Signal의 대안: 올바른 보안 메신저 선택하기
| *상태: 레벨 2 | 대상: 특정 위협 환경을 위한 커뮤니케이션 도구를 평가하는 조직가* |
Signal은 대부분의 활동가 커뮤니케이션에서 기본적으로 권장되는 도구이지만 모든 상황에 적합한 도구는 아닙니다. 이 가이드는 가장 관련성이 높은 Signal 대안을 평가하여, 이 대안들이 Signal이 방어하지 못하는(또는 그 반대인) 어떤 것을 방어하는지, 그리고 각각을 언제 사용해야 하는지 설명합니다.
1. Signal이 충분하지 않을 수 있는 경우
특정 위협 시나리오에서 Signal의 제한 사항:
- 전화번호 요구 사항: Signal은 가입 시 전화번호를 요구합니다. 이는 신원 링크를 생성하며, VOIP 번호를 사용하더라도 정교한 적대자는 잠재적으로 가입 패턴을 추적할 수 있습니다.
- 메타데이터 가시성: Signal이 내용은 숨기지만, ISP 및 네트워크 관찰자는 귀하가 Signal 서버에 연결하고 있다는 것을 볼 수 있습니다. 이는 Signal이 모니터링되거나 차단되는 관할권에서는 의미가 있습니다.
- 중앙화된 인프라: Signal은 미국에 기반을 둔 서버를 사용하는 비영리 기업에 의해 운영됩니다. Signal은 소환에 저항한 강력한 실적(그들이 제공할 데이터가 거의 없음)을 보유하고 있지만, 여전히 표적이 될 수 있는 법인입니다.
- 네트워크 의존성: Signal은 인터넷 연결(Wi-Fi 또는 셀룰러)이 필요합니다. 네트워크가 중단되거나 초크포인트(chokepoint)에서 모니터링되는 경우 Signal을 사용할 수 없거나 위험해집니다.
2. Briar
최적의 사용 사례: 인터넷 액세스를 사용할 수 없거나, 차단되었거나, 특별히 모니터링되는 상황
작동 방식:
- 중앙 서버가 없는 P2P(Peer-to-peer), 암호화된 메시징
- Tor(인터넷 사용 가능한 경우), Wi-Fi(로컬 메시), 또는 Bluetooth(직접 기기 간 연결)를 통한 연결
- 메시지는 어떤 서버에도 저장되지 않고 귀하의 기기에 저장됨
- 전화번호나 이메일 불필요 — 신원은 암호화 키를 기반으로 함
고유한 특징:
- Bluetooth 및 Wi-Fi 메시(mesh) 네트워킹을 사용하여 인터넷 없이도 작동합니다. 반경 약 10m 내의 기기들은 Bluetooth를 통해 메시지를 교환할 수 있으며, Wi-Fi 범위 내에서는 로컬 Wi-Fi를 통해 교환할 수 있습니다.
- 서버가 없기 때문에 서버에 저장되는 메타데이터가 없습니다.
- Briar Project에서 유지 관리하는 오픈 소스입니다.
제한 사항:
- 작은 사용자 기반 — 양당사자 모두 Briar가 설치되어 있어야 합니다.
- Bluetooth 범위는 제한적(~10m)이며 Wi-Fi는 이보다 약간 더 넓습니다.
- 음성 또는 영상 통화 불가(메시징 전용)
- (오프라인 메시 모드에서는) 기기가 통신 범위 내에 있을 때만 동기화됨
위협 모델 적합성:
- ✅ 인터넷 차단 (통신이 차단된 시위)
- ✅ 전화번호 노출 없음
- ✅ Signal 사용 자체가 모니터링되는 T2 위협 환경
- ❌ 일상적인 커뮤니케이션 (Signal보다 덜 편리함)
- ❌ 대규모 그룹 (Bluetooth/Wi-Fi 메시는 확장에 취약함)
다운로드: briarproject.org (Android 전용; iOS 버전은 개발 중)
3. Session
최적의 사용 사례: 전화번호가 불필요하고 분산된 인프라가 필요한 상황
작동 방식:
- 메시지 라우팅을 위한 분산형 어니언 라우팅(onion routing) 네트워크 (Tor와 유사)
- 전화번호나 이메일 불필요 — 신원은 무작위로 생성된 영숫자 “Session ID”임
- 소환할 중앙 서버가 없음 — 메시지는 Session 분산 네트워크를 통해 라우팅됨
- Signal 프로토콜 암호화 기반
고유한 특징:
- 계정 정보가 전혀 필요하지 않음: Session ID를 받아 연락하려는 사람들과 공유합니다.
