텔레그램 보안 설정 완벽 가이드 — 2차 비밀번호부터 자동삭제까지
텔레그램 계정을 제대로 잠그는 법. 2차 비밀번호, 비밀 대화, 자동삭제 타이머, 세션 관리, P2P 통화 차단까지 — 설정 하나하나의 의미와 현실적 위험도를 정리합니다.
텔레그램 깔아놓고 그냥 쓰고 있다면, 지금 기본 상태가 어떤지부터 알아야 한다.
일반 채팅은 종단간 암호화가 아니다. 통화는 상대방에게 내 IP를 노출한다. 세션은 6개월간 자동으로 살아있다. 2차 비밀번호? 기본값은 꺼져 있다.
텔레그램이 “보안 메신저”라는 인식이 있는데, 그건 설정을 제대로 만졌을 때 이야기다. 기본값 그대로 쓰면 카카오톡이랑 보안 수준이 크게 다르지 않다.
설정 6개를 하나씩 짚는다. 각각이 뭘 막아주고, 누구한테 필요한지 현실적으로 분류했다.
2차 비밀번호(2단계 인증) — SMS만으로 로그인되는 상태를 막는다
텔레그램의 기본 로그인은 SMS 인증코드 하나다. 누군가 내 문자를 가로챌 수 있으면 — SIM 스와핑, 유심 복제, 또는 내 폰을 잠깐 들여다보는 것만으로 — 계정이 털린다.
2차 비밀번호를 설정하면, SMS 코드 + 비밀번호 두 가지가 모두 필요하다. 하나만 뚫려서는 로그인이 안 된다.
설정 경로: 설정 → 개인정보 및 보안 → 2단계 인증
비밀번호를 입력하면 “복구 이메일을 등록하시겠습니까?” 단계가 나온다. 여기서 두 가지 선택지가 있다.
이메일을 등록하는 경우 — 비밀번호를 잊었을 때 이메일로 재설정할 수 있다. 편리하지만, 그 이메일이 털리면 2차 비밀번호도 무력화된다. 이메일 계정 자체에 강한 2FA가 걸려 있어야 의미가 있다.
이메일 없이 건너뛰는 경우 — “건너뛰기(Skip)” 버튼을 누르면 된다. 이메일 복구 경로가 없으니 보안은 더 강해진다. 대신, 비밀번호를 잊으면 7일 대기 후 비밀번호 초기화만 가능하고, 최악의 경우 계정을 삭제하고 재가입해야 한다.
🟢 일반 사용자: 이메일 등록하고, 그 이메일에도 2FA 걸어둬라. 비밀번호를 잊을 확률이 계정 해킹당할 확률보다 높다.
🔴 OPSEC 필요: 이메일 없이 설정. 복구 경로 자체를 없애는 게 목적이다. 비밀번호는 비밀번호 매니저에 저장하거나 물리적으로 보관해라.
비밀 대화 vs 일반 대화 — 기본값이 함정이다
텔레그램을 열고 누군가와 대화를 시작하면, 그건 “일반 대화(클라우드 채팅)“다. 이게 기본값이다.
일반 대화는 서버-클라이언트 암호화(server-client encryption)를 쓴다. 전송 중에는 암호화되지만, 텔레그램 서버에 도착하면 텔레그램이 복호화 키를 갖고 있다. 기술적으로, 텔레그램은 내 일반 대화 내용을 읽을 수 있다.
“비밀 대화(Secret Chat)“는 직접 켜야 한다. 이쪽은 종단간 암호화(E2EE, End-to-End Encryption)다. 나와 상대방만 열쇠를 갖고 있고, 텔레그램 서버도 내용을 볼 수 없다.
비밀 대화 시작 방법: 대화 상대 프로필 → ··· 메뉴 → 비밀 대화 시작
차이를 정리하면 이렇다.
| 일반 대화 | 비밀 대화 | |
|---|---|---|
| 암호화 | 서버-클라이언트 | 종단간(E2EE) |
| 서버 저장 | O (텔레그램이 볼 수 있음) | X |
| PC/웹 접근 | O | X (모바일만) |
| 그룹 대화 | O | X (1:1만) |
| 메시지 전달 | O | X (전달 불가) |
| 자동삭제 타이머 | 별도 설정 | 내장 |
비밀 대화의 가장 큰 제약은 모바일 전용이라는 점이다. 텔레그램 데스크톱과 웹에서는 비밀 대화를 만들 수도, 열 수도 없다. 그룹 대화도 안 된다. 오직 모바일에서 1:1만 가능하다.
이건 불편해서 이렇게 만든 게 아니라, 종단간 암호화의 단일 기기 원칙 때문이다. 암호화 키가 특정 기기에만 존재해야 “서버에 키가 없다”는 보장이 성립한다.
🟢 일반 사용자: 일상 대화는 일반 대화로 충분하다. 텔레그램이 내 저녁 메뉴 고민을 엿볼 이유가 없다.
🟡 민감한 상황: 의료 정보, 금융 이야기, 이직 관련 대화처럼 유출되면 곤란한 내용은 비밀 대화로. “모바일에서만”이라는 제약이 불편하면 Signal을 쓰는 게 더 현실적이다.
