The Guardian가 뉴스 앱 안에 CoverDrop을 통합해, 메시지를 암호화할 뿐 아니라 통신이 이루어졌는지 자체를 숨기며 제보자에게 부인 가능성까지 제공하는 방법을 소개한다.
Hackaday주 메뉴
2026년 3월 13일
제목:
복사
짧은 링크:
복사
암호학은 참 재미있는 물건이다. 말하자면, 메시지에 올바른 종류의 수학을 적용하기만 하면 누군가에게 보낼 수 있고, 그 누군가가 비밀스러운 작은 무언가를 아는 유일한 사람인 한, 다른 누구도 그것을 읽지 못한다는 것이다. 이런 일을 위해 특별히 만들어진, 다른 사람과 사적으로 메시지를 주고받는 앱도 온갖 종류가 있다.
그런데… 때로는 그런 앱을 그저 _가지고 있는 것_만으로도 곤란해질 수 있다. 상대가 내용을 읽지 못하더라도, 알아볼 수 없게 뒤섞인 그 메시지 자체가 당신에게 불리한 증거가 될 수도 있다. 여기서 _The Guardian_이 등장한다. 영국의 이 매체는 민감한 제보와 정보를 받기 위한 꽤 창의적이고 안전한 방법을 도입했는데, 특종급 정보를 들고 연락하는 이들에게 강력한 은폐 수단을 제공하려는 것이다.
암호화된 메시징 앱은 많고, 그 가치도 천차만별이다. 하지만 결국 이들 모두는 비슷한 결함을 가진다. 휴대폰에 이런 초보안 앱이 깔려 있거나, 악의적인 당국이 당신이 그런 서버로 메시지를 잔뜩 보내는 걸 포착한다면, 당신이 뭔가 숨길 만한 일을 하고 있다는 게 꽤 뻔해질 수 있다. 실제로는 아닐 수도 있다—그저 판타지 풋볼 제출 내용을 숨겨두는 걸 좋아할 뿐일 수도 있다. 어쨌든 강력하게 암호화된 메시징 시스템을 쓰면, 가능한 한 눈에 띄지 않고 싶을 때 오히려 당신에게 작은 등대 같은 표식이 달릴 수 있다.
CoverDrop 시스템은 메시지 보안을 유지하면서도, 시스템을 사용하는 이들에게 부인 가능성을 제공하도록 만들어졌다. 출처: The Guardian, Github 경유
바로 이 문제를 _The Guardian_과 Cambridge 대학교의 개발자들이 CoverDrop 메시징 시스템으로 해결하고자 했다. 이는 뉴스 앱 사용자들이 기자에게 기밀 제보를 할 수 있도록 특별히 설계된 것으로, 사용자의 행동을 드러낼 만한 증거의 흔적을 남기지 않도록 한다. 또한 프로젝트 백서에 설명된 바와 같이, 원한다면 다양한 뉴스 기관이 구현할 수 있도록 염두에 둔 설계다.
CoverDrop 시스템은 메시지를 단지 암호화하는 데 그치지 않고, 애초에 메시징이 일어나고 있는지 여부 자체를 숨기기 위해 여러 기법을 사용한다. 핵심은 CoverDrop이 세상에 배포된 Guardian 뉴스 앱의 모든 사본에 통합되어 있다는 점이며, 각 앱은 일정한 간격으로 소량의 암호화된 정보를 시스템으로 보낸다는 점이다. 대부분의 경우 이것은 정보 내용이 전혀 없는 무의미한 텍스트일 뿐이다.
앱을 통해 전송된 메시지는 암호화되며, 올바른 패스프레이즈를 사용해야만 꺼내볼 수 있다. 그렇지 않으면 앱은 마치 메시지가 전혀 보내지지 않은 것처럼 보인다. 물론 이렇다고 해서 악의적인 심문관이, 패스프레이즈가 있든 없든 당신이 내놓지 않는다고 의심하며 폭력을 행사하는 일을 막아주지는 못한다. 출처: The Guardian, Github 경유
즉, 누군가 기자에게 보낼 메시지가 없는 한 그렇다. 메시지를 보내야 할 경우에는, 메시지와 소스의 공개 키를 기자의 공개 키로 암호화해 패키징하고, CoverDrop 서버로 보내지는 다른 쓰레기 메시지들과 근본적으로 다르지 않게 보이도록 전송한다. 실제 메시지와 위장 메시지는 동일한 방식으로 암호화되고 길이도 같으며 같은 시간에 전송되므로, 네트워크 트래픽을 감시하는 누구도 둘을 구분할 수 없다.
수신 측에서는 CoverDrop의 보안 서버가 첫 번째 암호화 계층을 제거해 위장 메시지에서 실제 메시지를 걸러낸다. 그런 다음 ‘데드 드롭’ 전달 시스템을 통해 기자에게 제공되는데, 이때 아직 암호화된 실제 메시지에 일부 위장 메시지를 덧대어 드롭이 언제나 같은 크기가 되도록 한다. 특정 기자에게 온 메시지가 데드 드롭에 포함돼 있다면, 애초에 그 기자의 공개 키로 암호화됐기 때문에 기자는 이를 복호화할 수 있다. 또한 메시지에는 소스의 공개 키도 포함돼 있으므로, 비슷하게 안전한 방식으로 역방향 회신도 보낼 수 있다.
