Skip to content
Published on

안전한 메시징 2026 — Signal / Matrix Element X / SimpleX / Session / Briar / MLS RFC 9420 심층 가이드

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

프롤로그 — 왜 2026년에 다시 메시징인가

2010년대 후반 안전한 메시징은 "Signal 또는 WhatsApp"의 두 단어로 거의 정리됐다. WhatsApp이 Signal 프로토콜을 채택한 2016년 4월 이후, 일반 사용자에게 종단간 암호화(end-to-end encryption, E2EE)는 더 이상 선택 사항이 아니라 기본이었다. iMessage도, Telegram의 비밀 채팅도, Wire도, Threema도, 모두 변주였다.

2026년 봄은 다르다. 세 가지 사건이 풍경을 바꿨다.

첫째, 2023년 7월 IETF가 RFC 9420으로 MLS(Messaging Layer Security)를 정식 표준화했다. 종단간 그룹 메시징의 키 합의를 "트리 기반"으로 정의한 이 표준은, 대규모 그룹에서 키 교체 비용을 로그 시간으로 줄였다. 2024년부터 WhatsApp, Webex, X Premium이 MLS를 차례로 채택했다.

둘째, 2023년 9월 Signal이 PQXDH를 발표했다. X3DH(extended triple Diffie-Hellman)의 후속이고, CRYSTALS-Kyber 기반 키 캡슐화를 더해 양자 컴퓨터에 대한 사전 방어를 만들었다. "지금 가로채서 나중에 풀자"라는 hold-now-decrypt-later 공격에 대한 첫 양산 답이었다.

셋째, 2024년 9월 Signal Foundation의 트러스트 위원장 자리가 바뀌었다. Trust Acker(가명, 영어판에서 자세히)가 사임하고, 회장 메러디스 위태커(Meredith Whittaker)가 더 강한 발언권을 가지게 됐다. Signal은 여전히 황금 표준이다. 이 사실은 변하지 않았다.

그리고 그 사이로, 더 작은 진영들이 자기 자리를 굳혔다. SimpleX는 "사용자 ID 자체가 없는" 설계로 메타데이터 저항의 새 기준을 만들었고, Session은 Loki/Oxen 분산 네트워크로 Signal 프로토콜을 익명화했다. Briar는 인터넷이 끊긴 환경에서도 블루투스/와이파이 다이렉트로 동작하는 P2P를 입증했고, Cwtch는 Tor 위에 익명 그룹 채팅을 얹었다. Wire는 유럽 기업 시장에, Threema는 스위스 유료 시장에, Olvid는 프랑스 정부에, Wickr의 컨슈머는 AWS의 손에서 사라졌다.

2026년 봄, 우리는 더 이상 "Signal을 쓰세요"라고만 말할 수 없다. 누가 쓰는가, 어떤 위협 모델인가, 메타데이터를 어디까지 숨기고 싶은가에 따라 선택지가 다르다. 이 글은 그 모든 갈래를 14장으로 정리한다.

1장 · 2026년 안전한 메시징 지도 — 중앙집중 / 연합 / P2P 3 모델

2026년의 안전한 메시징을 한 장의 지도로 그리면, 세 가지 아키텍처가 나타난다.

1. 중앙집중형(centralized) — 단일 회사가 서버 인프라를 운영. Signal, Threema, Wire, WhatsApp, iMessage, Telegram이 여기 속한다. 사용자 가입은 전화번호나 이메일 또는 ID로 묶이고, 메시지는 모든 사용자가 같은 서버 군집을 거친다. 장점은 단순함과 일관된 사용자 경험. 단점은 회사가 사라지거나 정책을 바꾸면 사용자가 함께 영향을 받는다는 점.

2. 연합형(federated) — 여러 서버가 서로 통신하는 모델. Matrix.org 생태계가 대표적. 한 서버의 사용자가 다른 서버의 사용자와 자유롭게 대화할 수 있고, 사용자는 자기 서버를 직접 운영할 수 있다. XMPP + OMEMO도 여전히 이 모델을 유지한다. 장점은 자율성과 검열 저항성. 단점은 서버 운영자가 부담스럽고, 사용자 경험이 클라이언트에 따라 갈린다는 점.

3. P2P / 분산형(peer-to-peer / distributed) — 서버를 없애거나 익명 분산 네트워크 위에 올린 모델. SimpleX(메시지 라우팅은 서버를 거치지만 사용자 ID는 서버에 없음), Session(Loki/Oxen 노드 망), Briar(블루투스/와이파이 다이렉트/Tor), Cwtch(Tor 기반)이 여기 속한다. 장점은 메타데이터 저항의 극한. 단점은 사용자 경험이 거칠고, 그룹 채팅이나 미디어 전송에서 제약이 크다는 점.

세 모델은 서로 다른 위협 모델을 가정한다. 중앙집중형은 "회사를 신뢰할 수 있다"를 전제로 하고(Signal Foundation 비영리 구조로 이 신뢰를 강화). 연합형은 "내 서버 또는 내가 고른 서버를 신뢰한다"를 전제. P2P는 "어떤 단일 주체도 신뢰하지 않는다"를 전제로 한다.

이 글의 24장은 중앙집중형(Signal), 연합형(Matrix), 그리고 P2P(SimpleX)를 다룬다. 57장은 더 작은 분산 진영(Session, Briar, Cwtch). 8장은 기업/유료/정부 시장. 911장은 프로토콜 레이어(MLS, sealed sender, post-quantum). 1214장은 적용(WhatsApp MLS, 한국, 일본). 마지막 15장은 누가 무엇을 골라야 하는가를 정리한다.

2장 · Signal — 표준의 자리, PQXDH와 메러디스 위태커 시대

Signal은 2026년에도 여전히 황금 표준이다. 보안 연구자가 일반인에게 가장 먼저 권하는 메신저고, 미국과 유럽의 활동가, 기자, 변호사, 보안 전문가가 가장 폭넓게 쓰는 도구다. 그 자리를 만든 것은 세 가지다.

