[디지털투데이 홍진주 기자] 엑스(구 트위터)가 기존 다이렉트 메시지(DM) 기능을 대체할 새로운 채팅 플랫폼 엑스챗(XChat)을 발표한 가운데, 보안 전문가들은 엑스챗의 암호화 기능을 두고 의문을 제기하고 있다.

9일(이하 현지시간) 온라인 매체 기가진에 따르면 앞서 일론 머스크 테슬라 최고경영자(CEO)는 지난 2일 비트코인 스타일의 암호화와 러스트(Rust) 기반 개인정보 보호 기능을 탑재한 엑스챗 출시를 발표했다.

일론 머스크 CEO에 따르면 엑스챗은 엔드투엔드 암호화(E2EE)와 비트코인 수준의 타원곡선 암호ECC(Elliptic Curve Cryptography)를 적용해 메시지 보안을 극대화한 것으로, 개인정보 유출, 감시 위험의 증가와 사용자들의 프라이버시 의식이 높아진 데 대응한 것이다. ECC는 비트코인의 핵심 보안 기술 중 하나로, 현재까지 비트코인 트랜잭션의 기초 암호화 방식으로 활용되고 있다.

엑스챗의 주요 특징은 메시지를 읽은 후 자동 삭제되는 휘발성 메시지 기능으로, 이를 통해 사용자는 더욱 안전하고 비밀스러운 대화를 나눌 수 있다. 또한 사진, 동영상, 문서 등 모든 종류의 파일을 제한 없이 전송할 수 있으며 음성 및 영상 통화 기능도 제공된다.

하지만 기가진은 엑스챗이 기존 암호화 DM보다 강력한 보안을 제공한다고 주장하는 것과 달리, 실상은 그렇지 않다고 지적했다. 실제로 일부 보안 전문가들은 엑스챗의 비트코인식 암호화 기능에 대해 반박하며 효과적인 보호 기능이 부족하다고 경고했다. 

리눅스 개발자 매튜 가렛(Matthew Garrett)은 "엑스의 암호화 기능이 기술적으로는 엔드투엔드 암호화지만, 엑스가 비교적 쉽게 접근할 수 있는 구조"라며 강한 의문을 제기했다. 

가렛에 따르면 기존 암호화 DM은 각 기기가 고유한 비밀 키를 보유해 새로운 기기에서는 과거 메시지를 복호화할 수 없는 구조였다. 반면 엑스챗은 기기에서 생성된 비밀 키를 주스박스(Juicebox) 프로토콜을 통해 저장하고, 다른 기기에서 이를 불러올 수 있도록 설계됐다.

물론 엑스가 해당 비밀 키를 직접 보관하지는 않지만, 문제는 4자리 핀 코드만으로 복호화가 가능하다는 점이다. 만약 엑스가 백엔드를 장악할 경우, 핀 코드로 사용자의 모든 메시지를 탈취할 수 있는 것이다. 보안 강화를 위해 핀 시도가 여러 번 실패하면 접근이 차단되지만, 4자리 핀은 최대 1만 번의 시도로 풀 수 있어 취약점이 크다. 

엑스가 세 개의 백엔드를 사용해 최소 두 개의 데이터를 결합해야만 해당 키를 복구할 수 있도록 설계했지만, 이 백엔드는 모두 엑스 관리 하에 있어 사실상 신뢰할 수 없는 구조라고 가렛은 지적했다. 이어 가렛은 "시그널(Signal)과 같은 검증된 암호화 메신저에는 이러한 단점이 없기 때문에 이를 사용하는 것이 가장 안전하다"라고 강조했다.

• NHN클라우드, 공공 '클라우드' 전환 사업 7개 중 5개 진행
• 공정위, 티빙-웨이브 합병 조건부 승인…"내년까지 요금제 유지"
• WISET-KIRD, 여성 과학기술인 육성 업무협약 체결
• 포스코퓨처엠, 광양 전구체 공장 준공
• 지멘스 센서아이, 독일 공장 펌프 결함 조기 감지 성공