개발자가 AES-256-GCM 암호화와 세션 ephemerality를 적용한 FireChat v7을 배포했으나 7일 동안 7건의 조회만 발생하여 제품 배포보다 사용자 확보가 더 어렵다는 사실을 깨달았다

Context

기존 메시징 앱은 서버에 대화 기록을 저장하여 공유 기기에서 타인이 대화内容を 열람하거나 계정 침해 시 개인정보가 노출되는 구조를 갖는다. 메시지 자동 삭제 기능이 있어도 서버 백업이나 메타데이터는 여전히 남아있는 한계가 있다.

Technical Solution

• 사용자 디바이스에서 AES-256-GCM 알고리즘으로 메시지를 암호화한 후 서버로 전송하는 클라이언트 사이드 암호화 구현
• 마지막 참여자가 채팅방을 나갈 때 세션 내 모든 메시지를 삭제하는 ephemeral 세션 구조 설계
• 초대 링크에 독립적인 identifier passphrase를 적용하여 링크만으로는 방 접근이 불가능한 인증 계층 추가
• View-once 이미지/영상 재생 직후 파일시스템에서 해당 미디어를 물리 삭제하는 스토리지 관리
• 브라우저 기반 PWA로 빌드하여 네이티브 앱 설치 없이 홈스크린에 추가 가능하도록 구현

Impact

해당 아티클에서는 정량적 성능 지표를 제공하지 않음

Key Takeaway

보안 기술(AES-256-GCM, ephemerality)을 내부에 올바르게 구현하는 것과 사용자에게 그 가치를 외부에서 인지시키는 것은 별개의 문제이며, 후자가 제품 성공의 결정적 요소가 된다