첫째, Signal 프로토콜. 더블 래칫(Double Ratchet) + X3DH(extended triple Diffie-Hellman)의 조합. 더블 래칫은 메시지마다 키를 바꿔서 한 메시지 키가 누설돼도 과거와 미래 메시지가 안전하게 유지되도록 한다. X3DH는 두 사용자가 처음 만났을 때 비대칭 키 합의를 안전하게 한다. 이 조합은 2014년경 모셔 마린스파이크(Moxie Marlinspike)와 트레버 페린(Trevor Perrin)이 만들었고, 이후 WhatsApp, Facebook Messenger, Skype Private Conversations, Google Allo, Wire가 모두 이를 채택했다.

둘째, 2023년 9월의 PQXDH. Signal 블로그(signal.org/blog/pqxdh)에 발표된 PQXDH는 X3DH에 CRYSTALS-Kyber 기반의 키 캡슐화 메커니즘(KEM)을 추가했다. 즉 클래식 X3DH(타원곡선)와 양자내성 KEM을 동시에 실행하고, 둘의 결과를 합쳐서 세션 키를 도출한다. 둘 중 하나만 안전해도 세션은 안전하다. "지금 가로채서 나중에 양자 컴퓨터로 풀자"라는 hold-now-decrypt-later 공격에 대한 첫 산업 답이었다. Apple iMessage도 2024년 2월 PQ3로 비슷한 길을 따랐다.

셋째, 비영리 재단 구조와 메러디스 위태커. Signal Foundation은 2018년 모셔 마린스파이크와 브라이언 액턴(전 WhatsApp 공동창업자)이 함께 세웠다. 액턴은 5천만 달러의 무상 대출로 재단을 출발시켰다. 2022년 마린스파이크는 CEO 자리에서 물러났고, 2024년부터는 메러디스 위태커(전 Google, AI Now Institute 공동 창립자)가 회장으로 자리를 굳혔다. 위태커는 공개적으로 강한 발언을 하는 사람이다. 2024년 5월 EU의 채팅 통제(Chat Control) 법안에 대해 "Signal은 EU 시장을 떠날 것"이라고 명시했고, 같은 해 6월 영국 Online Safety Bill에 대해서도 비슷한 입장을 견지했다.

2024년 9월 트러스트 위원장 사임. 자세한 인사 사정은 공개되지 않았지만, Signal Foundation의 거버넌스 위원회 일부가 교체됐고 위태커의 발언권은 더 강해졌다. 외부 시각에서 이것은 Signal이 "기술 표준"에서 "정치적 입장"으로도 한 발 더 나아갔다는 신호로 읽혔다. 미국 의회의 EARN IT Act, EU의 Chat Control, 영국의 Online Safety Bill 같은 백도어 강제 입법에 대해 Signal은 "우리는 떠난다"를 분명히 하는 거의 유일한 메신저다.

Signal의 약점은 메타데이터다. 메시지 내용은 완벽히 암호화되지만, 누가 누구와 언제 대화했는지의 메타데이터는 서버 운영자가 일부 볼 수 있다. Signal은 이를 줄이기 위해 sealed sender(2018), private contact discovery(SGX 기반), username(2024년 베타) 같은 기능을 차례로 추가했다. 그러나 전화번호 등록이라는 기본 모델은 여전하고, 이것이 SimpleX나 Session 같은 진영이 비판하는 지점이다.

2026년 현재 Signal은: 사용자 약 7천만~1억 명(공식 수치는 비공개), 안드로이드/iOS/데스크탑(Windows, macOS, Linux) 지원, 그룹 채팅 최대 1000명, 그룹 통화 최대 50명, 비디오 통화, 스티커, 스토리(2022), 사용자명(2024), PQXDH(2023.9), 잠긴 채팅(2024). 다음 단계는 PQXDH의 더블 래칫 통합(현재는 초기 합의만 양자내성)과, 메타데이터를 더 줄이는 방향의 그룹 채팅 재설계라고 한다.

3장 · Matrix.org + Element X — Rust로 다시 쓴 클라이언트

Matrix는 2014년 Amdocs에서 분사한 새 비영리 재단(현 Matrix.org Foundation)이 만든 연합형 메시징 프로토콜이다. XMPP가 못한 것을 다시 해보겠다는 야심에서 출발했고, 2017년 1.0 릴리스 이후 가장 큰 연합형 메시징 생태계로 자리를 잡았다.

핵심 개념. Matrix는 "메시지"가 아니라 "방(room)"을 중심으로 설계됐다. 방은 하나의 분산 상태(eventually-consistent JSON 이벤트의 그래프)고, 여러 서버에 동시에 존재한다. 한 서버가 다운돼도, 그 서버에 있는 다른 사용자가 보낸 이벤트가 다른 서버에 복제돼 있는 한, 방은 살아 있다.

홈서버(homeserver)와 ID. 사용자는 @alice:matrix.org처럼 사용자명 + 홈서버 형식의 ID를 갖는다. Synapse(파이썬 참조 구현), Dendrite(Go), Conduit(Rust)이 대표적인 홈서버 구현이다. 자기 서버를 운영하면 자기 데이터를 가질 수 있다. 운영이 부담스러우면 matrix.org, beeper.com, Element 같은 호스팅 서비스를 쓰면 된다.

E2EE(Olm + Megolm). Matrix의 종단간 암호화는 두 층으로 돼 있다. 1:1 대화는 Olm(Signal의 더블 래칫에 영감을 받은 라이브러리). 그룹 대화는 Megolm(group ratchet으로 큰 그룹에서도 한 메시지에 한 번만 암호화). Olm/Megolm은 매트릭스 명세의 일부고, 모든 호환 클라이언트가 같은 알고리듬을 쓴다.

