국내 보안연구팀이 텔레그램 이용자의 비밀대화 내용을 해킹해 엿볼 수 있는 보안 취약점을 발견했다. 그동안 강력한 보안기능을 자랑하며 폭발적인 인기를 끌어온 모바일메신저 텔레그램의 명성에 금이 갔다.
텔레그램 보안 콘테스트에 참가한 마스터키팀(김강석·권상훈)은 텔레그램 이용자 간 비밀대화 내용이 해킹으로 노출되는 보안상 허점을 발견했다고 25일 밝혔다.
텔레그램 측은 지난해 11월 초부터 올 2월 초까지 3개월간 해킹 성공자에게 포상금으로 30만달러(약 3억3000만원)를 주는 보안 콘테스트를 진행했다. 철옹성으로 평가되는 텔레그램의 보안성능을 과시하기 위한 해킹대회다.
대회에 참가한 마스터키팀은 스마트폰 내부 일부 영역에 텔레그램 메시지가 남을 뿐만 아니라 주소록이 암호화되지 않은 채로 저장되는 등의 취약점을 찾아냈다. 다만 이들 취약점은 루팅된 스마트폰에서만 발견된다. 그러나 국내는 물론이고 해외에서도 스마트폰 활용도와 이용 편의를 높일 목적으로 루팅이 손쉽게 이뤄지고 있어 안심할 수는 없다.
텔레그램 보안 취약점을 이용하면 서비스 가입자의 비밀대화 내용을 제3자가 모두 볼 수 있는 것은 기본이고 해커가 스마트폰 주인 행세를 할 수도 있다. 텔레그램은 채팅방 내 메시지를 다른 사람이 절대 볼 수 없다고 강조해왔다. 또 읽은 메시지는 일정시간이 지난 후 자동으로 기기에서 삭제된다고 홍보하고 있지만 실제 모든 내용은 스마트폰에 고스란히 남아 있었다.
마스터키팀은 지난 1월 29일 텔레그램 측에 보안 취약점을 적시한 이메일을 보냈다. 하지만 텔레그램은 어떤 답변도 내놓지 않았다. 마스터키팀은 2월 2일 페이스북 페이지에 텔레그램 보안 취약점 발견 사실을 알렸다. 이후 16일 텔레그램 측에 재차 이메일을 보냈지만 아직 회신이 없다.
텔레그램은 카카오톡이 사이버 검열논란으로 홍역을 치를 때 대안 메신저로 떠올랐다. 한때 국내 가입자가 170만명이 넘어서는 등 ‘사이버 망명’ 열풍을 일으켰다. 텔레그램 비밀대화 기능은 엔드투엔드 암호화로 전송된다. 오직 비밀대화 중인 친구와 나만이 메시지를 확인하는 것을 특징으로 내세웠다. 텔레그램은 이 같은 보안성능을 자랑할 목적으로 거액의 포상금을 내걸고 암호를 무력화해보라는 내용의 보안 콘테스트를 실시하고 있다.
마스터키팀은 “안드로이드폰이 루팅된 환경이라는 제약은 있지만 텔레그램 메시지 데이터를 담은 디렉터리에 접근해 내용을 복사하는 방법으로 앱에 담긴 모든 정보를 빼낼 수 있다”며 “텔레그램은 카카오톡과 달리 기기가 바뀔 때 재인증을 하지 않는 것도 중대한 허점”이라고 지적했다.
김승주 고려대 사이버국방학과 교수는 “텔레그램은 자체적으로 개발한 보안 메커니즘을 쓰는데 오히려 공개 검증을 받지 않아 보안상 문제가 발생할 수 있다”고 말했다. 김 교수는 “텔레그램 보안 콘테스트가 매우 제한된 환경에서 암호를 깨는 방식으로 진행되기 때문에 보안성이 뛰어난 것처럼 보이지만 텔레그램 측이 다양한 해킹 시도를 허용한다면 보안상 허점은 여럿 발견될 수 있을 것”이라고 말했다.
김인순기자 insoon@etnews.com