구글 투명성보고서에 나타난 국내 이메일 업체들의 암호화 수준

이메일은 엽서와 같아서 중간에서 볼려고 하면 볼 수 있는 방법들이 많습니다. 그 대안으로 중간에서 훔쳐보는 것을 막을 수 있는 방법이 TLS이죠. 하지만 이 방법도 경로에 대한 보안이고 서버에 저장되어 있는 내 메일은 안전하지 않습니다.

• 페이스북23
• 트윗3
• 댓글0

• 

카카오가 운영하는 다음 메일(한메일)을 비롯해 국내 이메일 서비스들의 암호화 수준이 취약한 것으로 나타났다는 지적이 나왔다.

한국일보는 17일 "국내에서 3,800만명이 이용하는 다음 메일(한메일)이 해킹 위험에 무방비 노출돼 있는 것으로 나타났다"며 "메일을 보낼 때 암호화를 하지 않아 해커들이 내용을 훔쳐 볼 위험이 높다는 지적"이라고 보도했다.

관련기사 : [단독]보안 뻥 뚫린 다음메일… 해킹 땐 속수무책 (한국일보)

한국일보가 인용한 건 구글이 정기적으로 발표하는 '투명성보고서'다. 구글은 '더 안전한 이메일'에서 '전송 시 암호화를 지원하는 제공업체'를 검색할 수 있도록 하고 있다.

구글은 국제표준 암호화 방식인 TLS(전송계층보안)를 기준으로, 이메일 서비스 업체들이 이 방식을 지원하는지 여부를 가려냈다. 구글은 TLS를 이렇게 설명하고 있다.

TLS는 전송되는 이메일을 보호하는 가장 효과적인 솔루션인가요?

- 완벽한 단일 인터넷 보안 솔루션은 존재하지 않습니다만 암호화되지 않은 이메일은 매우 심각한 취약점이라 할 수 있습니다. 이메일 제공업체 간에 이메일이 전송될 때 이메일을 암호화하면 사용자에게 불편을 주지 않으면서도 상당히 간편하게 보안을 크게 개선할 수 있습니다.(구글, 더 안전한 이메일, FAQ)

전송 레이어 보안을 통한 암호화는 전송 시 다른 사람이 메시지를 엿보는 것을 방지해 줍니다. TLS는 수신 및 발신 메일 트래픽에서 메일을 안전하게 암호화하고 전달하는 프로토콜로서, 이메일 제공업체 간에 메시지가 이동할 때 메시지가 공개되지 않게 유지해 주므로, 메일 서버 간의 스누핑을 방지하는 데 도움이 됩니다.

하지만 이메일을 보내는 사람과 받는 사람 모두가 전송 레이어 보안을 지원하는 이메일 제공업체를 사용해야 메시지를 암호화할 수 있습니다. 모든 이메일 제공업체에서 TLS를 사용하는 것은 아니므로, TLS를 사용하지 않는 제공업체를 통해 이메일을 보내거나 받을 경우 스누퍼가 메시지를 읽을 수도 있습니다.

TLS는 보안 이메일의 표준으로 도입되고 있습니다. 완벽한 솔루션은 아니지만 모든 사용자가 TLS를 사용하면 이메일을 스누핑하는 것이 지금보다 더 어렵고 힘들어 집니다. (구글, 더 안전한 이메일, 암호화 작동 방식)

한국정보통신기술협회가 제공하는 IT용어사전에 따르면, TLS는 SSL(보안소켓레이어)의 뒤를 잇는 차세대 보안 통신 규약으로, SSL에 비해 강력한 암호화를 구현한다.

구글에 따르면, 다음 한메일과 네이버 메일, 네이트 메일은 각각 아래와 같은 수치를 기록하고 있다. (이미지를 클릭하면 확대됩니다.)

다음 한메일 

네이버 메일

네이트 메일

한국일보에 따르면, 카카오 측은 이렇게 해명했다.

한 보안 전문가는 “TLS 적용은 최대 수십억원이 필요해 기업 성장을 우선하면 나중으로 미루는 경우가 많다”며 “업체 측에서 보안에 과감한 투자를 해야 한다”고 지적했다.

이에 대해 카카오 관계자는 “다음 계정끼리 이메일을 주고받을 경우는 보안(SSL) 조치가 돼 있으며 TLS는 내년 상반기까지 적용할 계획”이라고 해명했다. (한국일보 11월17일)

한편 구글은 지난 12일 '온라인 보안 블로그'에서 다음과 같이 밝힌 바 있다.