Element X — Rust로 다시 쓴 클라이언트. 2022~2023년 Element는 기존 React Native 기반의 Element 모바일을 버리고, 핵심 SDK를 Rust로 다시 쓴 matrix-rust-sdk 위에 새 클라이언트 Element X를 만들었다. 2024년 정식 출시된 Element X는 (1) sliding sync로 느렸던 초기 동기화를 빠르게 했고, (2) 메시지 검색을 클라이언트측 인덱스로 즉시 가능하게 했고, (3) UI를 단순화해 신규 사용자 진입 장벽을 낮췄다. 같은 Rust SDK는 데스크탑(Element Desktop의 다음 세대)에도 들어간다.

sliding sync(MSC3575)란. 기존 /sync API는 모든 방의 상태를 매번 요청하기 때문에, 수백 개 방을 가진 사용자의 첫 로그인이 수십 초씩 걸렸다. sliding sync는 "지금 보이는 화면에 필요한 방만 우선 동기화"하는 방식. 모바일에서 앱을 열자마자 가장 최근 대화가 즉시 보이고, 스크롤하면 나머지가 점진적으로 로드된다.

연합형의 정치학. Matrix는 2020년부터 프랑스 정부의 공식 메신저(Tchap), 독일군의 BwMessenger, 미군의 일부 통신 인프라에 채택됐다. 자기 서버를 운영할 수 있다는 점, 오픈소스라는 점, 그리고 표준이 공개돼 있다는 점이 정부 채택의 핵심 이유였다. 2024년에는 NATO 일부 채널에도 들어갔다.

Matrix의 약점은 메타데이터. 연합형이라 한 서버 운영자가 모든 메시지를 보지는 못하지만, 자기 서버의 사용자가 어떤 방에 있는지, 어떤 사용자와 자주 대화하는지는 충분히 볼 수 있다. Matrix 재단은 sliding sync와 함께 MSC1228(decentralized user IDs)처럼 메타데이터를 줄이는 방향의 명세를 진행 중이다.

2026년 현재 Matrix는: 공식 발표 사용자 약 8천만 명(homeserver 활성 계정 기준), Element X(iOS/Android), Element Desktop, Cinny, FluffyChat 같은 클라이언트가 있다. 기업/정부 시장에서는 Synapse + Element를 한 번에 묶어 파는 Element Server Suite가 주력. 비디오 통화는 Element Call(2024년 정식, WebRTC SFU 기반).

4장 · SimpleX — 사용자 ID가 없는 분산 메시징

SimpleX(simplex.chat)는 2021년 즈음 출발한 비교적 새로운 메신저다. 출발점은 단순한 질문이었다. "왜 메신저는 사용자 ID가 필요한가?"

전화번호(Signal, WhatsApp), 이메일(Wire 일부), Matrix ID(Matrix), 사용자명(Telegram, Threema, Session)은 모두 서버가 사용자를 식별하는 단일 식별자다. 이 단일 식별자가 존재하는 한, 서버는 "누가 누구와 대화했는가"의 그래프를 만들 수 있다.

SimpleX의 답. 사용자 ID를 없앤다. SimpleX는 사용자가 아니라 "큐(queue)"를 식별자로 쓴다. 두 사용자가 처음 연결할 때, 한쪽이 일회용 SMP(Simplex Messaging Protocol) 큐를 만들고 그 주소를 QR 코드나 링크로 상대방에게 직접 전달한다. 상대방은 그 큐에 첫 메시지를 보내고, 두 사용자는 그 안에서 키를 교환한다. 이후 모든 메시지는 그들만 아는 큐로 라우팅된다. 서버에는 "어떤 사용자"가 아니라 "어떤 큐"만 존재한다.

여러 SMP 서버. SimpleX는 자체 SMP 서버를 운영하지만, 누구나 자기 SMP 서버를 운영할 수 있고 사용자는 여러 서버를 동시에 쓸 수 있다. 한 대화의 송신 큐와 수신 큐가 서로 다른 서버에 있을 수도 있다. 이러면 어느 한 서버 운영자도 양쪽 메시지 흐름을 모두 보지 못한다.

E2EE. SimpleX는 자체 더블 래칫 구현을 쓴다. 2024년부터는 PQXDH 스타일의 양자내성 KEM도 옵션으로 추가됐다.

그룹 채팅. 그룹은 사용자들 간의 mesh로 구현돼 있다. 한 메시지를 그룹의 모든 멤버에게 보내려면, 송신자가 멤버 수만큼 각 큐에 메시지를 보낸다. 이 구조는 큰 그룹(수백 명 이상)에서 비효율적이지만, 메타데이터 저항을 최대화하는 대가다. 2025년 이후 SimpleX는 super-peer 기반의 그룹 라우팅을 추가해 이 비용을 줄이고 있다.

약점. (1) UI/UX가 거칠다. (2) 여러 디바이스 간 동기화가 제한적이다(원리상 각 디바이스가 별도 사용자). (3) 전화번호가 없으므로 연락처를 찾는 방법이 QR 코드/링크 공유밖에 없다. (4) 푸시 알림이 다른 메신저보다 느리다.

누가 쓰나. 고위험 활동가, 언론인, 보안 연구자가 주요 사용자 군이다. 일반 사용자에게 권하기는 어렵지만, "메시지 내용뿐 아니라 누구와 대화했는지조차 숨기고 싶은" 사용자에게는 거의 유일한 선택지에 가깝다.

5장 · Session — Signal 프로토콜 + Loki/Oxen 분산

Session(getsession.org)은 2019년 호주의 Loki Foundation(현 Oxen Foundation)이 만든 메신저다. 출발은 Signal Android의 포크였다. Signal의 검증된 종단간 암호화는 그대로 쓰되, 서버 의존성을 제거하고 익명 네트워크 위에서 동작하게 했다.

Loki/Oxen 네트워크. Session은 Loki(현 Oxen) 블록체인의 서비스 노드(service node) 네트워크 위에서 동작한다. 사용자가 메시지를 보내면, 그 메시지는 onion route를 거쳐 수신자의 "스왐(swarm, 메시지 저장 노드 군집)"에 도달한다. 수신자는 자기 스왐을 폴링해서 메시지를 받는다. 이 구조는 Tor와 비슷한 익명성을 제공하지만, Tor와 달리 메시지 저장(store-and-forward)도 가능하다.

사용자 ID. Session은 전화번호도 이메일도 사용자명도 쓰지 않는다. 사용자는 무작위로 생성된 66자리 Session ID(공개키 기반)를 갖는다. 이 ID를 상대방과 직접 교환하면 대화를 시작할 수 있다.

