'카톡 검열' 논란으로 독일 모바일 메신저 '텔레그램'으로 사이버망명하는 사람이 100만명에 달하고 있는 가운데 모든 개발자에게 공개되는 오픈소스로 만들어진 텔레그램 계열의 앱이 악성코드에 취약하다는 지적이 나오고 있다. 개발자가 오픈소스의 특성을 이용해 악성코드를 몰래 심어놓을 수도 있다는 것이다.
구글 플레이스토어에서 '텔레그램(Telegram)'을 검색하면 수십개의 검색결과가 나타난다. 이 중에서 독일에서 개발된 공식 텔레그램은 단 1개뿐이고 나머지는 모두 텔레그램의 개방된 오픈소스를 활용한 유사 애플리케이션들이다. 한국어 버전의 텔레그램도 구글 플레이스토어에 4개나 등록돼 있다. 현재 텔레그램 다운로드 건수는 100만이 넘어섰고, 한글버전도 출시된 상태다.
텔레그램 유사 앱들은 대부분 텔레그램 개발사에서 내놓은 앱이 아니다. 텔레그램이 공개한 오픈소스를 활용해 서비스를 추가하거나 보완한 앱들이라고 볼 수 있다. 한국어 버전 텔레그램은 기본 언어만 한글로 바뀐 것 외에는 텔레그램 기능과 차이가 전혀 없다.
그렇다면 이런 유사 앱들을 사용해도 보안에 문제가 없는 것일까. 이에 대해 보안전문가들은 "오픈소스 특성상 더 큰 보안 위험에 노출될 수 있다"고 입을 모았다. 보안업계 한 전문가는 "오픈소스로 앱을 만들 경우 기존 앱과 유사한 것처럼 보이지만 조금은 다른 방식으로 설계할 수 있다"면서 "이 과정에서 악성코드를 심어놓거나 웜 바이러스 등으로 스마트폰을 해킹할 수도 있다"고 말했다.
이 전문가는 "청소년이나 50대 이상 중장년층은 오픈소스용 앱을 진짜 텔레그램으로 착각해 다운받아 쓸 수도 있다"면서 "만약 해당 앱에 악성코드가 심어져 있을 경우 개인적인 대화내용은 물론이고 나이와 사진, 이동전화 번호 등의 개인정보가 고스란히 유출될 위험도 있다"고 말했다.
서버 자체를 탈취할 경우 대화내용이 실시간으로 감시당할 위험도 있다는 주장도 나오고 있다. 국내 IT업계 한 관계자는 "오픈소스 앱들이 실제 텔레그램의 서버를 그대로 쓰는 것인지 확인이 안된 상태에서 만약 앱 개발자가 자체적으로 구축한 서버를 사용한다면 해당 앱들은 고스란히 따로 저장돼 검열을 피하려다 실시간으로 감시당하는 꼴이 될 수 있다"고 말했다. 실제로 국내 한 IT대기업은 자사의 오픈소스를 활용해 특정업체가 개발한 앱의 사용자정보나 데이터베이스 등을 오픈소스 개발진만 갖도록 하고 있다.
이럴 경우 일정시간이 지난 후 메시지가 사라지는 '타임챗' 기능도 무용지물이 되고 만다. 전문가들은 사용자의 앱 화면에서는 일정시간이 지나고 전송한 메시지가 삭제된 것처럼 보이지만 개발자가 몰래 서버 내에 복구시키는 알고리즘을 통해 모두 지켜볼 수도 있기 때문이다.
더욱이 기존 텔레그램 자체의 보안성이 뛰어나다는 것도 완전히 입증되지 않았다. 김승주 고려대 사이버국방학과 교수는 자신의 페이스북을 통해 "텔레그램 측에서는 수학박사들이 만든 보안메커니즘으로 안전하다고 얘기하지만 수학박사가 보안 전문가는 아니다"라며 "텔레그램은 완벽한 보안을 제공하는 메신저는 아니며 더 좋은 보안성을 제공하는 메신저들이 존재한다"고 주장했다.
한편 텔레그램은 한국에서 인기가 높아지자 한국어 번역 봉사자를 모집하는 등 한국내 서비스를 강화하고 있다. 또 6일부터 업데이트를 받으면 한국어를 사용할 수 있도록 서비스를 개선했다.
