카카오가 운영하는 다음 메일(한메일)을 비롯해 국내 이메일 서비스들의 암호화 수준이 취약한 것으로 나타났다는 지적이 나왔다.
한국일보는 17일 "국내에서 3,800만명이 이용하는 다음 메일(한메일)이 해킹 위험에 무방비 노출돼 있는 것으로 나타났다"며 "메일을 보낼 때 암호화를 하지 않아 해커들이 내용을 훔쳐 볼 위험이 높다는 지적"이라고 보도했다.
한국일보가 인용한 건 구글이 정기적으로 발표하는 '투명성보고서'다. 구글은 '더 안전한 이메일'에서 '전송 시 암호화를 지원하는 제공업체'를 검색할 수 있도록 하고 있다.
구글은 국제표준 암호화 방식인 TLS(전송계층보안)를 기준으로, 이메일 서비스 업체들이 이 방식을 지원하는지 여부를 가려냈다. 구글은 TLS를 이렇게 설명하고 있다.
TLS는 전송되는 이메일을 보호하는 가장 효과적인 솔루션인가요?
- 완벽한 단일 인터넷 보안 솔루션은 존재하지 않습니다만 암호화되지 않은 이메일은 매우 심각한 취약점이라 할 수 있습니다. 이메일 제공업체 간에 이메일이 전송될 때 이메일을 암호화하면 사용자에게 불편을 주지 않으면서도 상당히 간편하게 보안을 크게 개선할 수 있습니다.(구글, 더 안전한 이메일, FAQ)
전송 레이어 보안을 통한 암호화는 전송 시 다른 사람이 메시지를 엿보는 것을 방지해 줍니다. TLS는 수신 및 발신 메일 트래픽에서 메일을 안전하게 암호화하고 전달하는 프로토콜로서, 이메일 제공업체 간에 메시지가 이동할 때 메시지가 공개되지 않게 유지해 주므로, 메일 서버 간의 스누핑을 방지하는 데 도움이 됩니다.
하지만 이메일을 보내는 사람과 받는 사람 모두가 전송 레이어 보안을 지원하는 이메일 제공업체를 사용해야 메시지를 암호화할 수 있습니다. 모든 이메일 제공업체에서 TLS를 사용하는 것은 아니므로, TLS를 사용하지 않는 제공업체를 통해 이메일을 보내거나 받을 경우 스누퍼가 메시지를 읽을 수도 있습니다.
TLS는 보안 이메일의 표준으로 도입되고 있습니다. 완벽한 솔루션은 아니지만 모든 사용자가 TLS를 사용하면 이메일을 스누핑하는 것이 지금보다 더 어렵고 힘들어 집니다. (구글, 더 안전한 이메일, 암호화 작동 방식)
한국정보통신기술협회가 제공하는 IT용어사전에 따르면, TLS는 SSL(보안소켓레이어)의 뒤를 잇는 차세대 보안 통신 규약으로, SSL에 비해 강력한 암호화를 구현한다.
구글에 따르면, 다음 한메일과 네이버 메일, 네이트 메일은 각각 아래와 같은 수치를 기록하고 있다. (이미지를 클릭하면 확대됩니다.)
다음 한메일
네이버 메일
네이트 메일
한국일보에 따르면, 카카오 측은 이렇게 해명했다.
한 보안 전문가는 “TLS 적용은 최대 수십억원이 필요해 기업 성장을 우선하면 나중으로 미루는 경우가 많다”며 “업체 측에서 보안에 과감한 투자를 해야 한다”고 지적했다.
이에 대해 카카오 관계자는 “다음 계정끼리 이메일을 주고받을 경우는 보안(SSL) 조치가 돼 있으며 TLS는 내년 상반기까지 적용할 계획”이라고 해명했다. (한국일보 11월17일)
한편 구글은 지난 12일 '온라인 보안 블로그'에서 다음과 같이 밝힌 바 있다.
이용자들에게 잠재적 위험성을 알리기 위해, 우리는 암호화되지 않은 서버를 통해 발신된 이메일이 수신될 경우, 지메일 이용자들에게 이를 경고해주는 메시지를 띄우는 방안을 준비하고 있습니다. 이 경고 메시지는 몇 달 안에 배포되기 시작할 것입니다. (구글, 11월12일)