E2EE. 초기에는 Signal 프로토콜(더블 래칫 + X3DH)을 그대로 썼지만, 2021년 1:1 채팅에서는 Session Protocol(자체 단순화 버전)로 바꿨다. 그룹 채팅에서는 Closed Groups(엔드투엔드 암호화된 작은 그룹, 최대 100명)과 Open Groups(서버에 평문으로 저장되는 큰 그룹)이 있다. 2024년부터 MLS 기반의 새 그룹 프로토콜로 마이그레이션 중이다.

약점. (1) Loki/Oxen 블록체인에 의존하므로, 그 생태계가 어려워지면 Session도 영향을 받는다. (2) 메시지 전달 지연이 다른 메신저보다 크다(스왐 폴링 모델 때문). (3) Closed Groups의 키 회전이 비효율적이다.

누가 쓰나. 익명성을 중시하면서 Signal보다 강한 메타데이터 저항을 원하는 사용자. 다크넷 시장 사용자와 활동가가 큰 비중을 차지한다.

6장 · Briar — 인터넷이 없어도 동작하는 P2P

Briar(briarproject.org)는 영국에서 2014년경 출발한 안드로이드 전용 메신저다. 출발점은 또 다른 질문이었다. "인터넷이 끊긴 환경, 또는 정부가 인터넷을 차단한 환경에서도 동작하는 메신저는 가능한가?"

3가지 전송 방식. Briar는 같은 메시지를 세 가지 방식으로 전송할 수 있다.

  1. Tor over Internet — 인터넷이 있을 때, Tor 숨김 서비스를 통해 두 디바이스가 직접 연결된다. 중앙 서버가 없다.
  2. Wi-Fi Direct — 같은 와이파이망에 있을 때, 또는 Wi-Fi Direct로 직접 연결.
  3. Bluetooth — 인터넷도 와이파이도 없을 때, 블루투스 범위(약 10미터) 안에서 직접 메시지 교환.

이 셋은 같은 앱 안에서 자동으로 전환된다. 첫 번째가 실패하면 두 번째를 시도하고, 그것도 실패하면 세 번째를 시도한다.

왜 의미가 있나. 2011년 아랍의 봄에서 이집트 정부가 인터넷을 차단했을 때, 2019년 홍콩 시위에서 데이터 트래픽이 모니터링됐을 때, 2022년 이란 시위에서 통신이 검열됐을 때, 모두 "인터넷이 차단된 상황에서 어떻게 통신할 것인가"가 핵심 문제였다. Briar는 그 시나리오를 위해 설계됐다.

E2EE. Briar는 자체 프로토콜(Bramble Transport Protocol, BTP)을 쓴다. 더블 래칫과 비슷한 구조지만, 메시지 전달 신뢰성(특히 인터넷이 간헐적인 환경에서)을 최우선으로 한다.

약점. (1) 안드로이드 전용. iOS 버전은 오랫동안 계획만 있다(2026년 봄 기준 베타). (2) 그룹 채팅이 작다(최대 수십 명). (3) 같은 와이파이/블루투스 범위에 있어야 P2P 모드가 동작하므로, 일반 사용자에게는 활용도가 낮다. (4) 푸시 알림이 없다(서버가 없으므로 원리상 불가능).

누가 쓰나. 시위 현장, 검열 환경의 활동가, 인터넷 인프라가 불안한 지역. 또한 보안 연구의 참고 구현으로도 자주 인용된다.

7장 · Cwtch — Tor 위에 익명 그룹 채팅

Cwtch(cwtch.im, 웨일스어로 "포옹"의 의미)는 캐나다의 Open Privacy Research Society가 만든 메신저다. 2018년경 시작됐고, 2022년 1.0이 나왔다.

핵심 설계. Cwtch는 모든 메시지를 Tor 숨김 서비스를 통해 라우팅한다. 사용자 ID는 Tor v3 onion 주소(56자리)다. 메시지는 두 사용자(또는 그룹)의 onion 주소 사이에서 직접 흐른다. 중앙 서버는 없다.

메타데이터 저항. Cwtch는 Briar보다 한 발 더 나간다. (1) 사용자 식별자가 onion 주소뿐. (2) 모든 트래픽이 Tor를 통과. (3) 그룹 메시지는 그룹 키로 암호화돼 임의의 untrusted 서버(누구나 운영 가능)에 저장되고, 그룹 멤버만 복호화 가능. 즉 서버 운영자는 누가 그룹에 속해 있는지조차 모른다.

약점. (1) Tor 의존이라 느리다. (2) 푸시 알림이 없다. (3) 그룹 운영에 untrusted 서버를 골라야 하는 부담이 있다. (4) UI/UX가 기술자 친화적이다.

누가 쓰나. 메타데이터 저항을 최우선으로 두는 보안 연구자, 언론인, 고위험 활동가.

8장 · Wire / Threema / Olvid / Wickr — 기업 / 유료 / 정부 / 사라진 것

이 절은 중앙집중형 진영의 네 가지 변주다.

Wire(wire.com). 2014년 스위스에서 출발(나중에 베를린으로 본사 이전, 미국 자본 인수). 처음에는 컨슈머 메신저로 시작했지만, 2019년 이후 기업 시장(Wire for Business, Wire Red)에 집중. Signal 프로토콜의 변형(Proteus)을 쓰고, 2022년 MLS 기반 그룹 메시징으로 마이그레이션. 독일 연방 정부, 일부 EU 기관이 채택했다. 컨슈머 버전은 여전히 무료지만, 회사의 핵심 매출은 기업이다.

Threema(threema.ch). 2012년 스위스에서 출발. 유료 메신저(2026년 봄 기준 약 4.99 CHF 일회성 결제)이고, 전화번호 없이 무작위 8자리 Threema ID로 동작한다. 스위스 데이터 보호법의 강력한 보호를 받고, 2017년 코드를 오픈소스로 공개했다(GitHub의 threema-android, threema-ios). 스위스 군과 정부, 일부 유럽 기업, 그리고 프라이버시 의식이 강한 일반 사용자가 쓴다. 사용자 수는 약 1100만 명(2024년 공식).

