brunch

You can make anything
by writing

C.S.Lewis

by 즐KIN창 심재석 Nov 02. 2018

이메일 암호화기법 #01

                   이메일 암호화 기법





                       목      차

     

프롤로그


1부 개인정보 보안이란?

     

1장 개인정보 보안의 개요

 개인정보란 무엇인가?

 우리가 할 수 있는 개인정보 보호 대책은?

 개인정보 감독기관의 개인정보 보호 실태는?

 해커는 항상 보안이 허술한 개인과 중소기업을 노린다.

 개인정보 보안 10계명을 생활수칙으로 정하라

2장 해킹과 암호화에 대한 이해 

 해킹이란 무엇인가?

 암호화는 어떻게 하는 것인가?

 보안에서 암호화는 만능인가?

3장 해킹 침해는 어떻게 일어나는 것인가?

 기본을 무시한 당신, 해킹 당해도 싸다!

 악성 코드는 어떻게 설치되는가?

 결국은 아이디, 패스워드 유출이 가장 큰 문제다. 

4장 악성코드 설치를 막을 뾰족한 수법?

 인터넷 검색이나 서핑을 통한 다운로드 설치를 막는 법

 이메일, 메신저 첨부파일에 숨겨서 설치하는 것을 막는 법

 네트워크 해킹을 통한 내 컴퓨터 잠입 설치를 막는 법

 악성코드 설치를 막는, 좀 귀찮지만 제법 효과적인 방법

 악성코드를 탐지해주는 바이러스 토탈(Virus Total)

5장  정보의 파수꾼해킹방지솔루션에는 어떤 것들이 있나? 

 보호해야 할 것이 너무 많아서 머리가 아프다?

 대표적인 보안솔루션의 개요만 파악하자.

 무엇보다 먼저, 확실한 내 것을 보호하자!

6장 스캠과 스피어 피싱이란 무엇인가?

 스캐머(scammer)를 아시나요? 

 이제 스캠(scam)이 무엇을 말하는지 아시겠지요?

 스피어 피싱(spear phishing)이란? 

7장 이메일 해킹 피해사건 사례

 대기업도 사기 이메일에 속아 240억을 날렸다. 

 스파이는 당신의 개인 이메일을 노린다.

 중소기업이나 개인들은 저항할 힘이 없다.

8장 어떠한 방법으로 이메일을 안전하게 보호할 수 있는가?

 웹 메일서비스 사업자들이 보안을 강구해 주는 것 아닌가요?

 소셜 네트워크 시대 인간의 데이터 - 그들은 오히려 훔쳐간다.

9장  비용이 들지 않는 이메일 암호화 방법은 무엇인가?

 무료 공개 소프트웨어를 활용하자

 우리가 전파하는 무료 이메일 암호화 방법은?

10장 이메일을 암호화 하는 것이 바로 보안의 시작이다.

 구글은 억지 주장을 일삼고 있다.

 암호화하고, 디지털 흔적을 가능한 적게 남겨라!




2부 궁극적인 보안조치 암호화


1장 Gpg4win - 평범한 사람들의 암호프로그램

2장 이메일은 왜 암호화해야 하는가?

3장 Gpg4win 의 작동원리는 무엇인가?

4장 암호 문구란?

5장 Open PGP 와 S/MIME의 특징은 무엇인가?

6장 Gpg 4win 프로그램의 설치방법

7장 인증서 만들기

8장 공개인증서 배포는 어떻게 하는가?

9장 Open PGP를 이용한 이메일 복호화 방법

10장 공개인증서 반입하기

11장 인증서 검사

12장 이메일 암호화 방법은?

13장 이메일 서명은 어떻게 하는가?

14장 이메일 암호화 저장은 어떻게 할까?

15장 인증서 관련 상세내용

16장 인증서 서버

17장 첨부파일 암호화는 어떻게 하는가?

