텔레그램에서 해커의 전화를 받는 것 만으로도 사용자 IP(인터넷에 연결된 기기를 식별하는 번호) 주소가 유출될 수 있다는 분석이 제기됐다. 모바일 앱에서 보안 설정을 ‘P2P 사용 안함’으로 선택해야 하는데, PC버전에서는 IP 유출을 막을 마땅한 방법이 없어 사용자 주의가 요구된다.
20일(현지시각) IT 전문매체 테크크런치는 러시아의 톰 헌터라는 사이버보안 회사에 근무하고 있는 데니스 시모노브( Denis Simonov) 보안 연구원의 실험 내용을 소개했다. 텔레그램 계정을 만든 뒤 연락처에 시모노브 연구원을 추가하고 해당 계정에 전화를 걸자, 그 계정을 실행하고 있는 컴퓨터 IP 주소가 빠져나간 것이다.
텔레그램의 음성통화 기능은 두 사용자 간에 직접 IP-to-IP(P2P) 연결을 설정하고 직접 데이터 패킷을 교환하는 방식으로 작동한다. 품질과 대기시간 단축을 위해 이 같은 방식을 적용한 것이다. 하지만 IP를 직접 연결하는 방식이기 때문에 두 사용자의 IP 주소가 노출되기 쉽고 보안에 취약하다는 지적이 나온다. 시모노브 연구원은 “네트워크 패킷 수집 도구를 활용하면 텔레그램에서 상대방의 IP를 얻는 프로세스를 간단하게 자동화할 수 있다”고 했다.
텔레그렘의 전화 연결 방식에 대한 지적은 수년 전부터 있었지만 아직 개선이 되지 않았다고 테크크런치는 전했다. 텔레그램에서 음성 통화 기본 옵션은 사용자가 등록한 모든 연락처에 대해 P2P 연결을 사용하는 것으로 돼 있다. 이는 연락처 목록에 있는 사람들에게 항상 IP 주소를 유출하는 것과 마찬가지라는 지적이다.
텔레그램은 한때 사용자의 IP 주소를 보이지 않게 하는 설정을 추가했으나 모바일 버전에만 이 같은 설정이 추가됐다. IP 주소 유출을 방지하려면 텔레그램 설정->개인 정보 보호 및 보안->전화로 이동한 후 P2P 메뉴에서 “사용 안 함”을 선택해야 한다. 다만 데스크톱 버전에선 이 같은 설정을 하는 것이 불가능해 데스크톱으로 텔레그램을 이용할 때는 여전히 유의해야 한다.
텔레그램은 전 세계에서 7억명이 사용하고 있다. 그간 텔레그램은 ‘안전한 비공개 메시징 앱’이라고 알려졌지만 보안 위협으로부터 안전하다고 장담하면 안된다는 지적이 나온다`. 텔레그램은 메시지를 보낼 때 ‘종단간 암호화(End to End Encryption·E2EE)’ 기술을 사용한다고 알려져 있다. 쉽게 말해 메시지를 보내는 순간부터 받는 순간까지 암호를 걸어놔 누구도 중간에서 메시지를 확인할 수 없도록 만들었다는 것이다.
하지만 이 같은 기능은 일반 채팅이나 그룹 채팅에는 적용되지 않고 비밀 채팅방에서만 적용된다. 또 서버에는 메시지가 해독된 상태로 저장되기 때문에 서버가 해커 공격을 받게 되면 메시지 유출을 피할 수 없다는 단점도 있다. 또 텔레그램은 암호화 프로토콜로 텔레그램이 자체 개발한 ‘MT프로토(Proto)’라는 방식을 사용하는데, 다른 메신저앱에서 널리 사용되는 방식이 아니다 보니 취약점에 대한 피드백을 받기가 어렵다. 업계 관계자는 “통화에서 IP 주소가 노출되는 것도 MT프로토 프로토콜이 적용되지 않기 때문”이라며 “특히 텔레그램 신규 사용자는 초기 설정을 통해 사용에 유의해야 한다”고 말했다.