Olvid — 프랑스 정부 인수(2023). Olvid는 2019년 프랑스에서 출발한 메신저다. 가장 큰 특징은 "어떤 디렉토리 서비스도 신뢰하지 않는다"는 원칙. 두 사용자가 처음 연결할 때 직접 만나거나 안전한 채널로 키를 교환해야 한다. 2023년 11월, 프랑스 정부가 모든 장관과 공무원의 공식 메신저로 Olvid를 채택한다고 발표했고, 같은 무렵 회사 지분의 상당 부분을 매입했다. 자세한 인수 조건은 비공개. 컨슈머용 무료 버전은 그대로 제공되지만, 거버넌스에는 변화가 있다.

Wickr — AWS의 컨슈머 종료(2023). Wickr는 2012년 미국에서 출발한 메신저. 2021년 AWS가 인수했고, 2022년 AWS Wickr 서비스로 통합됐다. 2023년 1월, AWS는 무료 컨슈머 버전(Wickr Me)을 종료했고, 이후 Wickr는 정부/기업/AWS 고객 전용 도구가 됐다. 한때 다크넷에서 흔히 쓰였던 Wickr Me의 종료는 그 사용자층이 Session, SimpleX, Signal로 분산되는 결과를 가져왔다.

9장 · XMPP + OMEMO — 오래된 프로토콜이 여전히 살아 있는 이유

XMPP(Extensible Messaging and Presence Protocol)는 1999년 Jabber라는 이름으로 출발해 2002년 IETF에서 표준화된 가장 오래된 연합형 메시징 프로토콜이다. 한때 Google Talk, Facebook Chat, WhatsApp 초기 버전이 모두 XMPP 변형을 썼다.

OMEMO(OMEMO Multi-End Message and Object Encryption). 2015년 XEP-0384로 표준화된 XMPP 종단간 암호화 확장. Signal 프로토콜의 더블 래칫과 거의 같은 알고리듬을 XMPP의 메시지 흐름 위에 얹은 것. Conversations(Android), Dino(데스크탑), Gajim, Beagle IM, Siskin(iOS) 같은 클라이언트가 OMEMO를 지원한다.

왜 여전히 살아 있나. (1) 표준이 완전히 공개돼 있고 진입 장벽이 낮다. (2) 셀프 호스팅이 쉽다(Prosody, ejabberd 같은 가벼운 서버가 있다). (3) 호환 클라이언트가 다양하다. (4) 자기 데이터를 자기 서버에 두고 싶은 기술 사용자에게 매력적이다.

누가 쓰나. 자체 인프라를 운영하는 소규모 조직, 자기 도메인의 ID를 갖고 싶은 개인 사용자, 그리고 일부 비정부기구(NGO). Matrix에 비해 사용자 경험은 거칠지만, 인프라 부담이 작다.

10장 · MLS (RFC 9420, 2023.7) — 그룹 메시징의 새 표준

2023년 7월 IETF가 RFC 9420으로 MLS(Messaging Layer Security)를 정식 표준화했다. MLS는 종단간 그룹 메시징의 새 기반 프로토콜이다.

왜 새 표준이 필요했나. Signal의 더블 래칫은 1:1과 작은 그룹에서는 효율적이지만, 큰 그룹(수백~수천 명)에서 키 회전 비용이 그룹 크기에 비례한다. 한 멤버가 그룹을 나가거나 새 멤버가 들어올 때마다, 모든 멤버 사이의 키를 다시 합의해야 한다.

TreeKEM. MLS의 핵심은 TreeKEM이라는 트리 기반 키 합의 알고리듬이다. 그룹 멤버들을 이진 트리의 잎(leaf)으로 배치하고, 각 내부 노드(internal node)는 그 아래 잎들의 공유 키를 가진다. 한 멤버를 추가하거나 제거할 때, 그 멤버의 잎에서 루트(root)까지의 경로(path)에 있는 키만 갱신하면 된다. 이 경로의 길이는 그룹 크기의 로그(log)고, 따라서 키 회전 비용도 로그 시간이다.

Forward secrecy와 post-compromise security. MLS는 두 보안 속성을 모두 보장한다. forward secrecy는 "한 키가 누설돼도 과거 메시지는 안전"을, post-compromise security는 "한 키가 누설돼도 다음 키 갱신 이후 메시지는 다시 안전"을 의미한다. 더블 래칫이 1:1에서 보장하는 것과 같은 속성을, MLS는 큰 그룹에서도 보장한다.

핵심 RFC.

  • RFC 9420: The Messaging Layer Security (MLS) Protocol (2023년 7월)
  • RFC 9421: MLS Architecture (같은 시기)
  • 그 외 MLS extensions(메타데이터 보호, federation 등)는 IETF에서 진행 중

구현체. OpenMLS(Rust), mls-rs(AWS의 Rust), MLSpp(C++), js-mls 등 여러 구현이 있다. 모두 RFC 9420 호환을 목표로 한다.

한계. MLS는 키 합의의 효율을 해결했지만, "누가 그룹에 속해 있는지"의 멤버십 메타데이터는 여전히 서비스 제공자가 알 수 있다. 메타데이터 보호는 MLS의 다음 단계 확장으로 진행 중이다.

11장 · Sealed Sender / 메타데이터 저항 기법

E2EE는 메시지 내용은 숨기지만, "누가 누구에게 언제 보냈는가"의 메타데이터는 그대로 노출한다. 메타데이터 저항은 이 노출을 줄이는 일련의 기법이다.

Sealed Sender(Signal, 2018). Signal이 도입한 첫 메타데이터 보호 기법. 보낸 사람의 ID를 별도 봉투(envelope)로 암호화해서 받는 사람만 풀 수 있게 한다. 서버는 "X에게 어떤 메시지가 도착했다"는 사실은 알지만, "누가 보냈는가"는 직접 보지 못한다. 단, 받는 사람의 ID는 여전히 보인다.