18장 파일 서명 암호화

19장 비공개 인증서 반출과 반입하는 요령

20장 시스템 설정과 S/MIME 사전작업 요령

21장 문제별 해결방안을 알아보자




3부 이메일 클라이언트(썬더버드)와 에니그메일

     

1장 썬더버드 설치하기

2장 에니그메일 설치하기

3장 공개인증서 교환하기

4장 암호 이메일 보내고 받기

5장 암호 이메일 서명하기

6장 썬더버드에 내 Gmail 메일 계정 추가 사용하기

     

에필로그




프롤로그


지금 우리는 소셜 네트워크 혁명의 시대, 네트워크로 모든 것이 연결되는 연결과 공유의 시대를 살고 있다. 사람들의 손에는 스마트 폰이라는 컴퓨터, 사물과 사물 역시 사물인터넷으로 연결되어 이제 만물이 지능과 영혼을 갖는 IoT시대의 중심에 우뚝 서 있다. 하지만 이렇게 모든 것들이 연결되면 연결될수록 걱정스런 일들도 그만큼 더 많이 생겨나고 있으니, 집착을 끊어야 마음의 평화를 얻을 수 있다는 '고타마 싯다르타'의 가르침이 더욱 생각난다.


사람들의 일상생활에 너무 깊숙이 들어와 버린 컴퓨터, 스마트 폰, IoT 디바이스들로 인하여 우리의 사생활은 물론 생업전선에 까지 너무 많은 침해와 간섭, 제약을 받고 있는 것이 서글픈 우리들의 현실이다. 이런 복잡한 현실에서 벗어나 슬로라이프를 추구하는 사람들도 늘어나고 있긴 하지만, 대다수 사람들은 점점 더 사물에 의해 오히려 구속을 받으며 기계의 노예로 전락하고 있는 듯한 느낌이 드는 것은 지나친 걱정일까?


우리의 일상생활에서 개인용 컴퓨터 없는, 아니면 스마트 폰 없는 현실은 이제 생각할 수도 없을 만큼 갑갑하다. 가족이나 주변 사람들과의 소통뿐만 아니라 생활전선에서의 업무 연락 등 컴퓨터와 네트워크를 통한 연결이 없는 세상은 이제 더 이상 상상할 수도 없는 것이다. 이런 디지털 혁명의 세상에서 정보보안의 중요성은 나날이 증가하고 있으며, 해킹 또는 보안 침해사고도 점점 전문화, 대형화 되어가고 있다.


아무리 온갖 사물이 온라인으로 연결된 연결 세상이라 하더라도, 또 자동차를 공유하고 집을 공유하는 공유의 시대라 하더라도 공유하면 안 되는 것들이 있다. 그건 바로 내 개인에 관한 개인정보나 내 사생활 정보 그리고 내 사업정보들은 다른 사람들과 함께 공유할 수 없는 것이다. 그런데 해커들은 이것들을 끊임없이 노리고 기웃거리며 훔쳐가려는 해킹 행위를 날이 갈수록 더 지능적으로 적극적으로 감행하고 있다.


해킹의 유형을, 침투하여 탈취해 가는 대상시스템으로 구분하면 서버 해킹, DB해킹, PC(단말)해킹으로 분류할 수 있을 것이다. 하지만 이 책은 '나'라는 자연인, 1인 기업가, 솔로프러너, 또는 직장인, 사업가, 공직자들처럼 주로 사람 중심의 사적인 또는 업무적인 정보들을 보호하자는 취지로 집필하는 것이다. 즉 우리가 가장 많이 사용하는 이메일을 안전하게 보호하는 방법을 안내하려는 것이다. 소셜 네트워크 혁명의 시대에 가장 많이 사용하는 커뮤니케이션 수단이 이메일이기 때문에 우리의 이메일을 안전하게 보호하는 것이야말로 보안의 가장 필수적이며 기본적인 요소가 아닐까 생각한 것이다.


