'기업의 보안 구멍' 슬랙을 대체할 암호화 협업 앱 3가지

CSO
슬랙은 IRC에 깔끔한 GUI를 입혀 성공한 범용 협업 툴이다. 그러나 E2E 암호화를 지원하지 않기 때문에 슬랙의 서버에 민감한 데이터를 쌓아 두면 국가의 지원을 받는 해커와 미국 정부의 합법적인 공격(PRISM을 생각해 보자), 악의적인 내부자(트위터는 이미 곤욕을 치렀다) 등에 노출될 수 있다.

이런 상황은 미국 외에 본사 또는 직원이 있는 기업에 특히 걱정거리가 될 수 있다. ODN(Office of the Director of National Intelligence)에서 유출된 4년 주기 정보 검토 최종 보고서 2009(Quadrennial Intelligence Review Final Report, 2009)를 보면, 미국 첩보원이 향후 5~10년 이내에 전 세계 연구 및 개발 센터에서 지적 재산(IP)을 훔치는 "사이버 작전"을 고려한 것으로 밝혀졌다. 이미 9년 전의 일이다. 

따라서 글로벌 기업이라면 미국 첩보원이 대중 감시 툴을 이용해 해외 지적 재산을 훔치고 해당 IP를 자국의 기업과 공유할 수 있는 현실적인 가능성에 대비해야 한다. 슬랙의 기술적 또는 법적 다양성 위반은 해당 서비스를 사용하는 많은 기업에 재난이 될 수 있기 때문이다.

자동 삭제 기능을 지원하는 키베이스 팀즈시그널이나 왓츠앱 혹은 이메일?
슬랙의 대안을 살펴보기 전에 시그널 또는 왓츠앱 그룹을 사용하거나 긴 CC 목록이 적용된 PGP 암호화 이메일을 떠올리는 사람이 있을 것이다. 이중 먼저 PGP 암호화 이메일은 탈락이다. 완벽한 순방향 비밀성이 보장되지 않으며 개인 그룹 협업과 기업용으로 쓰기에 적합하지 않다.

시그널과 왓츠앱은 시그널 프로토콜을 사용하며 유사한 기밀성 보장을 제공한다. 하지만 둘 다 모바일에 최적화돼 있으며 기업용으로는 적합하지 않다. 관련된 데이터 보존 및 삭제 법률을 준수하려면 법인 키 에스크로(Escrow)가 필요하기도 하다.

슬랙의 대안 1. 키베이스 팀즈
2014년 PGP의 대안으로 등장한 키베이스(Keybase)는 현재 팀즈(Teams)라는 슬랙의 대안을 제공하고 있다. CSO는 팀즈를 테스트하면서 그 성숙도에 깜짝 놀랐다. 아직 대대적으로 확산하지는 않아 얼리 어답터에게 사실상 무료 요금제로 제공하고 있다. 업체는 팀즈 출시를 알리며 "우리는 결국 개인과 커뮤니티는 무료로 사용하면서, 기업이 돈을 쓰고 쓸만한 것을 개발하고 싶었다. 그리고 결국 그런 것을 만들었다"라고 설명했다.

스파이더오크의 세마포키베이스는 PGP에서 파생되긴 했지만 암호 전문가들은 팀즈가 실제로 PGP가 아닌 NaCl을 사용한다는 점이 마음에 들 것이다. 하지만 기본적으로 키베이스 팀즈는 완벽한 순방향 비밀성이 제공되지 않는다. 업체는 그 이유로 사용성을 꼽았다. 팀즈는 순방향 비밀을 통한 단수명 키를 이용하는 자체 파괴 메시지 기능(귀여운 윌리 E. 코요테 폭탄 아이콘이다)을 제공한다. 중소 규모 팀이라면 협업 업무공간 수요에 적합한 E2E 암호화 슬랙 대안으로 충분하다고 느낄 것이다.

슬랙의 대안 2. 세마포
세마포(Semaphor)는 드롭박스의 영지식(zero-knowledge) 암호화 대안(드롭박스도 슬랙과 마찬가지로 사용하지 않아야 할 이유가 많다)을 제공하는 스파이더오크(Spideroak)의 멋쟁이들이 만든 E2E 암호화 협업 툴이다. 대부분의 준수성 부서를 충족시킬 수 있는 기업용 에디션을 제공한다. 심지어 올해는 규제가 더 엄격한 에너지 부문에서 NERC-CIP 준수 저장소 및 협업 툴을 내놓을 예정이다.

스파이더오크는 이것을 '사설 블록체인'으로 사용할 수 있다고 홍보하고 있어 보안보다는 마케팅에 더 치중한다는 느낌이 드는 것도 사실이다. 그러나 스파이더오크는 이미 명성이 자자하며 일련의 탄탄한 E2E 암호화 협업 툴과 정면 대결하기에 충분하다.

세마포는 공격적으로 유료화하고 있다. 무료 체험판은 최대 5명만 사용할 수 있어 예산이 부족한 중소기업엔 부담이 될 수 있다. 그러나 영지식 클라우드 저장소와 협업 툴을 찾는 대기업엔 안성맞춤이다.

슬랙의 대안 3. 위커
위커(Wickr)는 앞서 다룬 팀즈, 세마포 대비 가장 성공한 E2E 슬랙 대안이다. 커피숍 차단 목록이나 중국 만리장성 딥 패킷 검사에 상관없이 상시 연결성을 원하는 출장이 잦은 임원에게 유용한 검열 회피 프록시(Proxy) 사이폰(Psiphon)이 통합돼 있다.

3초 후에 메시지가 자동 삭제되는 기능을 지원하는 위커단, 중요한 약점이 하나 있다. 세마포 및 키베이스 팀즈와는 달리 위커가 사용한 암호 기법 코드는 오픈 소스가 아니다. 위커는 무료 버전을 제공하지만 초점은 기업 시장이며 수 천 개의 기업용 모바일 기기를 프로비저닝하거나 취소하는 준수성 기능을 지원한다.

지금 당장 올바른 선택을
슬랙의 대안이 몇 가지 있기는 하지만 현재 그 어떤 솔루션도 그룹 협업을 위한 유의미한 메타데이터 보호를 제공하지 않는다(올해 맥시넷(mixnets)을 주목해야 하는 이유이기도 하다).

이것이 문제가 되는 것은 메타데이터가 메시지인 경우가 많기 때문이다. 예를 들어 지난해 12월 슬랙은 이란에서 IP 주소를 한 번이라도 사용한 적이 있는 모든 사용자를 자사의 서비스에서 차단했는데, 대안이 되는 서비스 역시 같은 조치를 할 가능성이 있다.

모든 업무 공간을 E2E 암호화하는 것은 기업이 주요 정보 유출을 방지하는 중요한 사안이다. 이때 E2EE 슬랙 대안을 이용하면 모두에게 더 안전한 인터넷을 만드는 데 도움이 된다. 특히 모든 것이 서로에게 영향을 주는 오늘날의 상호 연결성을 고려하면 슬랙의 안전한 대안을 사용하는 것은 보안은 물론 비즈니스 전체에서 봐도 매우 훌륭한 결정이다. ciokr@idg.co.kr