가디언(The Guardian)의 새로운 보안 시스템, CoverDrop: 흔적 없이 정보를 전달하다.

CoverDrop은 부인 방지(Deniability)를 위해 실제 메시지와 가짜 메시지를 동일하게 처리하는 방식을 사용한다. 즉, 메시지 전송 여부를 숨기기 위해, 앱은 주기적으로 무의미한 텍스트를 서버로 전송하며, 실제 메시지도 이와 동일한 방식으로 암호화되어 전송된다. 데이터 미저장 정책(Zero-Retention Policy)을 통해 사용자의 활동을 추적하기 어렵게 만들고, 압수 수색 시에도 메시지 존재 자체를 부인할 수 있도록 설계되었다.

CoverDrop은 데이터 격리 아키텍처(Data Isolation Architecture)를 통해 보안을 강화한다. 뉴스 앱 내 메시지 저장소는 암호화되어 있으며, 정기적으로 크기가 변경된다. 이는 메시지 전송 여부와 관계없이 이루어지므로, 분석을 어렵게 만든다. 또한, 서버 측에서는 실제 메시지와 가짜 메시지를 구분하기 위해 추가적인 암호 해독 단계를 거친다. 이러한 설계는 멀티모달 분석(Multimodal Analysis)을 어렵게 만들어 정보 유출 위험을 줄인다.

CoverDrop은 기존의 SecureDrop 시스템의 단점을 보완하여 개발되었다. SecureDrop은 메시지 전송 사실을 숨기지 못한다는 한계가 있었지만, CoverDrop은 이를 해결하기 위해 데이터 미저장 정책(Zero-Retention Policy)을 강화했다. 커뮤니티에서는 CoverDrop이 익명성(Anonymity)을 더욱 강화하여 정보 제공자의 안전을 높였다는 평가를 내리고 있다. 특히 CoverDrop은 GDPR 규제 준수(GDPR Compliance)를 고려하여 설계되었다는 점도 주목할 만하다.

CoverDrop은 강력한 보안 기능을 제공하지만, 완벽한 시스템은 아니다. 기술적으로 보면, 암호 해독 키가 노출되거나, 서버가 공격받는 경우 정보 유출의 위험이 존재한다. 하지만 CoverDrop은 멀티모달 분석(Multimodal Analysis)을 어렵게 만들어, 공격자가 정보를 획득하기 위한 노력을 증가시킨다. 결론적으로, CoverDrop은 정보 제공자의 안전을 위한 중요한 진전이지만, 지속적인 보안 강화 노력이 필요하다.