- 분산 라우팅으로 인해 트래픽 분석이 더 어려워집니다.
- 호주에 본사를 둔 비영리 단체인 OPTF(Oxen Privacy Tech Foundation)가 운영하는 오픈 소스.
제한 사항:
- 비교적 새롭고 사용자 기반이 작습니다.
- 발신자 숨기기(Sealed sender) 기능과 동등한 기능이 없습니다 (라우팅 계층에서 메타데이터를 숨기기가 더 어려움).
- 데스크톱 클라이언트를 사용할 수 있지만 Signal Desktop에 비해 완성도가 떨어집니다.
- 음성 통화가 가능하지만 Signal보다 품질이 낮습니다.
위협 모델 적합성:
- ✅ 신원과 연결되지 않은 전화번호
- ✅ 분산형 인프라 (소환 가능한 단일 법인 없음)
- ✅ 휴대폰 신원과 완전히 분리되어야 하는 조직 내 커뮤니케이션
- ❌ 일상적인 메시지 콘텐츠 보안 측면에서 Signal을 능가하지는 않음
- ❌ 작은 커뮤니티로 인해 도입을 요구하기가 어려움
다운로드: getsession.org
4. Element / Matrix
최적의 사용 사례: 영구적이고(persistent) 자체 호스팅되는 그룹 인프라가 필요한 조직 커뮤니케이션
작동 방식:
- Matrix는 개방형 연합(federated) 커뮤니케이션 프로토콜입니다.
- Element는 기본 클라이언트입니다 (Gmail이 이메일의 클라이언트인 것과 같음).
- 자체 Matrix 홈 서버(homeserver)를 호스팅할 수 있습니다 (제3자에 대한 의존성 제거).
- 대화방(rooms)에 대한 종단간 암호화 가능 (명시적으로 활성화해야 함).
- 다른 플랫폼(Signal, Telegram, IRC, Slack)과의 연결(Bridges)이 가능합니다.
고유한 특징:
- 자체 호스팅 (Self-hosting): 귀하의 서버를 운영하십시오. 귀하의 메시지는 타사 인프라에 닿지 않습니다. 법 집행 기관의 소환장을 발부받을 미국 기업이 없습니다.
- 영구적인 그룹 대화방: Signal 그룹과 달리 Matrix 대화방은 구성원이 과거 내용을 스크롤하여 볼 수 있는 영구적인 기록을 가질 수 있습니다(구성 가능). 조직적인 조율에 더 적합합니다.
- 연합 (Federation): Matrix 대화방은 이메일처럼 서로 다른 홈 서버의 구성원을 포함할 수 있습니다 — 각자 자신의 서버를 통제하면서 모두와 소통할 수 있습니다.
제한 사항:
- 설정의 복잡성: 자체 호스팅에는 기술 인프라(서버, 도메인, 유지 관리)가 필요합니다.
- 종단간 암호화는 신중한 구성이 필요하며, 모든 대화방이 기본적으로 암호화되는 것은 아닙니다.
- 다른 사용자의 키 확인이 더 복잡합니다.
- 호스팅된 Matrix 계정(matrix.org)은 해당 회사의 법적 관할권의 적용을 받습니다.
위협 모델 적합성:
- ✅ 조직의 영구적 커뮤니케이션 (프로젝트, 워킹 그룹)
- ✅ 자체 호스팅 = 소환할 타사 서버 없음
- ✅ 기업 서버 손상이 우려되는 T3 위협 환경
- ❌ 익명 사용에는 적합하지 않음 (계정 생성 시 일반적으로 이메일이 필요함)
- ❌ 대부분의 개인 커뮤니케이션에는 과도함(overkill)
| 다운로드: element.io | Matrix 홈 서버: matrix.org (호스팅됨) 또는 matrix.org/docs/guides/homeserver-setup (자체 호스팅) |
5. SimpleX Chat
최적의 사용 사례: 양자 간(bilateral) 대화를 위한 최고 수준의 메타데이터 보호
작동 방식:
- 사용자 계정, 전화번호, 사용자 ID가 전혀 없음 — 완전히 분산형(decentralized)
- 메시지는 중계 서버를 통해 라우팅되지만 중계 서버는 발신자와 수신자의 신원을 연결할 수 없음
- 각 대화는 고유한 일회성 연결 주소를 사용함
- SimpleX Chat Ltd.에서 구축한 오픈 소스
고유한 특징:
- 주요 메신저 중 가장 급진적인 메타데이터 보호: 연결 주소가 일회용이고 영구적인 신원에 연결되지 않기 때문에 중계 서버는 말 그대로 누가 누구와 대화하고 있는지 알 수 없습니다.
