카카오톡 메시지, 카카오가 읽을 수 있을까?

“카카오톡으로 보낸 메시지, 카카오가 볼 수 있나?”

이 질문을 검색하게 된 이유는 대충 짐작이 간다. 연인과 나눈 민감한 대화, 직장 동료 뒷담, 병원 예약 관련 대화, 아니면 이직 준비 이야기 — 어쨌든 누군가 보면 곤란한 게 카카오톡에 있는 거겠지.

결론부터 말하면, 카카오톡 일반 채팅은 카카오가 기술적으로 읽을 수 있는 구조다. 그리고 수사기관이 영장을 들고 오면 실제로 넘긴다.

“그럼 뭘 써야 하나?”까지 갈 텐데, 그 전에 왜 그런지 구조부터 짚겠다.

암호화에도 종류가 있다

“암호화됐다”는 말은 별 의미가 없다. 진짜 질문은 **“누가 열쇠를 갖고 있느냐”**다.

서버-클라이언트 암호화: 내 폰에서 서버까지 전송 중에는 암호화된다. 하지만 서버에 도착하면 서비스 운영자가 열쇠를 갖고 있어서, 원하면 내용을 볼 수 있다. 카카오톡 일반 채팅, Telegram 일반 채팅이 이 방식이다.

종단간 암호화(E2EE, End-to-End Encryption): 보내는 사람과 받는 사람만 열쇠를 갖고 있다. 서버를 거쳐 가지만, 서버 운영자도 내용을 볼 수 없다. Signal 전체, 카카오톡 비밀채팅, Telegram 비밀대화가 이 방식이다.

비유하면 이렇다. 서버-클라이언트 암호화는 편지를 잠긴 우체통에 넣는 건데 우체국장이 마스터키를 갖고 있는 거다. 종단간 암호화는 받는 사람만 열 수 있는 자물쇠를 채워서 보내는 거다.

카카오톡: 일반 채팅은 서버에서 열린다

카카오톡 일반 채팅의 메시지는 서버에 2~3일간 보관된다. 수신자가 네트워크에 연결되지 않았을 때를 대비한 거다.

여기서 핵심은, 서버에 있는 동안 카카오가 복호화할 수 있다는 점이다. 암호화 키를 카카오가 관리하기 때문이다.

수사기관이 압수수색 영장을 발부받으면, 카카오는 대화 내용을 제공한다. 카카오 투명성 보고서에 따르면, 2024년 상반기 기준 압수수색 관련 요청 1만 9,418건 중 1만 5,893건을 처리했다. 이건 카카오가 악의적이라서가 아니라, 법적 요건을 갖춘 영장에 응하는 거다.

비밀채팅은 다르다. 종단간 암호화가 적용되어 있고, 복호화 키가 개인 단말기에만 저장된다. 카카오 서버에 있는 데이터만으로는 대화 내용을 확인할 방법이 없다.

다만 비밀채팅은 사실상 별도 앱 수준으로 기능이 제한된다. 사진·동영상 첨부만 가능하고, 파일 전송도, 송금도, 보이스톡도 안 된다. 일상적으로 쓰기엔 불편해서 대부분의 사용자가 일반 채팅을 쓴다.

Signal: 수사 영장이 와도 줄 게 없다

Signal은 모든 대화에 기본으로 종단간 암호화가 걸려 있다. “비밀 대화” 같은 별도 모드가 아니라, 모든 1:1 대화와 그룹 채팅이 E2EE다.

Signal이 쓰는 Signal Protocol은 Double Ratchet이라는 알고리즘을 사용한다. 메시지 하나하나마다 암호화 키가 바뀌기 때문에, 만약 키 하나가 유출되더라도 그 키로 열 수 있는 건 메시지 딱 하나뿐이다.

실제로 수사기관이 영장을 들고 와도 Signal이 줄 수 있는 건 계정 생성일과 마지막 접속일, 이 두 가지가 전부다. 메시지 내용, 연락처, 그룹 목록, 프로필 사진 — 서버에 저장하지 않기 때문에 넘길 데이터 자체가 없다. Signal은 이 사실을 공개적으로 문서화하고 있고, ACLU의 법률 지원을 받아 gag order(비공개 명령) 해제를 이끌어낸 바 있다.

대신 주변에 Signal 쓰는 사람을 찾기가 어렵다. 한국에서는 더더욱. 이건 현실적인 문제다.

Telegram: “보안 메신저”라는 이미지와 실제의 괴리

Telegram은 보안 메신저로 알려져 있지만, 기본 설정에서는 종단간 암호화가 적용되지 않는다.