이용자들에게 잠재적 위험성을 알리기 위해, 우리는 암호화되지 않은 서버를 통해 발신된 이메일이 수신될 경우, 지메일 이용자들에게 이를 경고해주는 메시지를 띄우는 방안을 준비하고 있습니다. 이 경고 메시지는 몇 달 안에 배포되기 시작할 것입니다. (구글, 11월12일)

안전한 보안메일 서비스 소개 - Protonmail

Ted에서 Andy Yen이 설명하듯이 우리가 쓰는 이메일은 원한다면 어렵지 않게 누군가가 내용을 볼 수가 있습니다. 설명에서 이메일을 누구든지 볼 수 있는 엽서에 비유를 하네요.
(Ted : Think Your email's private? Think again : https://www.ted.com/talks/andy_yen_think_your_email_s_private_think_again)

이메일을 사용한 이후부터 업무내용과 사생활이 포함되어 있는 개인정보의 보고 이메일에 대한 해킹은 꾸준히 시도되었고, 현재도 많은 시도가 있습니다. 어렵게 이메일계정을 습득한다면 그 사람이 생각하는거 추진하는내용까지 모두 자세하게 파악할 수 있고, 운이 좋아서 첨부파일이라도 있으면 더 많은 정보를 습득할 수 있습니다.

이러기 때문에 안전한 메일서비스에 대한 요구가 많았지만 이메일의 구조상 첨부파일을 자체적으로 암호화해서 보내는 방법이외에는 뽀족한 수가 없었죠.

Protonmail은 공개키 기반으로 암호화를 해서 End-to-End 암호화, Zero Access to User Data를 지원합니다. 수신자가 아니면 볼 수가 없고, 서버 관리자도 저장된 이메일 내용을 볼 수가 없는 겁니다.

서비스이용은 www.protonmail.com 에서 가입을 하여 사용을 하고 Donation을 받아서 운영하고 있습니다.

등록신청은 간단하지만 현재 신청 폭주로 인하여 시간이 걸린다고 합니다.

등록이 되면 세팅에서 2가지 패스워드를 입력한다고 하네요.(참고 : http://ppss.kr/archives/54467) 로그인을 하기 위한 패스워드와 이메일 박스를 오픈하기 위한 패스워드로 구성되었습니다.

가장 많이 쓰는 인터넷 서비스는?...이메일

시간이 지나면 이메일은 없어질 거라 말씀하시는 분들이 많은데 대체할 수 있는 수단이 나오기 전까지는 계속 그것도 더 많이 사용할 거라 생각합니다. 개인도 이정도인데 회사에서 공식적으로 사용하는 양은 매년 15% 이상씩 증가를 하고 있고, 업무의 중요성은 더욱 커질 겁니다.

========================================

국내 인터넷 이용자를 대상으로 조사한 결과 가장 많이 쓰는 인터넷 서비스는 이메일인 것으로 조사됐다.

​

DMC미디어(대표 이준희)가 만 19~59세 남녀 656명을 대상으로 조사한 '인터넷 서비스 이용 행태 및 광고효과 분석 보고서'에 따르면 국내 인터넷 이용자가 주로 이용하는 인터넷 서비스는 이메일이 85.8%로 가장 높게 나타났다. 이어서 ▲뉴스(79.3%) ▲자료 및 정보 접근/검색(76.1%) ▲인터넷 뱅킹(71.5%) ▲소셜미디어(71.0%) 등의 순이었다.

​

또한 동영상과 음악 스트리밍 및 다운로드라는 응답은 각각 57%와 49.7%로 절반이상을 차지했다. 게임과 TV시청도 각각 42.8%, 37.6%로 조사돼 인터넷을 통해 엔터테인먼트를 즐기는 비중이 높은 것으로 나타났다.

​

DMC미디어는 “인터넷이 대중화되기 시작한 1990년대 후반에는 인터넷을 '정보의 보고'라고 할 정도로 정보접근이나 검색기능이 부각됐었다”며 “현재는 이와 더불어 커뮤니케이션, 비즈니스, 엔터테인먼트 등 다양한 영역으로 확장됐다”고 분석했다.

​

인터넷 이용은 하루 일과가 본격 시작되는 오전 9시부터 급증해 자정까지 이어지는 것으로 조사됐다. 시간대별로는 밤 9시에서 12시 사이가 61%로 가장 높았고, 오전 9시에서 12시사이, 오후 6시에서 9시까지가 모두 57.7%로 해당 시간대에 인터넷 접속이 활발하게 나타났다.