보안사고, 해킹사고는 대부분이 기본적인 절차나 과정을 소홀히 하는 데서 발생한다. 여러분의 정보를 훔쳐가는 해커나 범죄자들은 아주 쉽게 뛰어넘을 수 있는 보안장치가 낮은 허술한 곳의 담을 넘는 좀도둑이 대부분이다. 대부분의 해킹이나 정보유출 사고는 슈퍼컴퓨터나 고가의 해킹장비를 보유한 전문해커 집단에 의한 해킹 사고로 문제가 된 것이 아니다. 오히려 우리 주변에서 누구나 쉽게 구할 수 있는 해킹도구로 간단하게 해킹할 수 있고, 보안절차를 제대로 준수하지 않아 보안감시망이 허술한 곳을 노리는 사고가 대부분이다.


개인정보나 주요정보를 암호화하여 보관하는 것은 개인정보보호법에서 의무화한 보안의 기본일 뿐이다. 우리는 개인정보보호법에서 암호화하라고 해서가 아니라, 소통의 기본 이면서 아무런 문제의식, 보안의식 없이 주고받는 이메일을 통해서 오고 가는 주요 정보 들을 암호화하여 주고받자는 것을 주장하는 것이다. 이것이 우리가 주장하는 필수적인 보안의 기본요소다.


많은 사람들이 소를 잃고 나서야 외양간을 고친다. 이메일을 통한 무역대금 송금 사기를 당해보고 나서야 가슴을 치며 후회한다. 인터넷이 대중화된 요즘에는 북한에서 남한에 간첩을 남파시킬 필요 가 없다는 소문이 있다. 왜 그럴까? 주요 공직자, 국회의원이나 그 보좌관, 군 장교, 발전소 등의 국가 기간시설 근무자들의 이메일만 들여다보고 있으면 모든 것을 다 알 수 있다고 한다. 굳이 스파이를 보내서 정보를 수집할 필요가 없이 앉아서 정보를 수집할 수가 있다.


이런 정보유출 및 해킹사고는 대부분이 이메일 아이디나 비밀번호 유출 때문에 일어난다. 좀 더 정확하게 표현 하자면 메일을 제공하는 포털(네이버, 다음, 구글 등)의 아이디, 비밀번호를 잘못 관리 하여 해커들에게 노출시킨 데서 발생한다. 해커들이 여러분들의 웹 메일 아이디나 비밀번호만 알아낸다면, 여러분이 주고받는 모든 이메일 내용을 모두 들여다볼 수 있다. 그리하여 무역대금을 입금해야할 때 은행계좌를 바꿔 대금을 가로채 간다. 또는 국회의원이나 보좌관이 국정감사 자료를 이메일로 주고받았다면 그대로 유출되고 마는 것이다.


구글, 마이크로소프트, 네이버나 다음 등의 포털에서 제공하는 웹 메일서비스는 기술적으로 암호화해서 송수신하는 작업이 매우 어렵다. 적어도 현재까지의 보안기술로는 그렇다. 독자적인 메일시스템을 사용하는 경우에는 암호화가 가능한 이메일 암호화 제품들이 있긴 하지만 고가인데다가 기관별 별도의 메일시스템으로 독립적인 운영을 할 수 밖에 없는 단점이 있다. 구글이  Gmail서비스에 암호화 기능을 제공하기 위해 다년간 연구를 계속해왔다. 하지만 몇 년 전 무슨 이유에서인지 이 암호화 프로젝트를 일반에게 프로그램 소스를 공개하며 대중에게서 그 해법을 찾아보겠다는 시도를 하고 있다.


미국에 메일벨로프(Mailvelope)라는 크롬과 파이어폭스에서 사용할 수 있는 웹 메일 암호화 제품이 있긴 하지만, 너무 복잡하고 불편하여 대중적인 사용이 어렵다. 메일 암호화 ASP서비스를 유료로 제공하는 업체가 있을 수도 있지만 현재 기술로는 암호키를 메일로 주고받는 보안의 기본을 망각한 억지스러운 방법을 사용하거나 독자적인 이메일 보안제품을 고가의 비용으로 구축해 사용해야하는 것이 현실이다.


