 미국인 점을 생각해보면.. 그나마 시그널 보다는 좀 더 낫다고 볼 수 있겠네요.

회사 이름은 Oxen Privacy Tech Foundation이고 ‘비영리 조직’으로 등록되어있다고 합니다.

Session은 Quarkslab을 통해 2021년 외부 감사를 받은 적이 있습니다. – Audit Report

결론

이와 같은 이유들로 인해 더 높은 수준의 프라이버시를 원하시는 분들은 Telegram 보다는 Signal을 높게 평가하고, 익명 가입이 되지않는 Signal 보다 Session을 더 좋게 평가하시는 분들이 많습니다.

공식 사이트 : https://getsession.org/ 이 곳에서 더 많은 정보를 보실 수 있으며 Signal Review를 보시면 더 구체적인 비교를 하실 수 있습니다. 시그널은 정부 자금이 들어갔다는 의혹 등이 있어서 반감을 갖는 사람들도 있습니다. 자세한 것은 리뷰를 읽어주세요.

메시징 앱을 사용할때는 메세지 발송시 IP 주소, 받는 사람, 보낸 시간 및 날짜 같은 메타데이터가 생성될 수 있으나 Session은 중앙 서버가 없고 Onion 라우팅을 통과하기 때문에 세션 측에서도 IP 주소 추적은 불가능하다고 합니다. 고로 VPN을 사용하지 않아도 될 것 같으나, 불안하신 분들은 VPN으로 추가 보안 계층을 추가하신다면 더 완벽하게 사용가능할 것 같습니다.

4 Comments

  1. 글 잘봤습니다 글 쓰시는데 시간은 얼마나 걸리시나요? 볼때마다 자세하고 알기쉽게 쓰여져서 궁금하네요

    응답

    1. 좋게 봐주셔서 감사합니다. 그런데 전문가분들이 보시기에는 부족하고 상식적인 글 일거예요.

      집중 잘 될때는 좀 빨리 쓰기도 하는데, 본업이 바쁘면 쓰다 임시저장하다 수십번 하기도해요.

      어떤 글은 별거 아닌 내용이라도 “이거 진짠가?”, “루머나 누가 장난으로 쓴 글이 퍼진건 아닌가?, 등등 확인을 한번 더 해봐야하거든요. 그래서 제품 리뷰는 좀 쉬운데 제가 잘 모르는 기술적인 부분이 나오면 시간이 더 걸리기도 합니다.

      짧은 글도 서너시간 이상 걸리기도하고, 좀 긴 글인데 생각보다 빨리 쓰기도 합니다. ㅎㅎ

      응답

  2. 프랑스가 두코프를 잡아 넣은 건 다분히 정치적은 의도가 있어 보이는데 그쪽 속사정까진 알 수가 없으나 이런식으로 점점 텔레그램에 대한 신뢰도가 하락하는 건 그리 달갑지가 않네요 가뜩이나 이번에 딥페이크가 또 터지는 바람에 안좋은 이미지에 더 기름을 부어버렸으니 슬슬 다른 대체재를 찾아볼까 고민중인데 마침 좋은 정보를 알려주셨네요 아직 세션이 텔레그램보다 많이 알려지지 않아서 사용하는 사람이 적지만 쓰는 사람이 좀 늘어나면 고민해 봐야겠어요

    응답

    1. 저도 화나는게 그겁니다 ㅜㅜ 텔레그램이 메신저 본연의 기능만 놓고봤을때 카톡이랑 비교도 안되게 좋거든요.. 그래서 저는 취미와 관련된 채널 구독이랑 정보 저장용으로 너무너무 잘 쓰는데 인식이 계속 안좋아져요..

      응답

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다