스냅챗, 스카이프 다른 메신저에 비해 개인정보 보호에 더 취약한 것으로 드러나
• 페이스북·왓츠앱과 애플, 모바일 메신저 앱 중 보안성 최고
• IT기업 11곳 중 3곳만 자사 메신저에 종단간(end-to-end) 암호화 기본설정 지원
마이크로소프트의 스카이프, 스냅챗 등 IT기업들의 메신저 앱에서 제공되는 인스턴트 메시징(IM) 서비스에 기본적인 개인정보 보호 기능이 탑재되어 있지 않아 이용자의 인권침해가 우려된다고 국제앰네스티가 21일 밝혔다.
국제앰네스티는 새롭게 발표한 ‘메신저 보안 순위’에서 전 세계적으로 가장 널리 사용되는 11개의 모바일 메신저 앱을 대상으로 메신저상에서 이용자의 개인정보와 표현의 자유를 보호하기 위한 조치로서 암호화 기술을 어떻게 활용하는지 평가했다.
모바일 메신저가 사적인 공간이라고 생각한다면 오산이다. 메신저에서의 대화는 사이버 범죄와 정부의 감찰이라는 지속적 위협에 노출되어 있는 것이 현실”
– 셰리프 엘세이드 알리, 국제앰네스티 기술과 인권 국장
셰리프 엘세이드 알리(Sherif Elsayed-Ali) 국제앰네스티 기술과 인권 국장은 “모바일 메신저가 사적인 공간이라고 생각한다면 오산”이라며 “메신저에서의 대화는 사이버 범죄와 정부의 감찰이라는 지속적 위협에 노출되어 있는 것이 현실”이라고 말했다. 알리 국장은 이어 “특히 스냅챗 등 앱을 통해 누구보다도 활발하게 자신의 개인정보와 사진을 공유하는 젊은 층이 피해를 입을 가능성이 크다”고 말했다.
국제앰네스티는 IT기업들이 메신저 보안 유지를 위해서 종단간 암호화 기술을 필수적으로 도입해야 한다고 강조했다. 종단간 암호화 기술은 메시지 전달과정 전체를 암호화해 수신자와 발신자를 제외한 누구도 데이터를 읽을 수 없도록 하는 기술이다. 최하위 순위를 기록한 기업들의 메신저는 적절한 암호화 수준을 갖추고 있지 않다는 것이 국제앰네스티의 설명이다.
셰리프 엘세이드 알리 국장은 “IT기업들은 우리가 익히 잘 알고 있는 위협 요소들로부터 이용자의 개인정보와 표현의 자유를 보호해야 할 책임이 있다. 하지만 기업들은 적합한 보안 수준을 갖춘 암호화 기술을 제공하지 못해 위협 발생 초기 단계에서부터 실패하고 있다”고 말하며 “수백만 명의 메신저 이용자들은 가장 기본적인 수준의 개인정보 보호조치도 받지 못하고 있는 실정이다”고 지적했다.
국제앰네스티가 이번에 발표한 ‘메신저 보안 순위’는 11개 IT기업을 대상으로 이들 기업이 운영하는 메시지 서비스가 ▶이용자의 개인정보와 표현의 자유에 대한 온라인상의 위협을 인지하는가 ▶종단간 암호화 기술을 기본 설정으로 지원하는가 ▶이용자에게 개인정보와 표현의 자유에 대한 위협요소가 있는 것을 알리고 자사 메신저에 적용된 암호화 기술의 보안수준에 대해 공개하는가 ▶정부가 이용자 데이터와 관련하여 요청한 사항과 요청 사항에 대해 어떤 조치를 취했는지 이용자에게 고지하는가 ▶자사 메신저에 적용된 암호화 기술의 기술적 세부 사항을 공개하는가 등의 다섯 가지 항목에 대한 답변을 토대로 점수를 집계해 총점 100점 기준으로 평가한 것이다.