필자들은 커뮤니케이션 홍수의 시대에 보안의식 없이 무의식적으로 이루어지는 업무나 생활에서 보안을 일상화하고 강화하기 위한 최상의 방편을 안내하려한다. 그것이 바로 우리가 이 책을 집필하는 주된 이유다. 우리는 이 책에서 우리가 별 생각 없이 사용하고 있는 이메일을 암호화할 것을 주장한다. 이것이 보안의 필수, 보안의 기본이라 주장한다. 정부기관이나 대기업 등 예산이 허락하고 보안 메일시스템을 직접 구비할 수 있는 곳은 이 책을 읽어야할 필요가 없을지도 모른다. 하지만 그들도 대부분 개인적으로 웹 메일을 사용하고 있으며, 무의식중에  업무 메일과 혼돈하기도 하고, 의도적으로 개인 웹 메일로 업무연락을 하기도 한다.


우리는 보안의식이 결여되어 무의식적으로 행해지는 사생활이나 업무생활에서 주고받는 이메일을 암호화할 수 있는 방법을 제공할 것이다. 우리는 보안 유출사고를 줄이는 일정 역할을 담당하기 위해, 보안의 기본, 이메일의 관리 및 암호화 방법, 암호화한 이메일의 효율적인 사용법 등을 홍보하고 교육, 계도하려는 것이다. 


필자들은 이메일 암호화 사용방법을 최근 유행하는 오픈소스 프로그램을 이용할 것이다. 최근 공개소프트웨어를 적극 활용하는 추세에 발맞춰 무료로 공개된 소프트웨어 및 암호화 방법론을 사용하여 구축할 수 있게 안내할 것이다. 개인들이나 1인 기업, 소규모 자영업자들이 이용하는 이메일이나, 주요 부처, 주요 시설 근무자들 역시 개인 웹 메일을 사용하다가 정보 유출사고를 당하지 않도록 메일 암호화 사용기법을 전수하려는 것이다. 필자들의 신념은 이메일의 암호화야말로 보안의 기본이며 출발점이라고 생각하기 때문이다.


이 책에서는 해킹 및 보안의 기본개념은 아주 간략하게 그 핵심내용만 요약하여 소개할 것이다. 이 책의 집필 방향은 디지털 보안의 개론서나 소개서가 아니다. 메일 암호화 사용이 필요한 1인 기업, 자영업자, 무역업자, 중소기업 근무자, 주요 부처, 주요 시설 근무자이면서 무의식중에 개인 웹 메일을 사용하고 있는 사람들을 위한 것이다. 또한 기업, 기관의 전산 보안실무자에게 메일시스템의 암호화 구축 작업을 무상으로 직접 추진할 수 있게 안내하려는 것이다.  이 책의 안내에 따라 메일시스템을 구축하고 암호화 작업을 수행하여 사용할 수 있다면, 구글도 주저하는 웹 메일 암호화를 우리는 우리 손으로 직접 암호화하여, 그것도 무료로 사용할 수 있다는 자부심을 가져도 된다.


이 책은 이메일시스템의 암호화 사용에 대한 개념적인 내용을 이해할 수 있게 구성하였다. 이것을 바탕으로 실제로 독자들이 메일 암호화 사용 관련 공개 프로그램을 이용하여 메일 암호화 컴퓨팅 환경을 구축할 수 있도록 실질적인 구축 방법을 제시할 것이다.


메일 암호화의 구성에 가장 핵심적인 요소인 PGP에 대한 일반적인 개념을 알아야 한다. PGP는 'Pretty Good Privacy'의 약자로서, 컴퓨터 파일을 암호화하고 복호화하는 프로그램이다. 그런데 그 개념을 이해하고 사용하는 방법이 제법 까다로운 것이 필자들이 이 책을 쓰게 된 계기라 할 수 있다. 우리는 PGP 중에서도 Open PGP 라는 오픈 소스의 대표적인 암호화 프로그램 Gpg4win의 사용법에 대하여 집중적으로 소개할 것이다.


