이메일 암호화 기법 #21

제8장 어떠한 방법으로 이메일을 안전하게 보호할 수 있는가?

웹 메일서비스 사업자들이 보안을 강구해 주는 것 아닌가요?

     

웹 메일 서비스 사업자들이 웹 메일을 암호화하려는 시도는 구글이 다년간 추진한 바 있다.그런데 구글이 2014년 크롬 브라우저용 메일 암호화 솔루션 ‘엔드 투 엔드(End-To-End)’의 소스코드를 공개했다. 

‘엔드 투 엔드’는 크롬 브라우저의 확장 기능으로, 웹 메일 사용시암호화를 보다 쉽게 할 수 있도록 기획한 것이다. 구글의 ‘엔드 투 엔드’ 보안 솔루션은 크롬 브라우저에 플러그 인 형태로 설치되며 암호화된 송신 메일은 수신자가 암호를 풀어야만 해독 가능하다. 이메일 송신 과정에서 중간에 메시지를 탈취해 확인 하는 게 불가능하다. 

암호화 기법으로는 오픈소스인 ‘오픈 PGP’가 적용됐다. 이 암호화 솔루션을 활용해 웹 메일을 보내면 미 NSA(국가안보국) 등 정부 기관이나 해커들이 웹 메일을 검열하거나 탈취하는 것이 힘들어진다. 

구글은 2014년 엔드 투 엔드의 공식 버전을 발표하지는 않았다. 다만 소스코드를 먼저 공개하고 외부 개발자들이 그 버그를 찾도록 했다. 버그를 찾으면 구글 보상프로그램에 따라 금전적 보상이 이뤄진다. 

구글은 엔드 투 엔드의 보안성이 최종 확인되면 ‘크롬 브라우저 웹 스토어’를 통해 사용자들이 무료로 내려 받아 사용할 수 있도록 할 계획이었다. 하지만 현재까지 구글이 이것을 개발 완료하였다는 뉴스나 정식서비스 계획은 발표되지 않고 있다. 물론 이것이 기술적인 한계인지 아니면 구글의 개인정보 수집의 흑심에 의한 마케팅 상의 치밀하게 의도된 전략인지는 분명치 않다.

필자들이 조사한 바로는 현재 웹 메일시스템에 직접 Open PGP를 적용한 제품은 메일벨로프(Mailvelope) 라는 크롬과 파이어폭스에서 사용할 수 있는 웹 메일 암호화 솔루션이 유일하다. 하지만 사용방법이 너무 복잡하고 불편하여 대중적인 사용이 어렵다. 

독자적인 메일솔루션-즉 아웃룩이나 썬더버드와 같은 메일 클라이언트와 같은 -메일시스템은 암호화가 가능하지만 웹 메일 서비스는 직접 암호화 할 수 있는 솔루션이 별로 없다는 것이다. 

따라서 웹 메일 서비스 사이트에서는 암호화를 효율적으로 지원할 방법이 마땅치 않다. 구글뿐 아니라 다른 웹 메일 서비스 사업자도 이런 암호화를 지원할 계획은 당분간 없는 것 같다.