이 시스템은 기자와 소스 사이의 안전한 양방향 통신을 위해 설계되었다. 즉, 친구들과 안전하게 채팅하고 싶다면 둘 중 한 명은 The Guardian에 취직해야 한다. 그 대가를 치를 가치가 있는지는 당신이 결정할 일이다. 출처: The Guardian, Github 경유
기기 내 보안 측면에서 이 시스템은, 안전한 메시징에 사용됐는지 여부를 가능한 한 드러내지 않도록 설계됐다. 앱이 사용하는 메시지 저장 금고는 암호화되어 있고, 일정한 크기로 유지되며, 비밀 메시지가 실제로 전송되는지 여부와 상관없이 일정 주기로 정기적으로 변경된다. 복호화 패스프레이즈를 모르는 한, 앱이 메시지를 전송하는 데 사용됐다는 명백한 증거는 없다.
시스템을 구현하고 싶은 이들이나, 기능을 감사(audit)하고 싶은 이들을 위해 CoverDrop 코드베이스는 Github에 공개되어 있다. 민감한 제보를 안전하게 그리고 부인 가능하게 제출할 수 있는 방법은 많은 뉴스룸에서 바라는 바이며, 이는 더 넓은 채택이나 유사한 시스템의 등장을 이끌 수 있다. 물론 어떤 시스템도 절대적으로 안전하진 않지만, 단순한 암호화 그 이상에 초점을 둔 메시징 시스템은 감시나 보복에 대한 두려움을 줄이고 소통하려는 이들에게 큰 도움이 될 것이다.
Wrongbaud의 하드웨어 해킹 하이웨이를 타 보자→
중국에서는 tls 1.3만 금지… 댓글 신고 답글 1. JNA 말: 2026년 3월 11일 오후 2:08 정부가 강제하는 MITM 때문이겠죠(아마도). 댓글 신고 답글
2. **Truth** 말: [2026년 3월 10일 오후 3:34](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/#comment-8271190) https는 100% 유효한 인증서에 의존하는데, 의도된 설계로 인해 전 세계 어떤 인증기관이든 어떤 DNS 도메인에 대해서도 인증서를 생성·발급할 수 있습니다.
하지만 2017년 이후로는 모든 인증기관이 유효한 인증서를 발급하기 전에 도메인 이름의 DNS 레코드에서 “Certification Authority Authorization” 목록을 확인하는 것이 의무입니다. 목록에 없다면 유효한 인증서를 발급하지 말아야 합니다. 다만 국가 행위자이고 DNS 엔트리를 위조할 만큼 충분한 통제력을 갖고 있다면, 이런 안전장치는 오웰적인 정권에서 우회될 수 있습니다.
결국 핵심은 ‘당신의 메시지를 읽지 못하게 하려는 대상이 누구냐’로 귀결됩니다. 댓글 신고 답글
장담컨대 그건 이제 끝났습니다. 지금은 대통령이 서커스 땅콩 같은 인물이잖아요. 댓글 신고 답글 1. a_do_z 말: 2026년 3월 9일 오전 9:18 그런 말을 마음 놓고 할 수 있다고 느낀다는 점이 흥미롭네요. 댓글 신고 답글 1. Chris Daniels 말: 2026년 3월 9일 오후 10:11 정부나 그 대표자들이 표현의 자유를 ‘믿는지’와, 실제로 표현의 자유가 적극적으로 제한되고 있는지는 꽤 큰 차이가 있다고 봅니다. 미국에서는 대체로 법원의 관할이죠. Murthy v. Missouri (2024), National Rifle Association v. Vullo (2024), Molina v. Book (진행 중), Students for Justice in Palestine at the University of Florida v. Raymond Rodrigues (진행 중) 같은 사건들이 포함됩니다. 오바마도 표현의 자유의 옹호자는 아니었습니다. 한동안 어느 대통령도 그랬던 적은 없죠. 다만 최근에는 공화당과 보수 매체가 어떤 자유가 언제, 어떤 방식으로 침해되는지를 의도적으로 왜곡하는 경향이 있어 더 당파적으로 변했습니다. 그러니 아니요, 현 행정부만의 문제가 아니고, 여기서 그렇게 말할 수 있다는 것 자체가 무언가를 보여준다고 하긴 어렵습니다. 댓글 신고
2. **David** 말: [2026년 3월 9일 오전 9:23](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/#comment-8270619) 누군가를 _어떤\_사람_에 비유하고 _어떤\_물건_에 빗대는 말을 들으면, 제 안의 냉소가 이렇게 묻고 싶어집니다. “_어떤\_물건_한테 무슨 원한이 있나요?” [댓글 신고](javascript:void(0);) [답글](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/?replytocom=8270619#respond)
1. **[Wilko](https://gravatar.com/visserslatijn)** 말: [2026년 3월 9일 오전 9:45](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/#comment-8270625) “SOME_OBJECT한테 무슨 원한이 있나요?”
