메신저를 둘러싼 프라이버시 전쟁이 새 국면에 접어들었다.
2026년 4월 17일, 일론 머스크가 이끄는 X(구 트위터)가 독립형 메신저 앱 'XChat'을 iOS에 공식 출시한다. 기존 X 플랫폼 내 DM(다이렉트 메시지) 기능을 통째로 분리해 별도 앱으로 재탄생시킨 이 행보는, 단순한 제품 출시가 아니라 메신저 시장 전체를 향한 선전포고에 가깝다.
타이밍이 절묘하다. 카카오가 2026년 2월부터 '이용 기록·이용 패턴을 기계적으로 분석·요약해 활용하겠다'는 약관 개정을 강행하면서 국내 이용자 사이에서 이탈 논의가 불거진 직후다. 왓츠앱(WhatsApp)은 2026년 5월부로 Meta AI와 대화 데이터 연동 정책을 적용하며 새로운 프라이버시 우려를 낳고 있다. '아무도 내 대화를 못 읽는다'는 XChat의 메시지는 그래서 더 크게 울린다.
그런데 XChat이 내세우는 프라이버시 주장은 실제로 얼마나 견고한가. '비트코인 스타일 P2P 암호화', '광고 훅 제로', 'X조차 못 본다'는 문구들은 기술적으로 정확한가. 복수의 암호화 전문가들은 이미 경고를 발했고, 시장 구조는 XChat의 한국 정착을 쉽게 허락하지 않는다. 팩트를 기반으로 분해해본다.
XChat 탄생 배경과 핵심 스펙
X가 독립형 메신저를 만든 이유는 단 하나, 슈퍼앱 전략이다. 머스크는 트위터를 인수한 2022년부터 중국 위챗(WeChat)을 공개 벤치마크로 삼았다. 위챗이 메시지·결제·쇼핑·금융을 하나의 생태계에 묶어 14억 명을 붙잡아 두는 모델을 서방 시장에서 재현하겠다는 청사진이다. XChat은 그 전략의 첫 번째 인프라 블록이다.
X가 독립 앱을 만든 직접적 계기는 기존 DM 구조의 한계였다. 2023년 검증된 이용자 한정으로 암호화 DM을 도입했지만 중간자 공격(MITM) 보호가 없고 UX가 조악하다는 혹평을 받았다. 2025년 5월 X는 아예 기존 코드를 폐기하고 Rust 언어 기반으로 전체 메시지 스택을 재작성했으며, 그 결과물이 2025년 11월 XChat으로 통합 출시됐다. 2026년 4월 17일 iOS 독립 앱 출시는 이 과정의 최신 단계다.
| 항목 | 상세 내용 |
|---|---|
| 정식 출시일 | 2026년 4월 17일 (iOS 우선) |
| 안드로이드 | 출시 일정 미확정, 베타 진행 중 |
| 이용 자격 | X 계정 보유자 (전화번호 불필요) |
| 암호화 방식 | 종단간 암호화(E2EE), Juicebox 프로토콜 |
| 기술 스택 | Rust 언어 기반 재설계 |
| 그룹 채팅 | 최대 481명 |
| 메시지 자동소멸 | 5분 - 4주 설정 가능 |
| 스크린샷 | 차단 또는 캡처 알림 중 선택 |
| 파일 공유 | 대용량 파일 지원 (프리미엄 최대 4GB) |
| 음성·영상 통화 | 지원 (전화번호 불필요) |
| 광고 | 없음 |
| AI 통합 | 그록(Grok) 3 연동, 그록 보이스 지원 예정 |
| 요금 | 기본 무료, 일부 고급 기능 X Premium 한정 |
X의 현재 월간활성사용자(MAU)는 약 5억 5,700만 명이다. 이 거대한 기존 이용자 풀을 XChat으로 끌어들이면 왓츠앱(33억 명), 텔레그램(9억 명 이상)에 이어 단숨에 주요 메신저 반열에 오를 수 있다는 계산이 깔려 있다.
** XChat은 기존 X 앱 계정으로 바로 로그인 가능하다. 별도 가입 절차 없이 X 핸들(@계정명)만으로 상대방을 찾을 수 있어 전화번호 공유 없는 소통이 가능하다는 점이 가장 실질적인 차별점이다.
'비트코인 스타일 암호화'의 기술적 실체
XChat을 둘러싼 가장 큰 논란은 머스크가 직접 사용한 '비트코인 스타일 P2P 암호화'라는 표현이다. 이 문구는 기술 커뮤니티에서 즉각 비판을 받았다. 비트코인은 기본적으로 공개 장부(public ledger) 구조로, 데이터를 숨기는 것이 아니라 거래를 검증하는 데 암호화를 사용한다. 메시지를 비밀로 유지하는 '기밀성(confidentiality)' 개념과는 결이 다르다.
