[디지털투데이 AI리포터] 엑스(구 트위터)가 새로운 암호화 메시징 기능 '엑스챗'(XChat)을 도입한 가운데, 일부 보안 전문가들은 이를 여전히 신뢰하기 어렵다고 지적한다.

지난 5일(현지시간) IT매체 테크크런치에 따르면 엑스챗은 종단간 암호화를 적용해 메시지를 보호한다고 주장하지만, 현재 구현 방식이 보안 기준에 미치지 못한다는 평가를 받고 있다.

엑스챗은 사용자가 4자리 핀을 설정해 개인 키를 암호화하고, 이를 엑스 서버에 저장하는 방식으로 작동한다. 그러나 전문가들은 개인 키를 서버에 저장하는 방식 자체가 보안 취약점을 유발할 수 있다고 경고했다.

시그널과 달리 엑스챗은 개인 키를 사용자 기기가 아닌 서버에 저장하며, 하드웨어 보안 모듈(HSM)을 사용하지 않는다면 엑스가 키를 조작해 메시지를 탈취할 가능성이 있다는 것이다. 엑스의 엔지니어는 HSM 사용을 주장했지만, 이를 입증할 증거는 제시되지 않았다.

또한 엑스챗은 '다단계 중간자 공격(AITM)'에 취약하며, 이는 암호화 메시징의 근본적인 보안성을 훼손할 수 있다. 매튜 개럿 보안 연구원은 "엑스챗은 기술적으로 시그널보다 열등하며, 초기 구현 과정에서 신뢰할 수 없는 요소가 존재한다면 보안을 보장할 수 없다"고 지적했다. 매튜 그린 존스홉킨스대 교수 역시 "신뢰할 만한 기관이 감사를 진행하기 전까지 엑스챗을 기존 비암호화 다이렉트메시지(DM)보다 안전하다고 볼 수 없다"고 평가했다.

엑스는 향후 오픈소스를 공개하고 기술 백서를 발표할 계획이지만, 현재로서는 완전한 보안을 제공하지 못하는 상태다.