[생활TECH] 문자에 E2EE 암호화 기술 넣는 구글

[테크월드=선연수 기자] 카카오톡, 페이스북 메신저와 같은 SNS뿐만 아니라 SMS를 포함한 ‘문자메시지’를 노리는 해킹의 위험도 여전하다. 이런 공격을 문자메시지(SMS)와 피싱(Pishing)의 합성어인 ‘스미싱(Smishing)’이라고 부른다.

정부는 올해 코로나19 관련 긴급재난지원금 사칭 등의 악질적인 스미싱 건수를 탐지한 결과, 전년 동기 대비(1~8월 기준) 378% 증가해 70만 건을 넘어섰다고 밝혔다. 이번 글에서는 구글의 ‘메신저’를 통해 문자 앱에 활용되는 기술을 알아본다.

문자 활용도를 높이는 RCS

2016년 구글은 더 나은 메시징 경험을 제공하고자 GSMA(세계이동통신협회), 각국의 통신사와 함께 메시지 앱 ‘메신저(Messenger)’에 RCS(Rich Communications Services) 기술을 적용할 것이라고 발표했다. RCS란 용어 그대로 더 ‘리치(Rich, 풍부한)’한 메시지 서비스를 제공하는 기술이다. 구글은 RCS에 기반해 그룹 채팅, 고해상도의 미디어(사진, 영상) 전송, 수신 확인 기능 등을 지원한다. 구글의 메신저 서비스는 구글 지베(Jibe) 클라우드 상에서 구동된다.

그러나 이것만으로는 다른 문자 앱과 큰 차이점을 느끼기 어렵다. 이에 구글은 ‘RCS 비즈니스 메시징’ 기능을 도입해 B2C 시장 개척의 기회를 더했다. GSMA는 이 기능을 활용하면 챗봇과 인공지능(AI) 기술을 이용해 브랜드 활용도를 높일 수 있다고 설명한다. 길 찾기, 영화 예약, 물건 배송 확인 등 사용자가 문자로 바로 수행할 수 있는 서비스의 접근성을 높이는 것이다. 구글은 2018년, 써브웨이(Subway)가 이 기능을 활용해 홍보한 결과 기존 SMS 홍보 대비 고객 사용률이 144% 증가했다고 밝혔다.

현재 구글은 전 세계 각국에 순차적으로 RCS 기술을 도입하고 있으며, 2018년에는 중국 화웨이 휴대폰 지원에 이어 삼성전자와도 협력해 갤럭시 S8·S8+ 시리즈부터 해당 기술을 지원한다고 발표한 바 있다.

E2EE로 당사자만 볼 수 있게

미디어 전송과 브랜드 활용에 초점을 맞췄던 구글이 이번엔 보안 강화에 나섰다. 지난 11월 19일(현지 시간) 구글은 메신저 앱의 보안 강화를 위해 종단 간 암호화(E2EE, End-to-End Encryption) 기술을 적용한다고 발표했다.

기존의 RSC는 SIP(Session Initiation Protocol)와 같은 표준 인터넷 프로토콜 세트를 사용해, 중앙 서버를 통해 사용자를 연결했다. 사용자의 메시지는 인터넷을 통해 구글의 RCS 백엔드를 거쳐 전달된다. 만약, 메시지를 받는 수신자가 구글이 아닌 다른 RCS 서비스를 사용할 경우, 메시지는 RCS 백엔드를 통해 라우팅된 후 수신자의 RCS 백엔드로 라우트된다.

새로운 보안 기술을 도입하기 전에도 RCS 기반 메시지는 TLS(Transport Layer Security, 전송 계층 보안) 암호화를 통한 보안 기능을 제공해왔다. 구글의 RCS 백엔드는 이미지, 동영상 등에 대해 추측이 불가능한 임의의 URL을 사용해 메시지를 보내고 이를 일시적으로 저장한다.

새로 도입될 E2EE 기술은 우선 사용자의 ID 키(Key)를 비교·확인해 올바른 키가 맞는지 확인한다. 두 사용자 모두 E2EE 기술이 적용된 버전의 앱을 사용한다면 이 보안 성능을 누릴 수 있다. 사용자의 ID 키로 새로운 보안 세션이 열리면 신호는 256 비트 AES 암호화 키, 256 비트 MAC 키, 128 비트 초기화 벡터를 불러와 문자를 암호화한다. 파일을 첨부할 때도 E2EE 기술이 적용된다. 발신자 클라이언트가 파일을 업로드하기 전에 암호화에 사용되는 키 데이터를 생성하고, 암호화된 파일은 저장소에 업로드된다.

만약 수신자가 현재 유지되고 있는 세션 키를 잃으면 이를 읽어내지 못한다. 이때 서버에 새로운 프리키(prekey)를 요청해 세션을 재설정해야 한다. 더 상세한 내용은 구글의 기술 보고서 ‘Messages End-to-End Encryption Overview’에서 확인할 수 있다.

E2EE가 적용된 메시지는 오직 당자들만 접근할 수 있으며, 이를 통해 해커가 메시징 서버를 손상시켜 내용을 가로채거나 수정하는 것을 막아주고, 타인을 사칭하는 문자를 보내는 상황을 방지한다.

구글은 기능 적용별로 메시지를 다르게 표시한다. 채팅창에서 RCS가 적용되지 않은 SMS와 MMS는 하늘색으로, RCS가 적용된 기술은 파란색으로 메시지를 표시한다. 전송 아이콘의 모양도 다르다. 전자의 경우 SMS나 MMS 글자가 아이콘 아래에 작게 적혀있고 후자는 아무 표시가 없다. E2EE 기술이 적용된 문자는 자물쇠 아이콘이 작게 표시된다.

구글은 아직 E2EE 기술 적용은 보완이 필요한 단계로 내년까지 베타테스트를 진행한 후 정식 출시할 예정이라고 밝혔다.

문자 뚫리면 집 주소에 은행 계좌까지 털린다

1992년 첫 문자 메시지 전송이 시작된 이후 28년이 지났지만 문자 서비스는 여전히 해커와 고군분투하고 있다. 최근 안드로이드 지원 스마트폰에서 많이 사용되는 SMS 앱 ‘고 SMS 프로(Go SMS Pro)’가 미디어 보안에 취약하다는 사실이 공개됐다. 테크 크런치(Tech Crunch)는 전화번호를 포함해 사용자가 전송한 송금 확인용 캡처 화면, 집 주소가 고스란히 적힌 배송 확인서 등 개인적인 내용의 미디어 파일에 대해 제 3자가 접근할 수 있었다고 밝혔다.

주고받을 수 있는 데이터 형태가 다양화되고 커진 만큼 위험에 노출되는 정보 또한 큰 피해를 만들게 되는 지금, 메시지의 보안은 그 무엇보다 중요한 성능 요소로 고려돼야 할 것이다.