탠센트, 블랙베리, 스냅챗 100점 만점에 30점 미만
중국 IT기업 탠센트(Tencent)는 자사 메신저의 이용자 개인정보 보호조치가 미비한 수준이고 투명성 부문에서도 가장 낮은 평가를 받아 이번 조사에서 100점 만점에 0점으로 최하위를 기록했다. 블랙베리(Blackberry)와 스냅챗(Snapchat)dms 각각 20점과 26점을 받아 탠센트 다음으로 하위권에 머물렀다. 인권 보호에 있어 꾸준히 정책적인 노력을 기울이고 있는 마이크로소프트(Microsoft)도 자사 메신저인 스카이프(Skype)의 암호화 기술이 매우 기초적 수준에 불과해 종합 40점으로 조사대상 11개 기업 중 8위에 그쳤다. 하위권에 속한 4개 기업 모두 이용자의 대화에 종단간 암호화 기술을 적용하고 있지 않다.
매일 1억 명 이상이 사용하는 미국의 메신저 스냅챗도 저조한 성적을 기록했다. 엄격한 개인정보 보호 정책이 있기는 하지만 사실상 이용자의 개인정보 보호에 소극적이라는 평가다. 스냅챗도 종단간 암호화 기술을 활용하지 않으며 이용자에게 인권침해 가능성이나 메신저에서 사용하고 있는 암호화 기술 정보를 고지하지 않아 투명성 부문에서 낮은 점수를 받았다.
페이스북, 애플 개인정보 보호 선두주자로 나서
물론 어떤 서비스도 아직까지 100% 보안을 보장해주지는 않는다. 이번 조사에서는 페이스북 메신저와 왓츠앱을 합해 20억 명의 이용자를 보유하고 있는 페이스북(Facebook)이 100점 만점에 종합 73점으로 1위에 올랐다. 페이스북은 평가대상이 된 11개 기업 중 인권침해위협에 대응하기 위한 조치로서 암호화 기술을 가장 적극적으로 활용하고 있는 것으로 드러났으며 자사 보안책에 대해서도 이용자에게 충분히 고지하고 있다는 평가를 받았다.
한편 페이스북 메신저는 종단간 암호화 기술을 활용한 ‘비밀 대화’ 기능을 새롭게 도입했다. 하지만 이용자가 직접 기능을 활성화해야 하기 때문에 페이스북이 전체 이용자 데이터에 대한 접근 권한을 가지고 있다는 점에서 여전히 암호화 수준이 낮았다. 왓츠앱의 경우 종단간 암호화 기술을 기본 설정으로 지원하며 이용자에게 메신저에 적용된 암호화 기술 정보를 명확하게 공시하고 있다.
애플(Apple)은 자사 메신저인 아이메시지와 페이스타임에서 이뤄지는 모든 종류의 대화에 대해 완벽한 종단간 암호화 기술을 적용해 종합 67점을 받았다. 그러나 애플 역시 일반 문자메시지가 아이메시지보다 보안성이 떨어진다는 점을 이용자들에게 더욱 명확하게 고지해야 할 필요가 있다. 개방형 암호화 프로토콜을 도입해 완벽한 독립적 검증 체계를 도입해야 한다.
소수만 기본적인 보안 수단으로 종단간 암호화 기술 적용
전 세계적으로 매일 수억 명의 사람들이 왓츠앱, 스카이프, 바이버 등의 모바일 메신저를 이용하고 있다. 이들 가운데는 심각한 인권탄압 문제를 안고 있는 국가에서 목숨을 걸고 일하는 인권활동가, 야당 정치인, 언론인도 포함되어 있다.
점점 더 빈번하게 발생하는 대규모 데이터 침해 사고와 정부의 대중 감시가 수그러들 기미가 보이지 않는 상황에서는 최고 수준의 암호화 기술과 메시지 데이터 접근 권한에 대한 투명한 공개가 대화 내용을 보호할 수 있는 핵심 수단이다. 하지만 평가대상 중 애플, 라인, 바이버 3개 기업만이 자사 메신저에서 종단간 암호화 기술을 기본 설정으로 지원하는지 평가하는 항목에서 합격 판정을 받았다.