- 소환 대상이 될 중앙화된 신원 레지스트리가 없습니다.
제한 사항:
- 아직 그룹 기능 없음 (개발 중)
- 비교적 새롭고 사용자 기반이 작습니다.
- 전화번호가 없으므로 대화를 시작하려면 대역 외(out-of-band)에서 연결 QR 코드나 링크를 공유해야 합니다.
위협 모델 적합성:
- ✅ 1대1 대화에 대한 최대 수준의 메타데이터 보호
- ✅ 정보원 보호 (정보원으로부터 제보를 받는 언론인)
- ✅ 커뮤니케이션 관계의 존재 자체도 숨겨야 하는 상황
- ❌ 아직 그룹 조직 커뮤니케이션에는 적합하지 않음
다운로드: simplex.chat
6. Wire
최적의 사용 사례: 개인 전화번호 없이 전문가 수준의 암호화된 통신이 필요한 팀
작동 방식:
- 종단간 암호화된 메시징, 음성, 영상 및 파일 공유
- 이메일 주소만으로 계정 생성 가능 (전화번호 필요 없음)
- 기업용으로 마케팅되는 Wire Pro 버전; Wire Personal은 무료
제한 사항:
- 서버 인프라를 갖춘 유럽 기업 — EU 법적 절차의 적용을 받음
- 메타데이터: Wire는 통신에 관한 일부 메타데이터를 저장합니다.
- 이 회사는 법 집행 기관의 요청을 받은 적이 있습니다.
위협 모델 적합성:
- ✅ Signal의 전화번호 요구 사항이 불편한 팀
- ✅ 전문적인 조직적 사용
- ❌ 고위험 커뮤니케이션에는 권장하지 않음 — 전반적으로 Signal이 더 강력함
7. 결정 가이드
| 질문 | 권장 사항 |
|---|---|
| 알고 있는 연락처와의 일상적인 보안 메시징 | Signal |
| 전화번호 없음, 서버 계정 없음 | Briar 또는 Session |
| 인터넷을 사용할 수 없을 때의 커뮤니케이션 | Briar (Bluetooth/Wi-Fi 메시) |
| 조직의 영구적 그룹 인프라 | Element/Matrix (자체 호스팅) |
| 1대1, 최고 수준의 메타데이터 보호 | SimpleX Chat |
| 개인 전화번호 없는 팀 협업 | Wire 또는 Session |
| 익명성을 갖춘 정보원-언론인 간 통신 | SecureDrop + Signal |
8. 민감한 조직 커뮤니케이션에 절대 사용해서는 안 되는 것
| 플랫폼 | 사용하면 안 되는 이유 |
|---|---|
| Meta 소유; 메타데이터 수집; 비즈니스 모델이 데이터임 | |
| Telegram | 기본적으로 종단간 암호화(E2EE)가 아님; 기본 채팅은 서버에서 암호화됨; Telegram 클라우드는 모든 비-비밀 채팅을 저장함 |
| Facebook Messenger | Meta 감시 인프라; 기본적으로 E2EE가 아님 |
| Discord | E2EE 없음; 법 집행 기관과 광범위하게 협조해 온 이력이 있는 미국 기업 |
| Slack | 기업 감시를 위해 설계됨; 관리자가 모든 메시지를 볼 수 있음; E2EE 없음 |
| 표준 이메일 (암호화되지 않음) | 내용 보호 없음; 메타데이터가 광범위하게 로깅됨 |
| SMS/문자 | 암호화 없음; 스팅레이(Stingrays, 기지국 시뮬레이터)에 의해 가로채기 가능; 통신사 기록 보존 |
이 가이드는 법률적 조언을 구성하지 않습니다. 법률은 관할 구역마다 다릅니다.