메신저 앱 '팬텀 챗(Phantom Chat)'의 개발자가 자사 제품의 모든 개인정보 보호 및 보안 관련 마케팅 주장을 실제 소스 코드와 일대일로 매핑한 상세 문서를 공개했습니다. 이는 단순히 '안전하다'고 주장하는 것을 넘어, 해당 기능이 어떤 코드 라인에서 어떻게 구현되었는지 투명하게 보여줌으로써 사용자들에게 전례 없는 수준의 신뢰성을 제공하려는 시도입니다. 이 문서는 특히 기자, 팟캐스트 진행자, 보안 연구원 등 제3자가 팬텀 챗을 평가할 때 사실 확인을 쉽게 할 수 있도록 돕는 것을 목표로 합니다.
공개된 검증 문서는 암호화(Cryptography)와 개인정보 보호 및 익명성(Privacy & Anonymity)이라는 두 가지 큰 범주로 나뉘어 있습니다. 암호화 섹션에서는 양자 내성 키 교환(PQXDH), 시그널 프로토콜(Signal Protocol)의 더블 래칫(Double Ratchet), AES-256-GCM 암호화, 그리고 아이폰 보안 엔클레이브(Secure Enclave)를 통한 하드웨어 기반 신원 인증 등의 기술적 주장이 실제 스위프트(Swift) 코드 파일명과 라인 번호까지 명시되어 검증되었습니다. 예를 들어, 모든 새 대화에 NIST FIPS 203 ML-KEM-768(Kyber)과 Curve25519를 결합한 하이브리드 키 교환 방식이 적용된다는 주장은 'Phantom Chat/X3DHProtocol.swift' 파일의 특정 라인에서 어떻게 구현되는지 구체적으로 제시됩니다. 또한, 앱 어테스트(App Attest)를 통해 서버가 연결 기기가 변조되지 않은 실제 아이폰임을 확인한다는 주장 역시 클라이언트와 서버 양쪽의 코드 경로가 상세히 설명되어 있습니다.
개인정보 보호 및 익명성 섹션에서는 전화번호, 이메일, 실명 없이 사용자 이름만으로 가입할 수 있다는 익명 가입 주장과, 서버(Firebase/Firestore)가 사용자 이름, 공개 키 번들, 푸시 토큰, 구독 상태, 그리고 전송 중인 암호화된 메시지 암호문 외에는 어떠한 개인 정보도 저장하지 않는다는 주장이 검증되었습니다. 특히 사용자 이름은 라우팅 주소로 사용되기 때문에 평문으로 저장되지만, 메시지 내용이나 연락처, 대화 상대는 서버가 읽을 수 없다는 점이 강조됩니다. 이러한 투명성은 기술적 주장이 실제 코드와 일치하는지 직접 확인할 수 있는 강력한 근거를 제공하며, 사용자 신뢰를 구축하는 데 중요한 역할을 할 것으로 보입니다. 이는 보안과 개인정보 보호를 중시하는 메신저 앱 시장에서 차별화된 경쟁 우위를 확보하는 전략이 될 수 있습니다.