Private Contact Discovery(Signal). 사용자가 자기 주소록의 어떤 번호가 Signal 사용자인지 확인할 때, Intel SGX 같은 trusted execution environment에서 매칭을 실행한다. 서버는 자기 데이터베이스를 어떤 외부 요청과 매칭했는지 알지 못한다.

Username(Signal, 2024). 전화번호를 노출하지 않고 사용자명으로 대화를 시작할 수 있게 한다. 메타데이터 자체보다는 식별자 분리에 가까운 변화.

Onion routing(Session, Cwtch, Briar). Tor 또는 Tor 유사 onion 라우팅을 통해, 메시지의 출발지와 도착지를 같은 서버가 보지 못하게 한다.

No persistent user ID(SimpleX). 사용자 ID 자체를 없애고, 큐(queue) 단위로만 식별. 서버가 만들 수 있는 가장 큰 그래프는 "이 큐가 활성화돼 있다" 정도.

Mixnet(Loopix, Nym). 메시지를 임의의 지연과 함께 여러 노드를 거치게 해서, 시간 상관관계로도 추적이 어렵게 한다. 일부 실험적 메신저(Katzenpost, Nym 위에 얹은 도구들)가 사용.

현실의 한계. 메타데이터를 완벽히 숨기는 시스템은 거의 항상 사용자 경험을 희생한다. 푸시 알림 지연, 동기화 어려움, 그룹 채팅 비효율, 미디어 전송 제약. 그래서 일반 사용자는 Signal의 sealed sender 정도면 충분하고, 고위험 사용자만 SimpleX/Cwtch 같은 극단까지 간다.

12장 · Post-quantum 암호화 — Signal의 PQXDH (2023.9)

양자 컴퓨터가 충분히 커지면, 오늘 쓰는 RSA, ECDH, ECDSA 같은 비대칭 암호는 Shor 알고리듬으로 풀린다. 대칭 암호(AES, ChaCha20)와 해시(SHA-256, SHA-3)는 Grover 알고리듬으로 절반의 키 길이가 깨지지만 충분한 길이면 안전.

Hold now, decrypt later. 양자 컴퓨터가 아직 없다고 안심할 수 없다. 공격자가 오늘 암호화된 트래픽을 저장해두고, 5년 또는 10년 뒤 양자 컴퓨터로 푸는 시나리오(harvest now, decrypt later)가 현실적인 위협이다. 그래서 메시지 보안은 양자 이전 시대보다 빨리 양자내성으로 마이그레이션할 필요가 있다.

Signal의 PQXDH(2023년 9월). X3DH의 후속. CRYSTALS-Kyber(NIST가 2024년 표준화한 ML-KEM의 전신) 기반 KEM과 클래식 X3DH를 동시에 실행하고, 두 결과를 함께 해시해서 세션 키를 만든다. 둘 중 하나만 안전해도 세션이 안전. Signal 블로그 글 "Quantum Resistance and the Signal Protocol"(signal.org/blog/pqxdh)이 자세한 명세를 공개했다.

Apple iMessage PQ3(2024.2). Apple도 비슷한 시기 PQ3로 양자내성 키 합의를 도입. 더 나아가 "지속적인 양자내성 재설정"으로 세션이 길어져도 양자내성을 유지하도록 했다. Apple의 보안 블로그(security.apple.com)에 명세 공개.

한계. (1) 더블 래칫의 매 메시지 키 합의는 아직 ECDH 기반(2026년 봄 기준). PQXDH는 초기 합의만 보호한다. (2) 양자내성 알고리듬은 키와 시그니처 크기가 크다(Kyber-768 공개키 약 1.2KB). (3) 표준이 아직 안정화 중(NIST가 2024년 ML-KEM, ML-DSA, SLH-DSA를 정식 발표).

13장 · WhatsApp이 MLS를 채택했다 — 무엇이 변할까

Meta는 2024년부터 WhatsApp의 그룹 메시징을 MLS로 전환하고 있다고 공개적으로 밝혔다. Engineering at Meta 블로그(engineering.fb.com)에서 자세한 설계가 공개됐다.

왜 전환했나. WhatsApp의 기존 그룹 메시징은 sender keys 모델이었다. 각 멤버가 자기 발신 키를 그룹의 모든 멤버에게 미리 배포하고, 그 키로 메시지를 암호화. 멤버가 들어오거나 나갈 때마다 모든 멤버가 새 키를 받아야 한다. 큰 그룹(1024명 이상)에서 이 비용이 매우 커진다.

MLS 전환 이후. TreeKEM 덕분에 키 회전이 로그 시간으로 줄어든다. 5000명 이상의 큰 커뮤니티 채널에서도 키 회전이 즉시 가능해진다. 또한 MLS의 표준화 덕분에, 미래에 다른 메신저와의 상호운용성(interoperability) 가능성이 열린다.

EU Digital Markets Act(DMA)와 상호운용성. 2024년 3월부터 DMA가 발효되면서, "gatekeeper" 지위의 메신저(현재 WhatsApp 하나만 지정)는 다른 메신저와의 상호운용성을 제공해야 한다. WhatsApp은 자체 브리지 API로 이를 제공하고 있고, 향후 표준화된 인터체인지의 후보로 MLS가 거론된다. 그러나 2026년 봄 기준, Signal과 다른 메신저는 WhatsApp과의 상호운용을 거부했다(Signal: "프라이버시 저하 우려").

WhatsApp의 메타데이터. MLS 전환과 별개로, WhatsApp이 Meta 본사와 공유하는 메타데이터(연락처, 그룹 멤버십, 사용 패턴)는 여전히 풍부하다. 이것이 Signal과 WhatsApp의 결정적 차이로 남는다.

다른 MLS 채택자. Cisco Webex(2024년), X(구 Twitter) Premium의 암호화 DM(2024년), 그리고 Wire가 2022년 이미 MLS 기반 그룹으로 전환했다. Matrix는 자체 Megolm을 유지하지만, MLS 통합 명세(MSC2883)가 진행 중이다.