온라인상에서 이용자의 개인정보와 표현의 자유가 앞으로도 보장될지는 많은 부분 IT기업들이 어떻게 하느냐에 달렸다. 대화 내용을 보호하는 새로운 서비스를 도입할 수도 있고, 감시 당국에 이용자들의 메시지 데이터를 고스란히 갖다 바칠 수도 있다”
– 셰리프 엘세이드 알리 국장
셰리프 엘세이드 알리 국장은 “대부분의 IT 기업들의 이용자의 개인정보 보호 정책이 기준에 미달”된다며 “전 세계 각지의 활동가들이 정보당국의 감시를 피해서 자신을 보호하기 위해 암호화 기술에 크게 의존하고 있다. IT 기업들이 인권침해 위협에 대해 안일하게 대처해서 이들을 위험에 노출시키는 것은 매우 무책임한 행동”이라고 말했다.
그는 또 “온라인상에서 이용자의 개인정보와 표현의 자유가 앞으로도 보장될지는 많은 부분 IT기업들이 어떻게 하느냐에 달렸다. 대화 내용을 보호하는 새로운 서비스를 도입할 수도 있고, 감시 당국에 이용자들의 메시지 데이터를 고스란히 갖다 바칠 수도 있다”고 말했다.
국제앰네스티는 IT기업들에 자사 메신저에 종단간 암호화 기술을 기본 설정으로 지원하라고 촉구하고 있다. 일반 시민뿐 아니라 전 세계 평화적 활동가들과 박해받는 소수자들이 표현의 자유를 행사할 수 있게 되고 이로써 자신들의 권리를 보호받을 수 있기 때문이다. 국제앰네스티는 또 메신저 서비스 이용자의 개인정보와 표현의 자유를 보호하기 위해 IT기업들이 도입한 정책 및 조치들의 세부 사항을 전부 공개할 것을 요구하고 있다.
※참고사항
국제앰네스티의 ‘메신저 보안 순위’는 평가대상 기업들의 메신저의 보안성을 종합적으로 평가한 것이 아니며, 따라서 인권침해의 위협에 놓인 언론인, 운동가, 인권활동가, 그 밖에 사람들에게 특정 메신저를 사용하라고 권고하기 위한 목적으로 작성되지 않았다. 이번 순위는 조사대상이 된 11개 기업의 인권보호실태나 서비스 전반에 걸친 개인정보 보호 수준에 대한 종합적인 평가가 아니다.국제앰네스티는 평가대상이 된 11개 기업에 서한을 보내 각 기업에서 현재 사용하고 있는 암호화 기준과 자사 메시지 서비스에서 이용자의 인권 보호를 위해 도입한 정책 및 조치들에 대한 세부적인 정보를 요청했다. 11개 기업 중 블랙베리, 구글, 탠센트를 제외한 8곳이 요청에 회신했다.
Snapchat, Skype among apps not protecting users’ privacy
• Facebook/WhatsApp, Apple top privacy ranking of messaging apps
• Only 3 of 11 tech firms examined provide end-to-end encryption by default on all their messaging apps.
Tech companies like Snapchat and Skype’s owner Microsoft are failing to adopt basic privacy protections on their instant messaging services, putting users’ human rights at risk, Amnesty International said today.
The organization’s new ‘Message Privacy Ranking’ assesses the 11 companies with the most popular messaging apps on the way they use encryption to protect users’ privacy and freedom of expression across their messaging apps.
“If you think instant messaging services are private, you are in for a big surprise. The reality is that our communications are under constant threat from cybercriminals and spying by state authorities. Young people, the most prolific sharers of personal details and photos over apps like Snapchat, are especially at risk,” said Sherif Elsayed-Ali, Head of Amnesty International’s Technology and Human Rights Team.
Amnesty International has highlighted end-to end encryption, a way of scrambling data so that only the sender and recipient can see it, as a minimum requirement for technology companies to ensure that private information in messaging apps stays private. The companies that ranked lowest on the scorecard do not have adequate levels of encryption in place on their messaging apps.
