국내 포탈 e메일 연내 암호화...

어제 한 기사에서 국내 포탈의 e메일 서비스를 Wi-Fi의 패킷 분석을 통해 스니핑할 수 있다는 이야기가 나왔습니다. 패킷 스니핑을 통한 분석이야 오래된 해킹 기법이지만 이번엔 국내 포털을 대상으로 그것도 공개되어 있는 패킷 스니핑 툴을 사용했다며 '기사화'한 것이 이슈가 되었습니다.

 

네이버,다음,네이트 할 것 없이 모두 가능했죠. 반면 구글 G메일은 암호화되어 있어서 패킷을 스니핑해도 해석할 수 없다는 언급도 있었습니다. 이 보도가 있은 후 오늘 네이버,다음,네이트 등은 연내에 이메일에 대한 암호화 기술을 도입하기로 했다고 합니다.

(관련 기사 : http://news.donga.com/Economy/New/3/01/20120316/44805356/1)

 

 

왜 국내 포털 e메일 서비스는 패킷 스니핑에 대비한 암호화 기술을 도입하지 않았던 걸까요?

현직에 있는 분들은 잘 알겠지만 가장 중요한 이유는 비용 때문입니다. 자체적으로 개발하기 위해 소요되는 비용 문제도 있고, 외부 업체의 솔루션을 구매할 때 소요되는 비용도 만만치 않습니다. 그런데 e메일 서비스는 현재 시점에서 포털의 주요 서비스가 아니라 순수 비용으로 동작하는 서비스입니다. 매출에 기여하는 부분은 적지만 유지 보수에 발생하는 비용은 조금씩 증가합니다. 이런 상황에서 또 다른 거대한 개발 비용을 투자하기에 무리였던거죠. 

그러니 내부의 솔루션 구매 요구는 묵살되고, 개발 순위는 늘 뒤로 밀리기 마련이었을 겁니다. 또 다른 이유는 최근 주목받고 있는 모바일 기가와 연동 문제인데요, 이건 주요한 이슈는 아니겠지만 기존 e메일 서비스에 암호화 기술을 도입하는데 걸림돌이 되었던 것은 분명합니다. 빠르게 모바일과 연계해야 하는데 암호화 기술을 새로 도입하면 개발 항목이 더 늘어나니까요.

비용 문제가 주라고 것은 이런 저런 보안 문제가 나올 때마다 회사는 또한 이런 저런 할 수 없는 이유를 말하는데 그런 이유 중 대부분이 자원 문제입니다. 개발 우선 순위도 그런 것이구요. 결국 그건 '비용'이라는 단순화된 표현으로 말할 수 있죠. SSL을 적용하는 것도 추가 트래픽과 추가 연산이 발생하고 그것은 기업 입장에서는 추가 비용의 발생으로 풀이할 수 있습니다. 기사의 내용은 암호화에 대한 과장과 환상이 분명히 있지만 그렇다고 적용하든 말든 별 관계없다고 말할 수 있는 건 아닙니다. 지금처럼 관련 기관에서 "보안 적용하라"고 말하기 전의 상황이라면 더욱 결정하기 곤란합니다. 

 

이런 이유가 주된 것이라고 알고 있는데 인용한 기사에 따르면 또 다른 이유도 있나 봅니다. 보안 관련 기관에서 e메일을 암호화할 경우 탐지가 어려워지니 하지 말도록 종용했다는 이야기가 나옵니다. 그런데 이게 참 아이러니한 이야기입니다. 국가 보안 관련 기관에서 e메일의 패킷이 암호화되었을 때 그것을 분석하는데 어렵다는 말은 다른 의미로 해커들이 패킷을 스니핑해도 재해석이 어렵다는 것과 같습니다. 보안상 전혀 문제될 것이 없다는 말이죠. 결국 국가 보안 관련 기관이 그런 요청을 했다는 것은 e메일 자체의 보안보다 감시와 감청이 훨씬 중요하다고 스스로 고백하는 것과 같다는 말입니다.

 

 

상식적 수준에서 말씀드린 것이고 좀 더 엄격하게 e메일과 현실의 문제를 이야기하면 국가 기관에서 기업의 e메일을 감시, 감청하는 것을 막을 방법은 없는 것으로 압니다. 보안과 프라이버시 문제를 넘어서 '국가 기관의 소임'을 위해 기술 적용을 하지 못하는 사례가 아주 많다는 겁니다. 대중이 사용하는 서비스 정도가 아니라 국민 거의 대부분이 사용하는 서비스들은 늘 이런 문제를 해결해야 합니다. 국가 기관이 아님에도 국가가 요구하는 혹은 정부가 요구하는 사항을 만족시키며 경제적 이익을 만들어 내야 하는 거죠. 

포털 현업의 관련 부서에 일하는 분들의 생각은 어떤지 모르겠지만 사기업에서 일하며 공공재를 다루는 느낌은 꽤 특이할 것 같습니다. 윗선은 투입 자원 대비 능률과 효과를 이야기하는데 또 다른 곳에서는 국가의 안위를 이야기하고 현실에서는 듣보잡 해커들과 크래커들이 마구잡이로 덤벼들고 있으니까요.