​

한편 DMC미디어는 디지털광고에 대한 이용자의 태도와 광고가 구매행동에 미치는 영향력을 파악하기 위해 디지털광고 수용지수를 독자적으로 개발해 광고효과를 분석하고 있다. 디지털광고 수용지수는 태도지수와 실제 구매로 이어지는 행동지수로 구성되는데, 디지털광고 수용지수가 높을수록 이용자의 태도가 긍정적이고 광고 제품이나 서비스 구매에도 더 큰 영향을 미치는 것을 의미한다.

​

이번 조사에서는 마케팅 활성화를 목적으로 하는 다양한 형태의 인터넷, 모바일 광고 중에서 인터넷 검색 광고의 수용지수가 61.9점으로 포털 사이트 광고(57.8점)와 인터넷 뉴스 광고(52점)에 비해 효과가 높게 나타났다. 이는 검색광고의 특성상 이용자의 검색 키워드에 따라 결과가 노출되기 때문에 이용자의 목적에 맞는 광고가 노출될 확률이 타 광고보다 높기 때문이라는 분석이다.

​

​

DMC미디어 MUD연구팀 오영아 선임연구원은 “스마트폰의 보급화로 기본적인 정보검색뿐만 아니라 뉴스, 쇼핑, 금융, 미디어 콘텐츠 소비 등 오프라인에서 이뤄지는 대부분의 활동이 인터넷을 통해 가능해짐에 따라 인터넷 서비스 이용실태 파악의 필요성이 더 커지고 있다”며 “이번 보고서가 광고 마케팅 실무자들이 인터넷 이용자의 동기와 니즈를 이해하고 다양해진 기기환경에 대해 효과적인 광고 및 마케팅 커뮤니케이션을 수립하는데 도움이 되길 바란다”고 말했다.

The Must-Haves Of Email Archiving

보통 이메일 아카이빙의 도입필요성에 대해서 이야기할때 컴플라이언스나 리스크 이야기를 많이 하는데, 여기에서는 Keep emails clean, Find and stop internal “spammers”, Employee satisfaction, Email flow control 등 재미있는 이야기를 합니다. 실제로 이메일 담당자를 만나면 자기 회사의 송수신 이메일량을 모릅니다. 이메일 서버에서는 파악하기가 어렵고 당연히 회사내에 어떤 이메일들이 왔다갔다하는지 모른다는 이야기이죠.

=================================

Email, today, has become one of the most pivotal forces across the globe for essential business communication.  There is a massive growth in email usage and this not only causes inconvenience in sorting and archiving, but also creates storage issues. With emails electronically substituting legal business documentation, the information being passed on through this electronic correspondence constitutes a record. Such correspondence needs to be maintained for a minimum period of time, often established by the law. Email archiving has become an essential part of maintaining business records.

It is not only important to deploy strong archiving measures but also to learn ways to strengthen the existing ones. There are some key elements that a strong archiving infrastructure should comprise of.

- Archiving for email, files and calendars

An effective archiving mechanism must be able to archive various entries such as emails, calendars, faxes etc. It should facilitate sharing and also ensure safe storage of these files.

- Secure archiving for compliance

It is important to minimize legal risk. The archiving solution or archiver must ensure that the files and mails are stored in their original form and must not be dabbled with. This helps in compliance, e-discovery and internal investigations.

- Protect sensitive company data

Regular reports should be able to identify emails containing sensitive information, including social security numbers, credit cards and other sensitive information that could put you at legal or financial risk. The archiver should also be able to show who the employees, or groups of employees, are communicating with on a regular basis. This information can help the management identify which users are most productive and show communication networks as they build within the company. So if an employee leaves the company suddenly, their replacement can pick up right where they left off.  

- Email responsiveness

Lack of responsiveness or late replies can be damaging in terms of business opportunities. An effective email archiver must be able to identify the employees that are usually late in responding to emails in comparison to the ones who are quick.

- Corporate emails

More often than not corporate email IDs end up being used by employees for their personal work as well, which defeats the entire purpose of corporate emails. The archiver must be able to provide such data on the number of emails being sent predominately for work purposes. The archiver should generate reports on the number of emails being directed to free web-based email providers.

- Lower email storage costs

As the storage cost for emails is going down, the average file size sent through email is growing. The archiver must be able to retain files according to the type and sizes, and also show who is storing what in the archive.