아무것도요. 그런데 SOME_OBJECT에겐 꽤 모욕적인 비유라고 생각해요. 댓글 신고 2. echodelta 말: 2026년 3월 9일 오전 11:39 오렌지색으로 부풀어 오른 말랑한 사탕을 먹은 게 정말 오래됐네요. 저는 처음엔 오렌지 조각 모양의 모조품인 줄 알았어요. 늘 가장 싼 사탕과 연관되어 있었죠. 그 사탕이 무엇을 상징하는지 안다면, 지금까지 들은 가장 공손한 은유일 겁니다. 중국이나 러시아에서는 자국의 위대한 지도자를 언급할 때 뜻을 숨기기 위해 이런 메타 단어를 써야 하죠. 댓글 신고
2. **Jeff Wright** 말: [2026년 3월 10일 오전 11:06](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/#comment-8271116) 그래서 다른 칸막이의 컴퓨터를 해킹하고, 이 기술로만 뉴스 앱이 보이게 하는 거죠—“네거티브 라이트:”
https://techxplore.com/news/2026-03-negative-technology-plain-sight.html
이러면 그럴듯한 부인 가능성도 얻고, THEY LIVE 코스프레도 할 수 있죠. 다만 진짜로… 둔감한 옆자리 동료가 빨간 Swingline을 탐내는 동안 올바른 광학 장치가 있는 당신만 피드를 볼 수 있다는 점에서요.
“전부터 그가 나쁘다고 생각했어요, 정치위원님!” 댓글 신고 답글
3. **[yngndrw](https://gravatar.com/yngndrw)** 말: [2026년 3월 9일 오후 2:24](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/#comment-8270740) 아니면 영국에서는, 암호화를 탑재한 모든 앱이 신분증과 연령 확인을 요구하도록 의무화하겠죠. [댓글 신고](javascript:void(0);) [답글](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/?replytocom=8270740#respond)
1. **Foldi-One** 말: [2026년 3월 10일 오전 4:36](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/#comment-8271006) 그리고 그 확인은 승인된 공급업체를 통해서만 해야 하고, 그 업체들은 대개 어떤 식으로든 Blair와 연이 있겠죠… [댓글 신고](javascript:void(0);) [답글](https://hackaday.com/2026/03/09/secure-communication-buried-in-a-news-app/?replytocom=8271006#respond)
3. SteveT 말: 2026년 3월 9일 오전 9:35 단파 라디오 숫자 방송이 떠오르네요. 랜덤한 정보를 많이 보내서, 그 안에 중요한 작은 정보 조각을 숨기는 방식이요. 댓글 신고 답글 1. Piotrsko 말: 2026년 3월 9일 오전 11:09 더 좋은 방법은, 아무것도 보내지 않으면서도 감청자들이 그걸 검증하느라 시간과 자원을 낭비하게 만드는 거죠. 댓글 신고 답글 1. Andrew 말: 2026년 3월 9일 오후 1:17 아무것도 보내지 않되, 감청자들이 뭔가 보냈다고 우기면서 사람들을 때리느라 시간을 낭비하게 만들기. 댓글 신고 답글
현실 세계에서 ‘데드 드롭’이 무엇인지는 아는데, 글쓴이가 여기서 말하는 건 dropbox 같은 건가요? 댓글 신고 답글 5. Richard 말: 2026년 3월 9일 오후 12:12 제 안의 냉소는, 이게 뉴스 앱이 모든 사용자들을 감시하기에 아주 좋은 방법이라고 생각합니다. 주기적으로 보내는 랜덤한 무의미 데이터가 계속 랜덤하게 남아있으리란 보장도 없고요. 댓글 신고 답글 1. D 말: 2026년 3월 9일 오후 8:29 …뭐라고요? 여기서 설명한 시스템은 숨겨야 하는 메시지를 보내기 위한 겁니다. 앱 모니터링은 그 범주에조차 들어가지 않아요.
앱이 당신을 염탐하는 것에 대한 유일한 방어는, 기본적으로 권한을 거부하는 OS입니다. 앱은 앱 안에서 하는 무엇이든 서버로 보고할 수 있고(실제로도 그렇게 합니다). 저는 아주 크지 않은 회사에서 일하는데, 우리 앱에서 당신이 하는 모든 탭이 서버에 로그로 남습니다. 위의 어떤 것들도 필요 없어요. 댓글 신고 답글
댓글란이 훌륭해질 수 있도록 친절하고 존중하는 태도를 부탁드립니다. (댓글 정책)
이 사이트는 스팸을 줄이기 위해 Akismet을 사용합니다. 댓글 데이터가 처리되는 방식 알아보기.
검색어:
facebook에서 팔로우twitter에서 팔로우youtube에서 팔로우rss에서 팔로우연락하기
저작권 © 2026 | Hackaday, Hack A Day, 그리고 Skull and Wrenches 로고는 Hackaday.com의 상표입니다 | 개인정보 처리방침 | 서비스 이용약관 | Digital Services Act | 개인정보를 판매하거나 공유하지 마세요
댓글 로딩 중...
댓글 작성...
이메일(필수) 이름(필수) 웹사이트