14장 · 한국 — 카카오톡 비밀채팅, 텔레그램 사용

한국의 메시징 풍경은 2026년 봄 기준 카카오톡이 압도적이다. 월간 활성 사용자(MAU) 약 4800만, 사실상 모든 한국 거주자가 쓴다. 그러나 카카오톡의 기본 채팅은 종단간 암호화가 아니다.

카카오톡 비밀채팅. 2014년 9월 도입. Signal 프로토콜 변형을 쓴다고 알려져 있고, 1:1과 그룹(최대 100명)에서 동작한다. 일반 채팅과 별도의 메뉴로 시작해야 하고, 멀티디바이스 동기화에 제약이 있어 일반 사용자가 활용도가 낮다. 2024년 말부터 카카오는 일반 채팅에도 일부 E2EE 적용을 단계적으로 진행한다고 발표했지만, 2026년 봄 기준 기본 채팅은 여전히 서버 저장.

텔레그램의 한국 사용. 2014년 9월 "사이버 사찰" 논란 이후 한 차례 대규모 이탈이 텔레그램으로 향했고, 이후에도 정치 인사, 언론인, 일부 활동가가 텔레그램을 보조 채널로 쓴다. 그러나 텔레그램의 기본 채팅은 종단간 암호화가 아니고, 비밀 채팅(secret chat)만 종단간이다. 또한 비밀 채팅은 디바이스 간 공유가 안 된다. 2020년 "n번방 사태"로 텔레그램의 비밀 그룹이 범죄에 악용된 사실이 드러난 뒤, 한국 사회는 텔레그램의 정책 협력 의지에 대해 비판적이다.

라인(LINE). 카카오톡과 별개로 라인은 여전히 일부 한국 사용자(특히 일본 거주자와의 소통)에게 쓰인다. 라인의 종단간 암호화는 Letter Sealing이라는 자체 이름의 기능으로 2015년 도입. 2026년 기준 1:1, 그룹, 음성/영상 통화에 적용.

보안 메신저 사용 비중. 일반 한국 사용자에게 Signal, Matrix, SimpleX는 아직 거의 사용되지 않는다. 보안 의식이 높은 직군(언론, 정보보안, 일부 법조)에서만 보조 채널로 쓰인다.

입법. 한국은 2020년대 중반 이후 디지털 성범죄 대응을 명분으로 메신저에 대한 정부 접근 권한 논의가 반복됐다. 2024~2025년 일부 입법안이 발의됐지만, 시민사회와 업계 반발로 통과되지는 않았다(2026년 봄 기준).

15장 · 일본 — LINE Letter Sealing, +メッセージ

일본은 LINE이 카카오톡과 비슷한 위상을 차지한다. MAU 약 9700만, 사실상 모든 일본 거주자가 쓴다.

LINE Letter Sealing. 2015년 10월 도입된 LINE의 종단간 암호화. ECDH 키 교환과 AES-CBC 메시지 암호화가 기반. 2018년 이후 그룹 채팅에도 적용됐고, 2020년대 들어 음성/영상 통화로 확대. LINE은 한국과 일본에서 다른 회사로 인식되지만, 모회사 LY Corporation은 한국 네이버와 일본 소프트뱅크가 공동 소유.

한일 데이터 분쟁(2023~2024). 2023년 LINE야후의 개인정보 유출 사고 이후, 일본 총무성은 LINE의 데이터 처리에 대해 "네이버 클라우드 의존을 줄이라"는 행정 지도를 내렸다. 이것은 한국과 일본 사이의 외교적 마찰로도 번졌다. 2024~2025년 LINE야후는 데이터 인프라를 일본 내로 점진 이전하는 계획을 발표.

+メッセージ(PlusMessage). 일본 3대 통신사(NTT 도코모, KDDI au, 소프트뱅크)가 공동 운영하는 RCS(Rich Communication Services) 기반 메시징 서비스. 2018년 시작. 전화번호로 동작하고, 사진/스티커/그룹 채팅을 지원하며, 2021년 이후 종단간 암호화도 옵션으로 제공. 일반 사용자 중에서 LINE 대신 또는 보완으로 쓰는 사람이 있다.

Signal과 Telegram의 일본 사용. 일본은 Signal과 Telegram 모두 한국보다도 사용 비중이 작다. 일부 기술자와 외국인 거주자가 쓰고, 일반 사용자에게는 거의 알려져 있지 않다.

입법. 일본은 2024년 통신 비밀의 보장과 사이버 범죄 수사 사이의 균형에 대한 논의가 있었지만, 메신저 백도어 의무화 같은 강한 입법은 없다(2026년 봄 기준).

16장 · 누가 무엇을 골라야 하나 — 일반 / 활동가 / 기업 / 메타데이터 회피

마지막 장은 사용자 유형별 추천이다.

일반 사용자(가족, 친구, 일상). Signal을 기본 메신저로 추천. 무료, 광고 없음, 잘 검증된 종단간 암호화, 양자내성 PQXDH. 카카오톡/LINE을 일상으로 쓰되, 민감한 대화는 Signal로 옮기는 방식도 현실적이다. WhatsApp도 같은 Signal 프로토콜이지만, Meta의 메타데이터 수집 모델을 신뢰할 수 있는가가 결정 요인.

기자, 변호사, 시민단체. Signal을 일차로, Matrix(Element X)를 조직 내부 협업용으로. 자체 Matrix 홈서버를 운영하면 조직의 모든 데이터가 자기 인프라에 머문다. 출처(source)와의 첫 접촉용으로는 Signal의 username 기능이 유용.

고위험 활동가(검열 환경, 정부 감시 대상). SimpleX 또는 Session을 일차로, Briar를 비상용으로. 일반 메신저는 사용 자체가 위험 신호가 될 수 있으므로 신중히. Tor Browser와 함께 OS 수준 보호(Tails, Qubes OS, GrapheneOS 등)도 같이 고려.

기업(중소 규모). Wire for Business 또는 Threema Work. SaaS 형태로 시작해서 필요시 자체 호스팅으로 전환. 슬랙/팀즈를 보조 채널로 두고, 민감 대화만 종단간 도구로.

