Android용 iMessage가 쉬운 일이 아니라는 것은 분명하지만, (끔찍한 보안 악몽이라는 사실을 알기 전에) 이를 시도했던 앱 중 하나인 Sunbird가 다시 한 번 시도하고 있습니다.
선버드는 보도자료를 통해 오늘부터 Android용 iMessage 서비스를 다시 시작할 계획이라고 밝혔습니다.
선버드는 2022년에 안드로이드에 iMessage를 제공하겠다는 약속으로 처음 등장했습니다. 이 앱은 대기자 명단을 통해 비공개 베타 버전으로 출시되었지만 많은 사용자에게 제공되지는 못했습니다. 사실, Nothing이 Sunbird와 제휴하여 "Nothing Chats"를 출시하기 전까지만 해도 이 서비스는 널리 사용 가능했습니다.
선버드가 제공하는 'Nothing Chats'가 출시된 지 며칠 만에 수십만 개의 사용자 공유 미디어에 비교적 쉽게 접근할 수 있고, 메시지가 실시간으로 전송되는 것과 동일한 방식으로 메시지를 볼 수 있는 등 앱의 대규모 보안 문제가 보고되었습니다. 정말... 나빴죠.
사건이 발생한 지 며칠 후, 선버드는 무기한 운영을 중단한다고 발표했습니다.
그런데 어찌된 일인지 Sunbird는 다시 돌아왔습니다.
선버드는 대기자 명단에 있는 분들에게 4월 5일부터 "소규모 단계"로 초대를 진행할 예정이라고 밝혔습니다.
선버드는 보도 자료에서 애플이 비퍼의 iMessage "무단 액세스"를 차단한 것을 언급하며 "안드로이드와 애플 사용자 사이에 다리를 제공하여 애플의 생태계 내에서 안전한 커뮤니케이션을 가능하게 하는" 자사 플랫폼을 선전하고 있습니다.
보도 자료에는 "강력하고 안전하며 통합된 메시징 경험을 제공하기 위해 최선을 다하고 있다"는 것 외에 선버드가 무엇을 변경했는지에 대한 설명이 전혀 없습니다.
웹사이트의 추가 게시물에서 Sunbird는 실제로 "암호화되지 않은 HTTP 프로토콜"의 보안 문제에 대해 자세히 설명하며, 여러 보안 문제와 함께 발견된 일부 결과에 따라 인프라의 일부로 "블루버블앱"을 사용한 적이 없다고 부인했습니다. 썬버드는 작년의 사태 이후 "기술 구현과 조직 프로세스를 철저히 재평가하는 데 시간이 걸렸다"고 밝혔습니다.
그렇다면 달라진 점이 있을까요?
선버드는 Firestore(Firebase의 일부)를 사용하던 "이전 아키텍처"를 교체했다고 말합니다. 새로운 "AV2" 아키텍처는 "보안 메시징을 위한 OASIS 표준인 MQTTS 메시지 브로커"를 사용한다고 Sunbird는 설명합니다. 또한 이 앱은 이제 Nothing Chats와 마찬가지로 Google 메시지를 통해 RCS와 통합됩니다.
이 회사는 다음과 같이 주장합니다:
-암호화되지 않은 메시지는 디스크나 데이터베이스의 어느 곳에도 저장되지 않습니다. 메시지가 암호 해독되어 iMessage 및 RCS/Google 메시지 네트워크에 전달되면 제한된 기간 동안만 메모리 내에 해당 상태로 존재합니다. 프런트엔드 앱에서 메시지는 앱 내 데이터베이스 내에서만 암호화된 상태로 저장됩니다.
-서비스를 통해 전송되는 정적 파일은 전송 중 및 미사용 시 암호화된 안전한 클라우드 스토리지 버킷에 저장됩니다. 무단 액세스를 방지하는 허가된 URL을 통해 보호되며, 전송 또는 수신 후 48시간 이내에 Sunbird 시스템에서 완전히 삭제됩니다.
-썬버드 앱에서 썬버드 API로 전송되는 모든 통신은 HTTPS 또는 MQTTS 프로토콜을 통해 전송 계층에서 보호됩니다.
-MQTTS 브로커는 엄격한 액세스 제어 목록을 통해 보호되므로 사용자는 특별히 할당된 브로커 주제에만 액세스할 수 있고 다른 주제에는 액세스할 수 없습니다.
또한 메시지 페이로드의 내용 자체는 클라이언트가 완전히 제어하는 암호화 키로 AES 암호화를 사용하여 애플리케이션 계층에서 암호화되고 Sunbird 측의 메모리에만 보관됩니다. 메시지는 암호화된 상태로 선버드 시스템을 통과하며, 메시지가 네이티브 메시징 플랫폼으로 전송되는 순간에만 (메모리에서) 해독됩니다.
또한 선버드는 '독립 보안 컨설팅 업체'인 CIPHER와 전 구글 Gmail 엔지니어링 디렉터였던 Jared Jordan을 선버드의 '공식 고문'으로 영입하는 등 조직에 변화를 줬다고 덧붙였습니다(참고: 선버드의 게시물은 Jordan이 현재 구글에서 일하고 있다고 주장하지만 선버드가 링크한 그의 LinkedIn 프로필에는 그가 3월에 구글을 그만두고 현재 CapitalOne에서 일하고 있다고 명시되어 있습니다).
9to5Google의 입장
저는 선버드가 실제로 컴백을 시도하고 있다는 사실에 충격을 받았습니다. 작년에 발견된 끔찍한 문제 이후 저는 이 회사가 회복할 수 없을 것이라고 확신했습니다(그리고 여전히 누구의 신뢰도 얻지 못할 것이라고 확신하지 못합니다).
선버드가 문제를 해결하기 위해 노력하는 모습은 보기 좋지만, 저는 여전히 매우 조심스럽습니다. 위에서 언급한 바와 같이, 이번 주 초에 새 고문이 실제로는 6개월 동안만 근무한 직책을 그만두었는데도 회사 측에서 구글에서 일하고 있다고 주장하고 있다는 점이 가장 큰 위험 신호입니다.
저는 선버드의 대기자 명단에 등록하지 않을 것이지만, 이 회사가 진정으로 문제를 해결했으면 좋겠습니다.