- Prevent security breaches

Dormant email accounts present a security threat to the system because of needless entry points into the network that they furnish. Accounts that are not being used also lead to a huge amount of storage space that can be allocated to active users. An effective archiver must be able to detect such accounts

- Keep emails clean

Inappropriate emails can cause serious hassles for an organization causing unwanted lawsuits. It is therefore essential for the archiver to identify and manage the constant wrongdoers by tracking the vocabulary used in the mails.

- Find and stop internal “spammers”

Although there may be a need to connect with a huge audience through emails, an effective archiver must be able to identify the employees that mark other people in their mails, even when there is no need to. This would help in saving time and resources.

- Employee satisfaction

The archiver should be able to fancy the mood of the employees. It must be capable to identify who is emailing recruiters and receiving alerts from job search sites, so the HR issues can be addressed directly before it’s too late.

- Email flow control

A fundamental function that an archiver must possess is the ability to control the email flow. The archiver must not only be able to identify the sender and the receiver of the emails but also their source. This would help organizations in studying the flow of their emails and also facilitate decision making based on the real data in email trends.  

사라지는 이메일 시대! 보안 고려 사항은?

최근에 개인은 이메일을 많이 안쓰지만 회사에서 업무용 이메일은 횟수나 사이즈가 계속 증가하고 있습니다. 그만큼 점점 더 중요해 지고 있고, 앞으로도 대체할 수단은 아직 없는거 같습니다.

==============

 수년 내에 인터넷 환경에서 이메일이 사라진다. 이미 스냅챗에서 친구들과 문자 나누고, 핸드폰 문자메시지는 긴급한 것이나 중요한것, 장거리 전화는 스카이프로 대체되며, 2-3년후는 완전히 사라질 이메일 대신 빔 텔레프레즌스 또는 가상세계(VR) 기술을 사용할 것으로 예측되고 있다.

현재 이메일과 같은 통신 수단을 사용하는 비즈 환경의 변화로 보안측면에서 통제나 제어쪽 대상에 대한 새로운 대체 솔루션의 검토나 준비가 필요하다. 빔 텔레프레즌스와 가상세계(VR)에 대한 통제 솔루션은 현재 존재하지 않기 때문이다. 이러한 변화가 2~3년내에 온다면. 기존의 이메일 모니터링 방식의 보안통제 솔루션은 무의미해 지기 때문이다.

21세기 디지털 비즈니스 환경은 가속화되어 기존 변화보다 빠르게 찾아올 것이다. IT 기술 또한 진보가 기존보다 훨씬 빠르게 진행 될 것이 분명하다, 그렇다면 이런 것을 사전 준비하지 않는다면, 앞으로의 보안 통제 솔루션은 무의미해 지게 될 것이다. 현재 모든 기업에서 PC통제 솔루션 DLP나 DRM 같은 솔루션을 통해서 정보 유출을 차단하기 위한 고투자를 진행 하고 있다.

이것은 향후 3년, 길어야 5년이내에 다시 검토가 필요하다는 결론이 된다. 기술의 진보는 보안통제 환경을 아주 어렵게 만들고 있기 때문에 사실 아무리 보안 솔루션이 좋다 하더라도 100% 통제하는 것은 현실적으로 매우 어렵다.

보안은 이제 기업정보 유출을 차단시키는 부수적인 통제 관점이 아니라, 비즈니스 즉 보안경영측면에서 고려되어야 한다. 앞으로 중장기 보안 로드맵은 기업 CEO라면 누구나 관심을 두고 준비해야 한다.

유엔미래예측포럼 박영숙 대표는 아래와 같이 이야기 한다.

이메일 사용이 급격하게 감소하고 있다. 이메일의 역사는 인터넷의 역사와 함께 시작되었는데 많은 사람들이 국제전화나 텔렉스 등을 사용하다가 이메일을 사용하면서 너무나 간편하고 무료인 장점에 감동하였었다. 그러나 이제 이메일도 우리의 삶에서 사라져가고 있다. 

디지털 자료 증거 제한 형사소송법, 법 개정 시급 여론 확산

지난달 16일 대법원은 '국정원 대선개입 사건'과 관련해 원세훈 전 국정원장에게 징역 3년을 선고한 원심을 파기환송했다. 대법원이 원 전 원장에게 사실상 무죄를 선고한 핵심 근거는 디지털 자료를 증거로 인정할 수 없다는 것이다. 항소심 재판부는 국정원 직원이 쓴 메일에 첨부된 '시큐리티'와 '425지논'이라는 제목의 파일 2개를 기초로 검찰이 주장한 트위터 계정 1257개 중 716개를 국정원 심리전단 직원들이 사용·관리했다고 인정했고 이 716개의 트위터 계정이 트윗·리트윗한 글 27만4800개를 국정원의 사이버활동으로 파악했다. 그러나 대법원은 두 파일에 대한 증거능력을 부정했다.

디지털 자료의 증거능력을 폭넓게 인정해야 한다는 목소리가 높아지고 있다. 최근 컴퓨터, 외장형 디스크 등 각종 정보저장매체를 이용한 정보 저장이 일상화돼 범죄수사를 통해 확보한 중요 증거가 디지털화 되고 있기 때문에 증거능력을 인정하기 위한 판단 기준을 다양화해야 한다는 얘기다. 현행 법상 디지털 자료는 피의자가 시인할 경우에 한해 법정 증거로 채택된다. 

■檢 "수사 어떻게"..개정 보고서 제출

18일 법조계에 따르면 디지털 자료의 증거능력 기준 완화를 가장 적극적으로 주장하는 쪽은 검찰이다. 수사 과정에서 디지털 자료를 확보해도 피의자가 부인하면 현행법상 증거능력이 인정되지 않는 환경에서 범죄 수사에 큰 어려움을 겪는다는 입장이다. 

검찰 내부적으로 형사소송법 개정을 위한 연구활동도 적극적이다. 서울중앙지검 공안부는 지난해 말부터 진행한 증거법 연구모임 결과를 올해 대검찰청에 보고한 것으로 알려졌다. 대검은 디지털 정보의 증거능력을 작성자 시인 외에도 다양한 방법으로 인정받을 수 있도록 법을 개정해야 한다는 내용의 보고서를 법무부에 제출, 법 개정을 추진하고 있는 것으로 전해졌다. 

검찰 고위 관계자는 "디지털 자료는 피의자가 부인할 경우 증거로 인정되지 않는데 현행법이 현실을 따라가지 못하는 증거"라며 "지금은 메일 등 디지털 자료를 수사하지 않으면 확보할 수 있는 범죄 증거가 극히 좁아진다"고 말했다. 

전문가 사이에서도 디지털자료의 증거능력을 폭넓게 인정해야 한다는 주장이 지배적이다. 특히 일정 요건이 충족되면 증거능력이 부여되는 일반 문서와 달리 영상녹화물은 극히 제한적인 범위에서만 활용되고 있다는 지적이다. 

윤지영 한국형사정책연구원 박사는 "피의자를 신문해 진술을 기재한 조사와 해당 진술을 영상녹화한 기록물을 달리 평가하는 것이 적절한지에 대해 의문이 제기된다"며 "과학기술을 활용, 실체적 진실에 접근할 수 있는 영상녹화제도가 마련된 이상 일정 요건 하에 결과물이 법정에서 다퉈질 수 있는 길을 열어주는 게 합리적"이라고 지적했다. 다만 일각에서는 조작 위험성, 유출 가능성 등을 이유로 디지털 자료의 증거능력 인정에 부정적인 입장도 존재한다. 

■국회, 개정 추진..주요 선진국 증거인정 추세

정치권도 공감대를 형성하고 있다. 디지털 자료의 증거능력을 인정하는 판단 기준을 신설하는 내용의 개정안도 발의됐다. 피의자 진술에 더해 디지털포렌식 조사관 등 객관성을 확보한 제3자 진술로도 증거능력을 인정받도록 법에 명시한 것이다. 현재 국회 법제사법위원회에 계류돼 있는 개정안은 내년 초 국회를 통과할 가능성이 높다. 

법사위 관계자는 "국회 일정상 9월 국감시즌이 지나가고 10월 정도에 해당 개정안이 상정돼 본격적으로 법률 심사를 거칠 것으로 보인다"며 "현재 여야가 디지털자료의 증거능력 인정에 공감대를 형성하고 있는 만큼 법안 통과가 긍정적인 상황"이라고 전했다. 

한편 법률 선진국은 일정 요건을 갖춘 경우 디지털 자료에 대한 증거능력을 인정하고 있다. 영국 형사소송법은 증인의 법정 외 진술이 기억이 생생한 때 녹화되고 증인의 녹화 진술 내용이 진실이라고 주장하는 등 일정 요건을 갖출 때 영상녹화물의 증거능력을 인정한다. 미국은 연방차원에서 영상녹화제도에 대한 명문규정이 없지만 연방증거규칙에 기초해 진술서, 조서, 영상녹화물 등을 모두 법정 증거로 포함하고 있다. relee@fnnews.com 이승환 신아람 기자