보안은 주장보다 검증이 중요합니다. 비서누리는 현재 시연용 암호문 동기화와 실서버 전환을 준비 중이며, 정식 E2EE 키 교환, 해시 체인, 하이브리드 ACL을 단계적으로 쌓을 계획입니다.
현재 시연 환경은 클라이언트에서 암호화한 데이터를 서버에 암호문으로 보관하고, 다른 기기에서 받아 로컬에서 복원하는 구조입니다. 정식 단계에서는 기기별 키 교환과 메시지별 키 회전을 갖춘 E2EE 프로토콜을 CTO·보안 자문 검토 후 도입할 계획입니다.
처음 대화를 시작할 때 양측이 만나지 않아도 안전하게 공유 비밀을 만듭니다. 서버는 공개 키만 중계할 뿐, 비밀은 절대 알지 못합니다.
메시지마다 전진 · 후진 비밀성(Forward/Post-compromise Security)을 보장하도록 키를 회전합니다. 하나의 메시지가 노출돼도 과거·미래 메시지는 그대로 잠겨 있습니다.
장기적으로는 X3DH에 포스트양자 키 합의를 얹은 PQXDH까지 바라봅니다. 양자 컴퓨팅 시대에도 과거 대화가 보호되도록, 단계적으로 도입합니다.
기존 협업 도구는 "권한이 없습니다"라고 알리면서 그 존재를 노출합니다. 비서누리는 권한 없는 사용자에게 채널의 존재 자체가 드러나지 않도록 설계하고 있습니다. 목록에도, 검색 결과에도 나타나지 않습니다.
존재는 노출, 본문만 차단.
보이지 않는 것은, 있는지도 모릅니다.
접속 · 복사 · 캡처 · 삭제 — 모든 이벤트는 이전 이벤트의 해시를 포함해 다음으로 이어지도록 설계합니다. 한 칸만 변조되어도 체인이 끊어지므로, 사후 조작을 수학적으로 식별할 수 있습니다.
마지막 머클 헤드를 외부 검증자에게 공개할 수 있도록 설계합니다. 사내 감사 · 규제 대응 등 어떤 장면에서도 "믿어달라"가 아닌 "계산해보라"의 논리를 목표합니다. 해시 체인 무결성은 Phase 3에서 도입 예정입니다.
과장하지 않습니다. 보안은 한계를 명시할 때 신뢰가 됩니다.
메시지 · 파일 본문이 서버에 암호문으로만 저장되도록 설계합니다(Phase 2). 운영자 · 인프라 침해 상황에서도 서버가 가진 것은 해독 불가능한 데이터가 되는 구조를 목표합니다.
관리자 권한은 가시성 · 키 재발급 제한 · 키 공개 로그를 통해 통제되도록 만듭니다. 관리자조차 평문에 접근할 수 없는 구조를 목표합니다.
기기마다 별도 키 쌍을 사용하도록 설계합니다(Phase 1~2, WebAuthn 기반). 한 기기가 뚫려도 다른 기기가 격리되고, 원격 키 폐기로 대응할 수 있도록 만들고 있습니다.
해시 체인으로 모든 이벤트가 수학적으로 묶이도록 설계합니다(Phase 3). 한 칸의 수정이 체인 전체의 불일치로 드러나는 구조를 목표합니다.
어깨너머 훔쳐보기, 분실, 사용자 부주의로 기기 화면이 공개되는 경우는 물리 보안과 사용자 교육의 영역입니다.
공유받은 사람이 스스로 내용을 외부로 옮기는 행위는 어떤 E2EE도 기술적으로 막을 수 없습니다. 해시 체인은 그 행위를 사후에 증명할 뿐입니다.
강제에 의한 계정 접근, 사회공학을 통한 키 위탁 요구 등은 기술 바깥의 영역입니다.
보안은 한 번의 스탬프로 완성되지 않습니다. 아래 일정은 목표이며, 외부 자문과 구현 결과에 따라 조정될 수 있습니다.