“It is up to tech firms to respond to well-known threats to their users’ privacy and freedom of expression, yet many companies are falling at the first hurdle by failing to provide an adequate level of encryption. Millions of people are using messaging apps that deny them even the most basic privacy protection,” said Sherif Elsayed-Ali.
Amnesty International’s ‘Message Privacy Ranking’ ranks technology companies on a scale of one to 100 based on how well they do five things:
• Recognize online threats to their users’ privacy and freedom of expression
• Apply end-to-end encryption as a default
• Make users aware of threats to their rights, and the level of encryption in place
• Disclose details of government requests to the company for user data, and how they respond
• Publish technical details of their encryption systems
Tencent, Blackberry and Snapchat score less than 30/100
Chinese firm Tencent came bottom, scoring zero out of 100, ranked as the company taking least action on messaging privacy, and the least transparent. It was followed by Blackberry and Snapchat scoring 20 and 26 respectively. Despite Microsoft’s strong policy commitment to human rights, it is still using a weak form of encryption on Skype, scoring 40 and leaving it four places from the bottom. None of these companies provide end-to-end encryption of their users’ communications.
Snapchat, a US-based company used by more than 100 million people every day, also scored badly. Although it has a strong policy commitment towards privacy, in practice it does not do enough to protect its users’ privacy. It does not deploy end-to-end encryption, for example, and is not transparent in informing users about the threats to their human rights or its use of encryption.
Facebook, Apple lead the way
No company provides watertight privacy, but Facebook, whose apps Facebook Messenger and WhatsApp together have 2 billion users, has the highest score with 73 out of 100. Facebook is doing the most out of the 11 companies assessed to use encryption to respond to human rights threats, and is most transparent about the action it’s taking.
However, despite including end-to-end encryption as an option with its new “secret conversation” feature, Facebook Messenger’s default mode uses a weaker form of encryption, which means Facebook has access to all the data. WhatsApp uses end-to-end encryption by default and notably provides clear information to users about encryption within the app.
Apple scored 67 out of 100, providing full end-to-end encryption in all communications on its iMessage and Facetime apps. But Apple needs to do more to make users aware that SMS messages are less secure than iMessages. The company should also adopt a more open encryption protocol that allows for full independent verification.
End-to-end encryption: a basic protection few firms provide Instant messaging services like WhatsApp, Skype and Viber are used by hundreds of millions of people every day. This includes human rights activists, opposition politicians and journalists living in countries where their work could put them in grave danger.
With large data breaches occurring all too frequently and governments’ mass surveillance operations unabated, the strongest encryption as well as transparency about who has access to message data, is key to protecting them. Yet only three firms, Apple, Line and Viber scored full marks for providing end-to-end encryption by default on all their messaging apps.
“Most technology companies are simply not up to standard when it comes to protecting their users’ privacy. Activists around the world rely on encryption to protect themselves from spying by authorities, and it is unacceptable for technology companies to expose them to danger by failing to adequately respond to the human rights risks,” said Sherif Elsayed-Ali.
“The future of privacy and free speech online depends to a very large extent on whether tech companies provide services that protect our communications, or serve them up on a plate for prying eyes.”
Amnesty International is calling on companies to apply end-to-end encryption to messaging apps as a default. This would help protect the rights of everyday people, as well as peaceful activists and persecuted minorities all over the world by enabling them to exercise their freedom of speech. It is also calling on technology companies to publish full details of the policies and practices they have in place to meet their responsibility to respect the rights to privacy and freedom of expression.
* The ranking does not assess the security of the apps and should not be seen as an endorsement of any app for journalists, activists, human rights defenders or others at risk. The ranking did not assess the companies’ overall human rights performance or their approach to privacy across all their services.
Amnesty International sent letters to the 11 companies assessed, requesting information about each company’s current encryption standards, and details of policies and practices the company has in place to ensure it meets its human rights responsibilities in relation to its instant messaging services. Eight of the companies responded; we did not receive any response from Blackberry, Google or Tencent.