CoverDrop - 뉴스 리더 앱을 위한 안전한 메시징 시스템

 (github.com/guardian)
1P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • 뉴스 리더 앱의 사용자와 언론인이 서로 익명성부인 가능성을 지키며 안전하게 소통할 수 있게 해주는 오픈소스 보안 메시징 솔루션
  • 모든 사용자 디바이스가 무작위 암호화 트래픽을 생성하므로, 메시지를 주고받더라도 일반 뉴스 사용과 네트워크 상에서 구분되지 않음
  • 메시지는 이중 암호화와 동일한 크기·빈도로 처리되어 기기 압수 상황에서도 증거를 남기지 않음
  • 모바일 앱, 클라우드 API, 보안 서버, 언론인용 데스크톱 클라이언트 등 완전한 엔드 투 엔드 구조로 이루어짐
  • 투명한 오픈소스 개발, 강력한 암호 기술, 뉴스조직 요구에 최적화된 특화 기능이 기존 프로젝트 대비 장점임

CoverDrop 소개

  • CoverDrop은 뉴스 회사의 모바일 앱 사용자들이 기자에게 비밀스럽고 추적 불가능하게 메시지를 보낼 수 있게 설계된 안전한 시스템
  • 이 시스템은 강력한 부인 가능성을 제공하여, 앱이 보안 통신에 사용되는지 일반 뉴스 소비에 사용되는지 네트워크 분석자가 분간할 수 없게 만듦

주요 구성 요소

  • 뉴스 앱 내 모듈: 사용자 모바일 앱에 통합
  • 클라우드 API: 중앙 접점 역할 수행
  • CoverNode: 안전한 장소에서 작동하는 서비스 셋
  • 언론인용 데스크톱 애플리케이션: 기자가 사용하는 PC용 클라이언트

이 4가지로 이루어진 구조가 엔드 투 엔드 암호화강력한 보안을 실현함

동작 방식

  • 뉴스 앱 모든 인스턴스가 주기적으로 작은 암호화 데이터("cover 메시지") 를 서버와 교환함
  • 실제 제보(출처 메시지)도 일반 cover 메시지와 완전히 동일하게 암호화·전송됨. 네트워크 상에서는 구분 불가임
  • 모든 메시지는 동일한 크기·주기로 처리되며, Kinesis 스트림으로 전송되어 처리됨
  • 서버에서 1차 암호화 해제와 진짜 메시지 판별이 이뤄지고, dead drop 형태로 기자 클라이언트에 배달됨. padding을 통해 dead drop 크기를 균일하게 유지함
  • 기자는 자신의 공개키로 암호화된 메시지만 최종 복호화 가능함
  • 메시지 저장소는 평소에도 암호화 상태로, 디바이스 압수 시에도 실제 대화 여부를 증명할 수 없음
  • 기자가 답장할 때도 유사한 방식으로 암호화된 통신 및 키 교환이 이루어짐

보다 자세한 설계와 알고리듬 구조는 케임브리지 대학교 컴퓨터과학부와 공동 작성한 백서 에서 확인 가능함

보안 정책

  • CoverDrop 보안성은 최우선
  • 완전한 보안은 불가능함을 인정, 보안 연구자 제보 환영
  • 메시지 기밀성·무결성·네트워크 익명성·부인 가능 암호화 관련 이슈는 계속적 개선 영역
  • 통합 뉴스앱 내 다른 요소에 의한 사이드 채널 이슈도 적극 개선중

암호화 소프트웨어 이용 주의

  • CoverDrop은 암호화 소프트웨어 포함
  • 각 국가별 암호 기술 수입·이용·재수출 관련 법률 준수 필요
  • 미국 상무부 BIS 분류: ECCN 5D002.C.1(비대칭 암호 포함 소프트웨어)
  • 본 오픈소스 배포는 수출 예외 조항(TSU, §740.13) 대상임

라이선스

  • CoverDrop 리포지토리는 Apache License 2.0으로 제공됨
GN⁺ 2일전  [-]
Hacker News 의견

  • 좀 더 설명이 필요한 분들께는 https://www.coverdrop.org/ 메인 사이트가 도움될 정보 제공 목적에 적합한 느낌 전달 영국의 공식비밀법 1920은 신문사와 익명 연락을 보호했지만, 이후 법 개정에서 이 부분이 사라진 점이 아쉬운 점으로 보임

  • 많은 뉴스 기관들이 https://securedrop.org/를 사용 중인데, CoverDrop이 어떻게 다르고 더 나은지 궁금증 생김 지원 언론사 디렉터리는 https://securedrop.org/directory/에서 확인 가능

    • 논문에서 이미 다룬 내용인데, SecureDrop과 CoverDrop은 약간 다른 상황에 초점 맞춘 점이 차별점임 SecureDrop은 TOR을 사용하는데 이는 네트워크 레벨이나 단말기에서 탐지될 수 있기 때문에, 일부 상황에서는 TOR 사용 사실만으로도 내부고발자 신원이 드러날 위험 존재 반면 뉴스 앱 설치는 덜 의심스러운 상황 연출 가능 CoverDrop은 초보 사용자도 노출 없이 최초로 연락하는 데 적합 네트워크 트래픽이 평범한 사용자와 구별되지 않고, 앱 스토리지는 실제 사용 여부와 상관 없이 공간 차지하며 부인 가능한 특성 제공 CoverDrop은 SecureDrop처럼 큰 파일을 전송할 수 없고, 논문에서는 필요시 기자가 CoverDrop 메시지 내에서 안전하게 SecureDrop을 사용하는 방법을 안내한다고 제안 그래서 보안 인식과 기술력이 충분하다면 SecureDrop 직행이 더 간단한 선택지일 수 있음