Telegram의 일반 채팅(클라우드 채팅)은 서버-클라이언트 암호화다. Telegram 서버가 복호화 키를 분산 보관하고 있어서, 기술적으로 내용 확인이 가능하다. 종단간 암호화는 “비밀 대화”를 직접 켜야만 적용되고, 그룹 채팅에는 아예 적용할 수 없다.

여기에 두 가지 문제가 더 있다.

MTProto 프로토콜의 신뢰 문제. Telegram은 Signal Protocol 같은 검증된 표준 대신 자체 개발한 MTProto를 쓴다. MTProto 1.0은 2015년 IND-CCA 불안전성이 지적됐고, 2.0은 2020년 우디네 대학 연구팀이 형식 검증(formal verification)을 수행해 symbolic model 기준으로 보안을 확인했지만, “서버를 신뢰해서는 안 된다”는 단서가 붙었다. 검증된 표준 프로토콜을 쓰지 않고 자체 암호화를 만들었다는 비판은 여전하다.

2024년 CEO 체포 이후의 변화. 2024년 8월, Telegram CEO 파벨 두로프가 프랑스에서 체포됐다. 아동 성착취물 유통 방조, 마약밀매 방조, 사기, 자금세탁 등 12건이 기소 사유였다. 이후 Telegram은 약관을 변경해 수사기관에 사용자 IP 주소와 전화번호를 제공할 수 있도록 했고, 실제로 프랑스 대상 정보 제공 건수가 상반기 10건에서 하반기 883건으로 급증했다.

세 메신저 비교 — 팩트만

항목	카카오톡	Telegram	Signal
기본 대화 E2EE	X (비밀채팅만)	X (비밀대화만)	O (전부)
그룹 채팅 E2EE	X	X	O
암호화 프로토콜	비공개	MTProto (자체)	Signal Protocol (오픈소스)
서버 메시지 열람 가능	O (일반 채팅)	O (클라우드 채팅)	X
수사기관 메시지 제공	O (영장 시)	O (약관 변경 후)	X (데이터 없음)
오픈소스	X	클라이언트만	전부
한국 사용자 수	압도적	소수	극소수

그래서 뭘 써야 하나 — 위험도별 현실 판단

모든 대화를 Signal로 옮기라는 건 비현실적이다. 메신저는 상대방도 써야 의미가 있으니까.

🟢 일반 사용자 (일상 대화, 약속 잡기, 가벼운 수다)

카카오톡 일반 채팅으로 충분하다. 수사기관이 영장을 받아서 내 카톡을 뒤지려면 범죄 혐의가 특정되어야 한다. 친구랑 저녁 메뉴 고르는 대화를 누가 들여다볼 이유가 없다.

🟡 민감한 대화가 있는 경우 (사업 협상, 임상 시험 참여 관련 소통, 이직 준비, 가족 내 분쟁 사안)

Signal을 써라. 상대방에게 설치를 부탁해야 하는 번거로움이 있지만, 유출되면 곤란한 대화는 그 정도 수고를 들일 가치가 있다. 회사 와이파이에서 이직 준비 이야기를 카카오톡으로 나누는 건 위험하다 — IT 부서가 트래픽 내용을 직접 읽진 못하지만, “카카오톡을 얼마나 쓰는지”는 볼 수 있고 사내 정치에서 신경 쓰이는 요소다.

🔴 OPSEC이 필요한 경우 (민감 탐사보도 취재원, 시민사회단체의 비공개 조직 활동, 해외 이주 중 정보 비공개 필요)

Signal + 사라지는 메시지 설정. 그리고 Signal만으로는 부족할 수 있다. 기기 자체의 보안, 네트워크 수준의 익명성(Tor/VPN)까지 챙겨야 한다. 이 수준은 이 글의 범위를 넘으므로, 별도로 다루겠다.

오늘 당장 할 수 있는 것

1. Signal 설치 — signal.org에서 다운로드. 전화번호로 가입하되, 2024년부터 사용자명(username) 기능이 추가되어 전화번호를 숨기고 사용자명으로만 대화할 수 있다.
2. 민감한 대화 하나만 Signal로 옮기기 — 전부 옮길 필요 없다. 의사랑 하는 건강 상담, 변호사와의 대화, 이직 관련 대화 — 이런 것만 옮겨도 충분하다.
3. 카카오톡 비밀채팅 존재는 알아두기 — 불편하지만, 급하게 민감한 이야기를 해야 하는데 상대방이 Signal이 없을 때 차선책이다.