우선 이메일 암호화의 중요성을 이해하고, PGP의 개념과  Gpg4win의 사용법을 익혀야 한다. 그리고 윈도우 아웃룩 메일이나 모질라 썬더버드(Thunderbird) 같은 메일 클라이언트 프로그램에 Gpg4win을 설정하는 방법을 안내할 것이다. 이렇게 설정된 메일 클라이언트에 여러분들이 사용하는 Gmail, 네이버 메일, 다음 메일 등의 웹 메일을 연계하여 통합 관리하게 되면 완벽한 이메일 암호화 효과를 누릴 수 있다.


사실 이 책을 집필하게 된 가장 직접적인 동기는 뉴스에 나오는 무역대금 송금 사기 사건들을 접하면서부터 시작된 것이다. 이메일 관리를 잘 못해 중소 사업자들이 피 같은 돈을 해커들에게 자발적으로 입금하는 피해사례들이 급증하고 있다고 한다. 그런데 한국무역협회나 경찰청 사이버수사대, 한국인터넷진흥원 등의 관계 기관에서는 별다른 대책 없이 ‘조심하라’ 는 주의와 경고만 남발하고 있었다. 보안 교육을 하는 내용을 살펴보니 이런 피해 사례가 있고 이런 해킹 방법으로 당신들의 돈과 정보를 가로채가고 있으니 ‘조심, 더 조심하라’ 고 하는 것이 교육 내용의 대부분을 차지하고 있었다. 


이런 사고를 어떻게 하면 방지할 수 있는지, 또 돈 안들이고 막을 수 있는 방법은 무엇인지 알려주는 교육은 부족한 것 같았다. 보다 적극적이고 구체적인 방법을 알려주고 교육해야 할 것 같은데, 그 재발방지에 대한 방법론이 없이, 다만 주의를 환기하는 교육은 해법이 아니라고 생각한 것이다. 그래서 우리 필자들이 한 번 해보려는 것이다. 웹 메일 서비스 사업자들이 이메일 암호화 기능을 완벽하게 구현할 때까지 기다릴 수도 없고, 또 고객들이 메시징 보안업체들이 판매하는 별도의 암호화 메일솔루션이나 보안서비스를 도입하라는 것도 답이 아닌 것 같아서 무료 공개소프트웨어를 활용한 이메일 암호화 방법에 대한 안내 서적 집필을 생각을 하게 된 것이다.


이 책에서 안내하는 대로 혼자서 따라해 보면 보안의 간단한 개념과 의미, 암호화와 복호화에 대한 이해, 이메일 암호화 방법, 암호화 프로그램 설정방법, 메일클라이언트에 연동하는 방법을 이해할 수 있다. 그러면 무역 대금 송금 사기사건과 같은 금전적인 손실을 방지할 수 있다. 또 최근 자주 발생하고 있는 정보 유출사고 즉 메일 해킹에 의한 외교, 안보상의 주요 국가기밀, 산업기밀 등의 주요 정보 유출행위가 급격히 감소하게 될 것이다. 중소기업, 중소단체들의 전산, 보안 담당자들이 배워서 직원들의 웹 메일에 암호화 메일클라이언트를 연동, 설정한다면 기업이나 단체들의 중요 기밀 정보도 적극적으로 보호할 수 있다.


이메일 보안에 관심이 있는 개인이나 기업인, 중소 무역업자 외에도 중소기업 전산 및 보안 관리자들에게 실무적으로 참고가 될 내용으로 구성했다. 이 책에 있는 안내대로 따라하면서 실질적인 이메일 암호화 작업을 완벽하게 구축, 사용할 수 있게 되기를 바란다. 또한 이메일 송금사기 방지를 위한 한국무역협회, 중소기업협회, 한국인터넷진흥원, 벤처기업협회 등 주요 협회 및 단체 등의 보안 교육 자료로 활용할 수 있도록 구성했다. 작은 도움이라도 됐으면 좋겠다.


                                                                                                   지은이   심재석 . 이순구  공저 








브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari