옆집 똥개는 넘볼 수 없는 이메일(1/2)

"당신의 이메일은 사적이라고 보십니까?" Andy Yen - TED

]Haking Team[이 해킹을 당했다는 소식을 듣고 "잘 됐다! 나쁨놈들" 하고 말았지만, 5***부대의 이름으로 구매한 흔적이 발견된 소식을 접하고, 바로 이 일을 알리는데 동참해야겠다는 생각에 포스팅도 해보고 트윗도 해보고... 이런 것을 두고 우리는 엎질러진 물이라고 한다. 한참 전에 엎질러진 물이다.

사진 출처 : http://tpholic.com

마치 해킹팀의 만행을 알고나 있었던 것일까? 작년 10월 보안 분야의 과학자로 알려진 Andy Yen은 "당신의 메일은 사적인가요? 다시 생각해보세요"하며 TED에서 스피치를 했었고, 올해 들어서면서 100% 무료인 ProtonMail을 창업하게 된다. (한국어 서브타이틀이 지원되는 TED 영상 보기)

한국어 스크립트가 지원되는 영상 보기 > http://go.ted.com/bRhW

Andy Yen이 만들어 낸 이메일 서비스는 어떤 것일지 먼저 제품에 대한 평을 찾아보았다. 출시하지도 않은 제품에 평을 찾는 것은 쉽지 않았지만 alternativeTo.net에서 별 5개의 평을 발견했다. 헌데 내용은 아이러니하게도 "불평"이었다.

"내가 사용해본 이메일 중에 제일 불편하고, 메일 클라이언트와 연동이라는 것 자체가 없다. 두 번이나 로그인하는 것이 너무 불편하다. 그래서 난 ProtonMail을 사용한다." - alternativeTo.net

IT에 몸담아와 온 입장에서 "불편"이라는 단어는 "내가 해야 할 업무 대상"으로 여겨온 나에게 보안이란 단어와 보안팀과의 갈등은 정말 피곤함 자체였던 같다. 심지어 우리는 "이미 다 털린 주민번호"가 또 털린다고 머 그리 대단하냐고. 하지만, 내가 털리는 것이 아니고 '남이 털려 내가 털리거나' 또는 '내가 털림으로 인해 남이 털리면'... 이 것은 다른 차원의 이야기가 되는 것은 잘 알 것이다. 그리고, 그러지 않도록 조심하라는 법이라고 하기에는 좀 심하게 '무책임'한 보안 관련 법규를 가지고 있는 상황까지 우리 사회와 근무환경은 변해 왔다.

내가 보는 관련 법규의 무책임 함이란, 보안의 방식을 "DB를 OO방식으로 암호화해라" 한정하는 것은 극단적으로는 보안이 뚫려도 암호화만 되면 되지 않느냐라는 규제 밖에 되지 않는다. 기술은 방어하는 자만이 가지고 있는 것이 아니기 때문이다.

국내 규정의 전 세계에서 아주 드물게 이러한 DB 암호화를 직접적으로 규정하고 있고, 해외 모 DB암호화 업체는 아태지역 본부를 일본에 두려다가 이 법규가 생기자마자 바론 일본을 내팽겨치고 한국에 본부를 세우게 되었다. 당시 영업담당 VP와 식사를 하며 "This is GREAT opportunities for us. You won't see such regulations in other countries!" 내가 받은 느낌은, "너희는 엄청나게 꼴통이다. 우린 그게 너무 좋아!"로 들렸다.

사실상 가장 최선의 보안은 '예민한 정보를 가지고 있지 않는 것'이 답이다. 2000년대 온라인 사업의 물릴 듯이 쏟아져 나올 당시에 사원이었던 나는 "팀장님, 고객과의 주 소통 수단은 이메일인데, 이렇게 많은 정보를 받아야 하죠?"... "야! 네가 부사장님한테 가서 직접 물어봐 인마!"... 당시 깊은 생각을 요구하는 사람은 없었다. 그러다 보니 나도 어느새 아무 생각 없이 내 정보를 줄줄 흘리고 다니게 되었다. 대부분의 우리는 줄줄 흘리고 여기까지 왔다.

(다시 보안 메일의 주제로 돌아와) 어찌 되었건 간에 근무환경에서 제공되는 이메일은 누군가 같은 조직에 있는 "보안"이라는 모자를 쓰고 있는 사람이 검토하고 최적의 서비스 또는 솔루션이라고 판단을 하고 제공된 것이라고 하자. 그럼 우리가 개인적으로 써야 하는 아니면 회사가 아닌 자영업을 하는 이들에게는 선택의 폭이란, Naver, Gmail, Hotmail, Daum 등 그다지 큰 폭으로 존재하는 것은 아니다. 특히 모바일과 소셜 로그인이라는 세대에 접어들고서는 더욱 새로운 메일 서비스를 접하는 것은 쉬운 일이 아니다.

그나마, Gmail과 Microsft 메일은 모두 two factor와 통합 ID 관리 등 갈수록 피곤하고 힘들게 만들어가는 시점에 아직도 "네이버의 해외 IP 차단 로그인" 뜨는 것을 비교해보면 네이버는 '유치 찬란한 쓰레기통'이라는 생각 밖에 안 들고 그저 스팸메일이나 처박아 놓기에 안성 맞춤이라는 생각 밖에 안 든다.

해외에서 로그인 하는 것이 마치 위험한 것으로 오해을 갖게하는 유치한 서비스

그럼 Andy Yen이 말하는 Private Mail 서비스는 ProtonMail이라는 서비스를 통해 2중 인증을 거쳐 이메일 서비스를 사용하게 만들어져 있다. 그리고, 회사가 스위스에 서버를 위치하면서 적용되는 것 중의 하나가 스위스의 강력한 Privacy Law에 적용된다는 사실 외에 제시되는 나머지 5가지 특징들은;

1. Secure Email Server: 서버 및 관련 장비는 Swiss granite 산 속의 데이터센터에 위치

2. Zero Access Provider: End-to-End 암호화로 서비스제공자도 이메일에 접근 불가

3. Stay Anonymous: 개인정보는 요구하지도 않고 IP 주소와 비동기화하여 익명유지

4. 100% Free service: 숨겨진 비용 청구 사항은 전혀 없고 무료 서비스 제공을 확고히 지킴

5. Easy to Use: 웹브라우저만 있다면 모두 사용할 수 있음

6. Modern Email Design: 생산성을 떨어뜨리지 않아도 디테일 한 부분에도 최적화 함

6가지 주요 피쳐

아래의 그림의 환경설정 화면에서 보듯이 비밀번호를 두 번 설정하도록 되어 있는 것이 가장 큰 차이라 할 수 있다. 두 번째는 로그인 패스워드가 아닌 메일함(Mailbox) 패스워드 설정으로 된 것을 볼 수 있다.

환경설정 화면

현재는 베타 서비스 중임에도 신청자가 폭주하여 베타 서비스를 체험하는 것 조차도 줄을 서야 하는 상황이다. 그래도 나의 대표 ID (john.ue)를 사수하는 차원에서 신청을 했고 Donation을 받고 있는 ProtonMail에 "나는 재능기부를 하고 싶다"고 전달했다. 몇 푼 기여하느니 이런 프로젝트에 참여하여 '한글화 번역'이 필요하게 될 때 기여할 수 있는 기회를 얻고 싶다고...

언제 차례가 올지 모르지만, 혹시라도 ProtonMail 베타 서비스를 신청하고자 한다면 Sign up을 통해 가능하다. [이하 10월 9일 수정] 계정이 오픈되었다는 결과를 받고난 현재는 기존 사용자의 초대를 기반으로 신청을 받아 주는 형태로 바뀌었다.

두어달이 지난 후에 계정 생성 통보 후 첫 로그인의 느낌과 개인정보가 담긴 메일에 사용기를 속편 포스트 확인 할 수 있다. "옆집 똥개는 넘볼 수 없는 이메일(2/2)"

.

.

.

.

.

(어수중)