🔴 OPSEC 필요: 비밀 대화만 사용. 일반 대화는 텔레그램 서버에 남는다. 2024년 두로프 체포 이후 텔레그램이 수사기관에 데이터를 넘기기 시작한 만큼, 서버에 있는 데이터는 잠재적 제공 대상이다.
자동삭제 타이머 — 대화 흔적을 시한부로 만든다
메시지를 보내고 나면, 그 메시지는 삭제할 때까지 남아 있다. 자동삭제 타이머를 켜면, 설정한 시간이 지나면 메시지가 양쪽 화면에서 자동으로 사라진다.
타이머는 메시지가 전송된 시점부터 카운트된다. 24시간으로 설정하면, 월요일 정오에 보낸 메시지는 화요일 정오에 삭제된다 — 상대가 읽었든 안 읽었든.
전체 채팅 일괄 설정: 설정 → 개인정보 및 보안 → 자동 메시지 삭제 — 새로 시작하는 모든 1:1 채팅과 그룹에 적용된다.
개별 채팅 설정: 채팅방 → 상대 프로필(상단 이름 탭) → ··· → 자동 삭제 활성화
선택 가능한 시간: 1일, 1주, 1개월. 커스텀 설정으로 1초부터 1년까지 세밀하게 조정할 수 있다.
🟢 일반 사용자: 전체 채팅에 1개월 정도 걸어두면 대화 기록이 무한히 쌓이는 걸 막을 수 있다. “3년 전 대화”가 유출될 일이 없어진다.
🟡 민감한 상황: 특정 대화방에 1일 또는 1주 설정. 업무 비밀이나 개인적인 대화의 수명을 제한한다.
비밀 대화에는 자동삭제 타이머가 내장되어 있어서, 비밀 대화를 쓴다면 별도 설정이 필요 없다.
세션 관리 — 지금 내 계정에 누가 접속해 있는지 확인
텔레그램에 로그인한 기기는 “세션”으로 남는다. PC에서 한 번, 태블릿에서 한 번 로그인했으면, 두 세션이 활성 상태다. 문제는 기본값이 6개월 동안 자동 유지라는 점이다.
6개월 전에 PC방에서 로그인했다면, 그 세션이 아직 살아 있을 수 있다.
확인 경로: 설정 → 기기 (또는 설정 → 개인정보 및 보안 → 활성 세션)
이 화면에서 보이는 것들:
- 로그인된 기기 이름, 앱 버전
- IP 주소와 대략적인 위치
- 마지막 활동 시간
모르는 기기가 있으면 즉시 해당 세션을 종료해라. “다른 모든 세션 종료” 버튼을 누르면, 지금 들고 있는 기기 외 전부 로그아웃된다.
자동 종료 기간 설정: 같은 화면에서 “비활성 세션 자동 종료” 기간을 바꿀 수 있다. 기본값 6개월을 1주일이나 1개월로 줄여라.
🟢 일반 사용자: 한 달에 한 번 활성 세션 확인. 자동 종료 기간은 1개월로 설정.
🟡 민감한 상황: 자동 종료 1주일. 불필요한 기기 세션은 바로바로 정리.
🔴 OPSEC 필요: 사용 후 매번 다른 세션 전부 종료. 자동 종료 1주일. 세션 목록에 모르는 IP가 있으면 2차 비밀번호를 즉시 변경해라.
P2P 통화 비활성화 — 전화 한 통에 IP가 새는 구조
텔레그램 음성·영상 통화는 기본적으로 P2P(Peer-to-Peer, 단말기 직접 연결) 방식이다. 통화 품질을 위해 텔레그램 서버를 거치지 않고 상대방과 직접 연결한다.
문제는, 직접 연결이면 상대방에게 내 IP 주소가 노출된다는 거다. IP 주소는 대략적인 위치(도시 수준)와 통신사 정보를 담고 있다. 상대방이 악의적이라면 이걸로 위치를 추정할 수 있다.
이 문제는 2018년부터 알려져 있었고, 2023년에도 TechCrunch가 재확인했다. 텔레그램이 수정한 게 아니라, 사용자가 직접 꺼야 하는 설정이다.
설정 경로: 설정 → 개인정보 및 보안 → 통화 → Peer-to-Peer → “사용 안 함(Never)” 선택
“사용 안 함”으로 바꾸면 모든 통화가 텔레그램 서버를 경유한다. 지연(latency)이 약간 늘어날 수 있지만, 일반 음성통화에서 체감할 정도는 아니다.
“연락처 제외(My Contacts)” 옵션도 있다. 연락처에 등록된 사람과는 P2P로 통화하고, 나머지는 서버 경유로 돌리는 방식이다.
🟢 일반 사용자: “연락처 제외”로 설정하면 모르는 번호로부터의 IP 노출을 막으면서, 아는 사람과의 통화 품질은 유지할 수 있다.
🟡 민감한 상황: “사용 안 함”으로 설정. 모든 통화에서 IP를 숨긴다.
🔴 OPSEC 필요: “사용 안 함” + VPN 병행. 텔레그램 서버에도 내 실제 IP가 남지 않도록.
