이경호 고려대 정보보호대학원 교수는 "대화 내용이 남지 않는다는 것은 텔레그램의 마케팅 포인트였지만 서버에 접속기록이 남아 추적이 가능하며, 디지털 포렌식으로 로그 분석을 할 수 있다"고 말했다.

텔레그램은 다른 모바일 메신저의 초대인원이 제한적인 것과 달리 20만명 이상을 하나의 방에 수용할 수 있다. 때문에 N번방 사건처럼 돈벌이를 위한 대규모 성착취 범죄가 가능한 것이다. ‘비밀 대화(Secret Chat)’에서는 송신자와 수신자만이 메시지를 읽을 수 있는 종단간 암호화(End-to-end encryption) 기술을 사용하는 것으로 알려지고 있다.

보안업계 관계자는 "특정 방을 잡기 위해 암호를 해독하는 ‘키’를 찾는다면 텔레그램도 100% 안전하다고 말할 수는 없다"면서도 "3자가 임의로 보안 허점을 공략하는 것은 쉽지 않다"고 했다.

◇ MIT 연구팀, 보안상 허점 지적

미국 MIT 연구팀은 지난 2017년 5월 텔레그램의 보안 취약성을 지적했다. 연구팀은 "조사에 따르면 텔레그램은 보안 전문가가 뚫을 수 있는 프로토콜 상의 심각한 문제를 갖고 있다"면서 "사용자간에 대화를 나눌 때 염탐이 가능하다"고 밝혔다.

텔레그램 기록은 디지털장의사도 삭제할 수 없다는 게 업계의 입장이다. 안재원 클린데이터 대표는 ”탈퇴하더라도 회사 서버에 기록이 남는다”라며 ”일반 업체가 좌지우지할 수 있는 부분이 아니다”라고 밝혔다. 애초 불법 성착취 영상물 구매자의 의뢰를 받을 경우 범죄 증거인멸로 여겨져 공범이 될 위험소지가 있어 디지털장의사 업계에서도 이같은 요청은 받아들이지 않고 있다.

이에 대해 염흥렬 순천향대학교 정보보호학과 교수는 중앙일보에 ”다른 사람의 단말기나 텔레그램 서버 기록을 지워주는 건 기술적으로 불가능”이라며 ”참여자들이 기록을 지웠다면 증거인멸 시도로 가중처벌을 받을 수 있다”고 전했다.

한편 성착취피해자가 19세 미만 아동·청소년일 경우 아동·청소년의 성보호에 관한 법률(청소년성보호법)이 적용되므로, 해당 성착취영상물을 소장할 경우 청소년성보호법 11조에 따라 1년 이하의 징역 또는 2천만원 이하의 벌금을 물게 된다. 또 이를 단순 배포할 경우 징역 7년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있다.

독일에 기반을 둔 텔레그램은 러시아 정부의 검열에 반대하며 세상에 빛을 보게 된 메신저다. 텔레그램의 모토는 ‘개인정보를 보호받으며 이야기할 권리’(Talking back our right to privacy)며 러시아를 포함한 모든 국가의 개인정보 수사협조 요청을 거절하고 있다.

IT 업계는 텔레그램 대화내역은 이용자가 일일이 삭제하지 않는 이상 텔레그램 클라우드에 남기 때문에 국내 통신사 협조만 받는다면 (가상번호나 해외번호를 사용하지 않는 이상) 곧바로 확보할 수 있다고 강조한다.

익명을 요구한 IT업계 관계자는 “수사기관이 물리적으로 압수수색해서 SIM카드만 확보하면 텔레그램 대화내역을 전부 회수할 수 있고, 그게 안된다면 통신사의 협조를 구해서 SIM스와핑하면 된다”고 말했다. SIM스와핑은 A가 B의 휴대전화번호를 훔쳐 장치에 대한 통제권을 박탈하는 공격방식이다.

김승주 고려대학교 정보보호대학원 교수도 “텔레그램은 최고 수준 시큐어 메신저는 아니며 여러 가지 보안 취약점이 존재한다”며 “(이번 n번방 사건과 관련해서도) 텔레그램의 취약점을 이용하면 어느 정도 사용자 추적이 가능하고 암호화폐 거래사이트와 공조해 거래 흔적을 함께 추적하면 과정은 어렵겠지만 가닥이 잡힐 것”이라고 주장했다.