    • SecureDrop은 훌륭하고 The Guardian에서도 앞으로 계속 활용 계획 보유 SecureDrop은 Tor Browser 설치 없이 익명성을 확보하는 점이 큰 차이로, 이 기능을 뉴스 앱 내부에 넣어서 비기술자 내부고발자들의 허들이 현격히 낮아짐 기본적으로 좋은 OPSEC 달성을 지원함 CoverDrop(Secure Messaging)은 아직 한계가 있는데, 우선 프로토콜 특성상 서류 업로드가 불가해서 하루에 수 KB 전송만 가능 현재는 기자가 상황 따라 Signal로 사용자를 안내할 수 있음 기자가 먼저 소스의 신원과 위협을 평가한 후 Signal 번호를 전달하므로 위험을 한 번 걸러주는 좋은 구조임 앞으로는 CoverDrop 시스템 내에서 위험 평가 후 익명성 손상을 최소화하며 문서 업로드 링크를 보내는 기능도 고민 중임 예를 들어, 암호화된 이메일 첨부파일처럼 위장하는 방식 등 논의 참고 논문 있음 또 하나의 제약은 이 시스템의 익명성은 앱의 대규모 사용량에 달려 있는데, 소규모 뉴스 에이전시가 도입하면 이 특성이 약해질 수 있음 그래도 실제로는 부인 가능한 스토리지 구조만으로도 타 내부고발 방식(PGP, Tor 기반 등) 대비 큰 진보라는 판단 다만 자신만 이 앱을 쓰고 있어도 상당히 안전한 점이 긍정적 요소로 보임

    • 홈페이지 FAQ에서 동일한 질문이 나와 있음

  • 이 아이디어가 정말 마음에 드는데, 예전 CIA가 스타워즈 팬사이트 등에서 만들었던 비밀 커뮤니케이션 시스템들이 떠오르는 부분 The Guardian이 명시적으로 언급하진 않았지만, 실제로 이 앱도 그런 커버스토리로 설계됐다는 점에서 뉴스 앱이라는 위장이 정말 뛰어난 접근이라 생각 개인적으로 한 가지 조언을 덧붙이자면, 이 앱을 통해 유출을 계획한다면 언제든 조사 대상이 될 수 있는 기기에서는 사용이 꺼려진다는 점 예로, 회사에서 지급한 업무용 폰이 있겠는데 Guardian 앱을 설치하는 것 자체가 문제는 아니더라도, 실제 기관 내부 조사에서 Guardian으로 주요 뉴스가 나갈 시, 다음처럼 리스트를 좁힐 수 있다는 우려 1. 애초에 해당 정보에 접근 가능했던 인원 2. 그 중 해당 앱을 설치했거나, 다운로드 흔적이 있거나, 기기 제출을 거부하는 인원 소규모 그룹에서만 알려진 정보를 유출하거나, 기기가 실사용자에게 연결되어 있다면 타인(가족 등)의 기기를 써서 노출 위험을 최소화할 것 실제 목표는 조사에서 의심받지 않는 것이고, 이 앱과 제공된 정보가 Guardian 보도에 바로 연결될 수 있음을 고려하면 기술적으로 안전해도 완벽한 커버스토리는 어렵다는 점 마지막 추천은, 자신과 연결이 힘든 기기를 사용하는 것이 누설 시 더 큰 안전성 제공 이 부분이 위협 모델에 명시되어 있지 않아 추가 피해자 발생 가능성 언급

    • 프로젝트 기술 리드 입장에서 코멘트 업무용 폰을 사용하면 안 된다는 점에 동의하며, 특히 많은 업무용 기기는 사실상 스파이웨어 같은 모바일 관리 솔루션(MDM)을 포함하는 경우가 많음 익명 집단 규모가 작으면 기술적 접근 만으로 한계가 있다는 점을 재확인 앱 사용을 내부고발 상황에서도 충분히 부인할 수 있도록 많은 노력을 기울이고 있음 데이터는 "공개"와 "비공개" 저장소로 구분되며, 비공개 데이터는 고정 크기/암호화 저장소에, 케임브리지의 팀원이 개발한 KDF 기법(링크)으로 보안 유지 하지만 기기에 스파이웨어(S/W)가 깔려 있으면 이런 노력도 무의미해지는 현실 내부적으로 해당 위험성을 인지하고 논의해왔으며, FAQ 설명도 더 보완 예정 특히 MDM 사용경고를 명확하게 기재하는 방향 빠른 시일 내에 업데이트 계획 추가로, 루팅되었거나 디버그 모드 기기에 대한 탐지 기능과 경고 기능도 탑재 MDM 탐지는 고양이와 쥐의 게임이므로, 사용자가 아예 업무용 기기를 쓰지 않는 것이 가장 바람직한 대응책이라는 의견

  • 언제쯤 정식 릴리즈가 나오는지, Obtainium에 등록하고 싶다는 일정 질문

    • 이 프로젝트는 라이브러리 형태라 등록에 적합한지는 잘 모르겠음 실제 등록 대상은 이를 사용하는 앱이어야 하며, 현재로선 Guardian 앱이 유일한 것으로 보임 추후 Guardian 팀에서 Play Store 이외 배포계획이 있을지 답변을 기다림
답변달기