전화번호 공개 범위 — 가장 흔히 놓치는 설정
텔레그램에서 대화를 시작하면, 상대방이 내 전화번호를 볼 수 있는 경우가 있다. 기본 설정에 따라 연락처에 내 번호가 있는 사람, 또는 모든 사람이 내 번호를 볼 수 있다.
설정 경로: 설정 → 개인정보 및 보안 → 전화번호
“내 전화번호를 볼 수 있는 사람”을 **“아무도”**로 바꿔라. 그리고 “내 번호로 나를 찾을 수 있는 사람”도 **“내 연락처”**로 제한해라.
이렇게 하면 텔레그램 사용자 이름으로만 연락이 오고, 전화번호는 노출되지 않는다.
🟢 일반 사용자: 이 설정 하나만 바꿔도 스팸과 신상 노출 위험이 줄어든다. 5초면 된다.
지금 당장 — 5분 체크리스트
6개 설정을 전부 건드릴 필요는 없다. 자기 상황에 맞는 것만 골라라.
최소한 이건 해라 (🟢 전원 해당):
- 2차 비밀번호 켜기 —
설정 → 개인정보 및 보안 → 2단계 인증 - P2P 통화 제한 —
설정 → 개인정보 및 보안 → 통화 → Peer-to-Peer → 연락처 제외또는사용 안 함 - 전화번호 비공개 —
설정 → 개인정보 및 보안 → 전화번호 → 아무도 - 활성 세션 확인 —
설정 → 기기→ 모르는 기기 종료
민감한 대화가 있다면 (🟡 추가):
- 비밀 대화 사용 — 해당 대화에서 프로필 → 비밀 대화 시작
- 자동삭제 타이머 — 전체 1개월, 민감한 채팅은 1일~1주일
- 세션 자동 종료 — 6개월 → 1주일로 변경
프라이버시 보호와 수사 회피는 다른 문제다
이 글은 텔레그램을 더 안전하게 쓰는 법을 다뤘다. 개인 대화의 프라이버시를 지키는 건 당연한 권리다.
그런데 이 설정들을 “수사를 피하는 방법”으로 읽고 있다면, 전제가 틀렸다. 2024년 두로프 체포 이후 텔레그램은 한국 경찰 요청의 95% 이상에 응답하고 있고, IP 주소와 전화번호를 넘기고 있다. 보안 설정을 아무리 빡빡하게 해도, 이용약관을 위반하면 계정 정보는 수사기관에 제공된다.
비밀 대화의 종단간 암호화는 대화 내용을 보호하지만, “누가 누구와 대화했는지”라는 메타데이터는 별개 문제다.
프라이버시는 보호할 가치가 있다. 하지만 그걸 악용해서 누군가를 해치는 순간, 보호할 가치가 사라지는 건 프라이버시가 아니라 본인이다.
정리
텔레그램의 기본값은 편의성에 맞춰져 있지 보안에 맞춰져 있지 않다. 일반 대화는 서버에 남고, 통화는 IP를 노출하고, 세션은 6개월간 살아있고, 2차 비밀번호는 꺼져 있다.
이 글에서 다룬 설정 6개 — 2차 비밀번호, 비밀 대화, 자동삭제, 세션 관리, P2P 차단, 전화번호 비공개 — 를 자기 상황에 맞게 조정하면, 텔레그램이 “보안 메신저”라는 이름값을 하기 시작한다.
지금 텔레그램을 열어서, 최소한 2차 비밀번호와 전화번호 비공개 두 개만 켜라. 2분이면 된다.
자주 묻는 질문
- 텔레그램 2차 비밀번호를 이메일 없이 설정할 수 있나요?
- 가능합니다. 설정 과정에서 복구 이메일 입력 단계가 나오면 "건너뛰기(Skip)"를 누르면 됩니다. 다만 비밀번호를 잊으면 7일 대기 후 비밀번호 초기화만 가능하고, 그래도 복구가 안 되면 계정 자체를 삭제하고 재가입해야 합니다.
- 텔레그램 비밀 대화는 PC에서도 쓸 수 있나요?
- 쓸 수 없습니다. 비밀 대화(Secret Chat)는 모바일 앱(Android, iOS)에서만 생성 가능하고, 텔레그램 데스크톱과 웹 버전에서는 지원되지 않습니다. 종단간 암호화의 단일 기기 원칙 때문입니다.
- 텔레그램 자동삭제 타이머를 켜면 상대방 메시지도 삭제되나요?
- 1:1 채팅에서는 양쪽 모두에게 적용됩니다. 내가 타이머를 설정하면 상대방의 화면에서도 메시지가 사라집니다. 그룹에서는 관리자만 타이머를 설정할 수 있습니다.
- 텔레그램 P2P 통화를 끄면 통화 품질이 떨어지나요?
- 네, 약간 떨어질 수 있습니다. P2P를 끄면 모든 통화가 텔레그램 서버를 경유하기 때문에 지연(latency)이 늘어납니다. 하지만 일반적인 음성통화에서 체감할 정도의 차이는 아닙니다. IP 노출 방지가 더 중요하다면 끄는 게 맞습니다.