그렇다면 XChat이 실제로 사용하는 기술은 무엇인가. 업계 분석에 따르면 XChat은 비트코인이 공개키 파생에 사용하는 타원 곡선 암호화(ECC, Elliptic Curve Cryptography)와 유사한 수학적 기반 위에서 키를 생성하며, 이 키를 'Juicebox 프로토콜'을 통해 관리한다. Juicebox는 사용자의 개인키를 암호화한 뒤 X 서버에 분산 저장하고, 4자리 PIN으로 복구할 수 있게 설계된 방식이다.
핵심 구조적 한계는 세 가지다.
첫째, 전방향 비밀성(Forward Secrecy, PFS) 미지원이다. Signal이나 왓츠앱은 Double Ratchet 알고리즘을 통해 메시지마다 새 키를 생성한다. 설령 현재 키가 탈취되더라도 과거 메시지는 복호화되지 않는다. XChat은 정적(static) 키를 사용하므로, 미래에 키가 노출되면 오늘 주고받은 모든 대화가 소급 복호화될 위험이 존재한다.
둘째, 중간자 공격(MITM) 취약성이다. X가 키 디렉토리를 관리하기 때문에, 이론상 X는 특정 사용자의 키를 교체해 대화를 도청하는 '유령 단말 시나리오'를 실행할 수 있다. XChat은 'Safety Numbers'(대화 지문 일치 확인) 기능을 제공하지만, 실제 이를 매번 확인하는 일반 이용자는 극소수다.
셋째, 서버 측 키 보관과 법적 의무다. X는 미국 CLOUD Act의 적용을 받는다. 연방 법원의 명령이 있으면 XChat은 이용자 메시지에 접근할 수 있다. X 자체 이용약관에도 '법적 강제 절차에 따라 암호화된 대화가 노출될 수 있다'는 문구가 현재까지 남아 있다.
존스홉킨스대학교 암호학 교수 매튜 그린(Matthew Green)은 이 구조를 분석하며 '4자리 PIN으로 보호되는 서버 측 키는 가방 자물쇠와 같다'고 경고했다. 암호화 메신저 플랫폼 Element의 공동창업자 매튜 호지슨(Matthew Hodgson)은 기술적 투명성 없이는 '마케팅에 불과하다'고 일축했다.
** '광고 없음'은 XChat의 사실이지만, 메타데이터(누가 누구와 언제 얼마나 대화했는지)는 여전히 X 서버가 수집한다. 이 메타데이터는 Grok AI 학습과 소셜 그래프 구축에 활용될 수 있어, 메시지 내용이 안 보여도 관계 패턴은 드러난다.
주요 메신저 4종 보안 비교
XChat이 경쟁하는 상대는 왓츠앱과 텔레그램만이 아니다. 프라이버시 최강자 Signal까지 포함한 4개 앱의 핵심 보안 지표를 비교하면 XChat의 실제 위치가 드러난다.
| 비교 항목 | XChat | Signal | Telegram | |
|---|---|---|---|---|
| 기본 E2EE | 지원 | 항상 적용 | 항상 적용 | 비밀대화만 |
| 암호화 프로토콜 | Juicebox(자체) | Signal Protocol | Signal Protocol | MTProto(자체) |
| 전방향 비밀성(PFS) | 미지원 | 지원 | 지원 | 비밀대화만 |
| 메타데이터 보호 | 낮음 | 높음(Sealed Sender) | 낮음(Meta 수집) | 낮음 |
| 키 저장 위치 | 서버(암호화) | 기기 전용 | 기기 전용 | 서버(클라우드) |
| 전화번호 필요 | 불필요 | 필요 | 필요 | 필요 |
| 오픈소스 | 미공개 | 완전 공개 | 부분 공개 | 부분 공개 |
| 독립 감사 여부 | 미실시 | 실시 | 실시 | 미실시 |
| 법적 협조 의무 | 미국 CLOUD Act | 미국 CLOUD Act | 미국 CLOUD Act | UAE 법 |
| 월간활성사용자 | 출시 초기 | 7,000만-1억 명 | 33억 명 | 9억 명 이상 |
Signal은 비영리 재단이 운영하며 프로토콜 전체를 오픈소스로 공개, 독립 감사를 정기적으로 받는다. 왓츠앱은 Signal Protocol을 채택해 암호화 강도 자체는 높지만 Meta가 대규모 메타데이터를 수집하고 AI 기능을 통합하면서 유럽 규제당국(DMA 위반 이슈)과 영국 Ofcom의 조사를 받고 있다. 텔레그램은 기본 채팅에 E2EE가 없으며 비밀대화를 별도로 시작해야 한다. XChat은 기본 암호화 면에서 텔레그램보다 앞서지만, 전방향 비밀성과 오픈소스 투명성에서 Signal·왓츠앱에 뒤처진다.
** 고위험 통신(내부고발·법적 분쟁·기업 기밀 협의)에는 여전히 Signal이 유일한 선택지다. XChat은 '일상적 대화의 광고 없는 무광고 채널'로 활용하는 수준이 현실적이다. 다만 전화번호 노출 없이 통화와 파일 공유가 필요한 상황에서 XChat의 실용적 가치는 분명히 존재한다.
