텔레그램이 준비 중인 일회용 비밀번호(OTP) 서비스가 보안에 취약하다는 지적이 제기되고 있다. 텔레그램은 이용자들에게 OTP를 보내기 위해 기존 이용자들의 전화번호를 활용하는 방법을 고려하고 있다. 전화번호 활용에 동의한 이용자들에게는 유료 기능인 ‘프리미엄’ 서비스를 무료로 이용하도록 해 준다. 하지만 이 같은 방식에 동의하면 개인정보 데이터가 유출되고 스팸 메시지를 받을 가능성이 높아진다는 것이다.
27일 테크크런치 등 외신들에 따르면 엑스(X·옛 트위터) 계정이 ‘어셈블디버그(AssembleDebug)’인 리버스 엔지니어가 텔레그램이 이 같은 기능을 준비하고 있다는 사실을 발견했다. 텔레그램은 안드로이드용 텔레그램을 사용하는 사람들을 대상으로 전 세계 각국에 순차적으로 해당 기능을 출시될 예정이다.
이 기능은 일종의 P2P 로그인 프로그램으로, 약관에는 텔레그램이 매월 최대 150개의 OTP 메시지를 보낼 수 있다고 명시된 것으로 전해졌다. 매달 150명의 사용자에게 자신의 전화번호를 이용한 OTP 프레임이 생성된다는 뜻이다. 이에 동의하면 텔레그램은 월 5달러(약 6400원)의 프리미엄 서비스를 사용할 수 있는 코드를 보내준다.
문제는 OTP를 보낼 때 마다 수신자에게 이용자의 계정이 노출된다는 점이다. 원래 텔레그램에선 모르는 사람에게 자신의 전화번호를 노출시키지 않는데, 자신의 번호가 OTP 중계 수단으로 사용되면 익명의 사람들이 텔레그램 계정을 조회할 수 있게 된다는 것이다. 결국 OTP 수신자가 이용자에게 메시지를 보낼 수 있고, 전화번호를 조회해 스팸이나 사기에 악용할 수도 있다. 텔레그램은 OTP 수신자들이 메시지를 보내지 못하게 강제할 방법이 없다.
텔레그램 약관에는 이용자의 전화번호를 알게 된 또 다른 이용자가 저지른 불법적인 행위로 불편이 발생하거나 피해가 생기는 경우 텔레그램이 책임을 지지 않는다는 내용이 포함돼 있다.
텔레그램은 특정 지역에서 SMS를 통한 액세스 코드 수신을 안정적으로 만들기 위해 이 같은 서비스를 개발했다고 밝혔다. 하지만 테크크런치 등 외신들은 “텔레그램이 코드를 보내는 데 부과되는 수수료를 피하기 위해 이 같은 프로그램을 만든 것으로 보인다”고 전했다.
프리미엄 서비스로 이용자들을 유인하기 위해 이 같은 서비스를 제공하는 것으로 해석된다. 텔레그램은 2년 전부터 독점 스티커, 리액션, 사용자 정의 등 다양한 기능을 갖춘 구독 서비스를 시작했다. 프리미엄 서비스를 이용하면 채팅방에 올릴 수 있는 사진이나 동영상 등 용량이 늘고 내려받기 속도가 빨라진다. 광고도 노출되지 않는다.
업계 관계자는 “프리미엄 서비스 가격인 5달러를 절약하는 대가로 이메일, 연락처, 대화 내용까지 노출될 위험이 있다”며 “서비스 가입을 자제하고 2단계 인증 설정, 정기적인 비밀번호 변경 등 보안을 높이기 위해 노력해야 한다”고 말했다.