기업(대규모 / 컴플라이언스). Element Server Suite(Matrix 호스팅 + 컨설팅) 또는 Wickr(AWS GovCloud). 데이터 거버넌스, 감사 로그, 조직 디렉토리 통합이 필요한 경우.

정부 / 군. Olvid(프랑스), Tchap(프랑스, Matrix 기반), BwMessenger(독일군), 자체 호스팅 Matrix가 주요 선택지. 표준 RFC 9420 MLS의 채택이 향후 표준화의 핵심.

메타데이터까지 피하고 싶은 사용자. SimpleX와 Cwtch를 병용. 같은 사람과 여러 메신저로 대화해서 메타데이터 그래프를 분산. 전화번호와 분리된 디바이스, 익명 SIM 또는 데이터 전용 SIM 사용도 함께.

한국/일본 일반 사용자에게. 카카오톡과 LINE을 떠나기는 현실적으로 어렵다. 대안은 "일상은 카카오톡/라인, 민감 대화는 Signal"의 이중 사용 모델. 가족과 친구를 Signal로 옮기는 일은 어렵지만, 보조 채널로라도 두는 것이 첫걸음이다.

결론 — 2026년의 메시징은 더 이상 한 줄이 아니다

2010년대의 답은 단순했다. "Signal을 쓰세요." 2026년의 답은 길어졌다.

  • 일반인에게는 여전히 Signal. PQXDH로 양자내성까지 보강된 황금 표준.
  • 조직에는 Matrix + Element X. 자체 인프라 위에 종단간 협업.
  • 메타데이터까지 숨기려면 SimpleX 또는 Cwtch. 사용성을 희생하는 대신 추적 그래프를 끊는다.
  • 인터넷 차단 환경에서는 Briar. 블루투스로도 동작하는 진정한 P2P.
  • 대규모 그룹과 미래 표준화는 MLS RFC 9420. WhatsApp이 채택했고, 다른 메신저들이 따른다.
  • 양자 컴퓨터에 대비해서는 PQXDH(Signal)와 PQ3(Apple iMessage). 둘 다 hold-now-decrypt-later 공격을 막는 첫 양산 답.

2026년 봄, 안전한 메시징은 정치적 사건과 기술적 진보 사이에서 다시 한 번 재정의되고 있다. 메러디스 위태커의 Signal은 EU와 영국의 백도어 입법에 맞서 "우리는 떠난다"를 분명히 한 거의 유일한 메신저고, MLS는 그룹 메시징의 새 기반이 됐다. 그 사이로 SimpleX, Session, Briar, Cwtch는 메타데이터 저항의 새 기준선을 만들었고, Olvid의 프랑스 정부 인수와 Wickr의 AWS 컨슈머 종료는 메신저가 지정학적 자산이 됐다는 사실을 보여줬다.

당신이 어떤 위협 모델 안에 있는지에 따라 답은 다르다. 그러나 적어도 이 글을 읽은 다음부터는, "Signal을 쓰세요"가 모든 사람에게 똑같이 정답은 아니라는 것을 안다. 그것이 2026년 봄의 안전한 메시징이다.

참고 / References

  • Signal Foundation — signal.org
  • Signal Blog, "Quantum Resistance and the Signal Protocol" (2023.9) — signal.org/blog/pqxdh
  • Signal Blog, "Phone numbers are no longer required" (2024.2) — signal.org/blog/phone-number-privacy-usernames
  • Meredith Whittaker, Signal president — signal.org/blog/author/meredith
  • Matrix.org Foundation — matrix.org
  • Matrix Spec — spec.matrix.org
  • Element X (Rust SDK) — element.io/blog/element-x-ios-everything-you-need-to-know
  • matrix-rust-sdk — github.com/matrix-org/matrix-rust-sdk
  • MSC3575 Sliding Sync — github.com/matrix-org/matrix-spec-proposals/blob/main/proposals/3575-sliding-sync.md
  • SimpleX Chat — simplex.chat
  • SimpleX Whitepaper — github.com/simplex-chat/simplexmq/blob/master/protocol/overview-tjr.md
  • Session — getsession.org
  • Oxen Foundation — oxen.io
  • Briar — briarproject.org
  • Cwtch — cwtch.im
  • Open Privacy Research Society — openprivacy.ca
  • Wire — wire.com
  • Threema — threema.ch
  • Threema GitHub — github.com/threema-ch
  • Olvid — olvid.io
  • French government Olvid adoption (2023.11) — gouvernement.fr 관련 보도
  • Wickr / AWS — aws.amazon.com/wickr
  • AWS Wickr Me sunset (2023.1)
  • XMPP Standards Foundation — xmpp.org
  • XEP-0384 OMEMO — xmpp.org/extensions/xep-0384.html
  • Conversations (Android XMPP client) — conversations.im
  • RFC 9420 The Messaging Layer Security (MLS) Protocol (2023.7) — datatracker.ietf.org/doc/rfc9420/
  • RFC 9421 MLS Architecture
  • OpenMLS — github.com/openmls/openmls
  • mls-rs (AWS Rust MLS implementation) — github.com/awslabs/mls-rs
  • Engineering at Meta, "WhatsApp + MLS" — engineering.fb.com
  • Cisco Webex MLS adoption — webex.com
  • X Premium encrypted DMs — help.x.com
  • Apple iMessage PQ3 (2024.2) — security.apple.com/blog/imessage-pq3
  • NIST PQC Standards (ML-KEM, ML-DSA, SLH-DSA, 2024.8) — csrc.nist.gov/projects/post-quantum-cryptography
  • EU Chat Control proposal — edri.org 관련 분석
  • UK Online Safety Bill — gov.uk
  • EU Digital Markets Act (DMA) — digital-markets-act.ec.europa.eu
  • 카카오톡 비밀채팅 — kakao.com 보안 정책
  • LINE Letter Sealing — engineering.linecorp.com
  • +メッセージ (PlusMessage) — plus-msg.com
  • Tchap (프랑스 정부 Matrix) — tchap.gouv.fr
  • BwMessenger (독일군 Matrix) — bundeswehr.de 관련 보도
Discuss on TwitterView on GitHub