한국 메신저 시장, XChat이 뚫을 수 있나
카카오톡은 한국 메신저 시장의 97%를 점유한다. 국내 스마트폰 이용자의 93% 이상이 카카오톡을 쓰고 있으며, 월간활성사용자(MAU)는 2025년 말 기준 약 4,800만 명에 달한다. 이 구조는 단순히 '편해서'가 아니라 오픈채팅·카카오페이·카카오뱅크로 이어지는 생태계 락인(lock-in) 효과로 형성된 것이다.
XChat에 기회가 열린 배경은 카카오의 자충수다. 2026년 2월 카카오는 이용 기록과 이용 패턴을 기계적으로 분석·요약해 활용할 수 있다는 약관 개정을 시도했다가 이용자 반발에 일부 표현을 수정했다. 거기에 카카오는 설립 초기 텐센트(중국)로부터 720억 원 투자를 받아 한때 2대 주주로 올라선 이력이 있으며, 현재도 텐센트 계열이 의미 있는 지분을 보유하고 있다. 이른바 '중국 자본 논란'이 반복적으로 불거지는 배경이다.
그러나 XChat이 이 틈을 파고드는 데 구조적 한계도 뚜렷하다. 4가지 장벽이 존재한다.
첫째, iOS 우선 출시다. 한국 스마트폰 시장에서 아이폰 비중은 2025년 기준 약 30% 수준이다. 안드로이드 버전 출시 일정이 확정되지 않은 상태에서 초기 도달 가능 이용자는 제한적이다.
둘째, X 계정 보유자 한정이다. 국내 X(트위터) 이용자 비율은 전체 인터넷 이용자의 일부에 불과하며, 신규 가입 후 XChat을 사용하는 경로는 마찰이 크다.
셋째, 네트워크 효과다. 메신저는 상대방이 있어야 의미가 있다. 4,800만 명이 동시에 쓰는 카카오톡을 이탈해 동일 집단 내 XChat 전환을 유도하는 것은 단기간에 불가능하다.
넷째, 기능 격차다. 카카오톡의 오픈채팅·선물하기·카카오페이·카카오뱅크 연동은 XChat이 단기간에 복제할 수 없는 생활 인프라다.
현실적 시나리오는 카카오톡 '대체'가 아니라 '보완재'로 자리잡는 것이다. 글로벌 인맥 관리, 전화번호 노출 없는 업무 통화, X 플랫폼 기반 커뮤니티 대화 등 카카오톡이 채우지 못하는 영역에서 틈새를 만들 가능성이 있다.
** XChat의 '중국이 잠식한 카톡에서 벗어나자'는 프레임은 감정적으로 유효하지만, XChat 역시 미국 CLOUD Act에 따라 미국 연방정부의 법적 명령에는 대화 내용을 제공해야 한다. '중국 자본 없음'이 '완전한 프라이버시 보장'을 의미하지는 않는다.
XChat의 슈퍼앱 로드맵과 향후 전망
XChat은 최종 목적지가 아니다. 머스크의 진짜 목표는 X Money와의 결합이다. 연내 공개가 예정된 X Money는 X 계정만으로 P2P 송금, 암호화폐 결제, 직불카드 연동이 가능한 금융 플랫폼이다. XChat과 결합되면 영상 통화 중 실시간 송금, 그룹 채팅 내 더치페이, 계좌번호 없는 글로벌 이체가 가능해진다. 이것이 머스크가 그리는 서방판 위챗이다.
AI 통합도 차별화 포인트다. Grok 3와 연동된 '그록 보이스' 기능은 채팅 앱 안에서 음성으로 AI 어시스턴트와 대화하고, 카메라로 찍은 장면을 공유하며 실시간 질의응답을 주고받을 수 있게 한다. 이 경험은 단순 메시지 앱을 넘어 일상 AI 비서 플랫폼으로의 전환을 의미한다.
그러나 기술 투명성 문제는 여전히 과제다. X는 XChat의 기술 백서(whitepaper) 공개와 오픈소스화를 '연내 예정'으로 공지했지만 구체적 일정은 제시되지 않았다. 독립적인 암호화 감사가 이루어지기 전까지, XChat의 프라이버시 주장은 검증 불가능한 마케팅의 영역에 머문다. 신뢰는 선언이 아니라 증명으로 구축된다.
메신저 시장의 구조적 진입 장벽을 감안하면 XChat의 초기 성장은 X 기존 이용자 기반(5억 5,700만 MAU) 내 침투율에서 결정될 가능성이 크다. 전 세계적으로 '광고 없이, 번호 없이, 무료로' 쓸 수 있는 메신저는 드물다. 카카오와 메타가 동시에 데이터 수집 정책으로 역풍을 맞은 2026년 상반기는 XChat에 가장 좋은 진입 타이밍이기도 하다.
결국 XChat의 운명은 세 가지 변수로 수렴한다. 안드로이드 출시 속도, 기술 백서 공개 및 독립 감사 실시 여부, 그리고 X Money 서비스 개시 타이밍이다. 이 세 조건이 충족될 때 비로소 XChat은 '마케팅'이 아닌 '실체'로 평가받을 수 있다.