구글의 벼르고 벼르던 이메일 보안 강화 전략

입력 : 2015-11-17 12:05

사용자를 설득할 수 없으면 도입해도 무의미
‘위험하지 않음’이라는 판정받은 <보안뉴스>

[보안뉴스 주소형] 구글이 이메일 보안 강화를 위한 전략 보고서를 발표했다. 해당 보고서의 골자는 암호화되지 않은 경로를 거쳐 전송되는 이메일에 대한 검증 단계를 보다 철저히 하겠다는 것이다. 사용자에게 직접 인증할 수 있는 기회를 제공하는 등 종전대비 기술적인 면을 보완해 보안성 개선을 꾀하고 있는 모습이다. 해당 전략이 아직 완벽하게 완료된 상태는 아니지만 빠른 시일 내에 이를 적용하겠다고 구글은 밝혔다.

뿐만 아니라 최근 구글은 매년 2회 발간하는 투명성보고서(Transparency Report)에 웹사이트의 안전도를 측정하는 기능을 추가하는 등 다양한 방법으로 사용자 단에서 스스로 보안을 인식하도록 유도하고 있다. 해당 기능은 여기를 누르면 연결된다.


구글은 이번 보고서가 하루아침에 결정하여 만들어진 것이 아니라고 설명했다. 이미 수년전부터 이를 위해 미국의 미시건대학교(University of Michigan) 및 일리노이 대학교(University of Illinois) 어바나 샴페인(Urbana Champaign) 캠퍼스의 연구원들과 함께 이메일 보안성을 향상시키기 위해 공조해왔다고 덧붙였다.

관련 연구의 경우 글로벌 인터넷사이트별 트래픽 조사기관인 알렉사(Alexa) 기준 SMTP(Simple Mail Transfer Protocol) 서버를 사용하고 있는 상위 백만여개의 도메인과 한 해 동안 지메일 계정을 통해 다뤄진 최악의 SMTP 데이터를 대상으로 진행됐다. 여기서 SMTP는 인터넷 상에서 전자 메일을 전송할 때 이용하는 표준 프로토콜이다.

보고서에 따르면 최근 2년간 전 세계 최대 이메일 서버 보유기업인 구글, 야후, 마이크로소프트가 암호화와 인증 기준을 도입하면서 전체 이메일 보안 수준이 상당히 높아졌다.

하지만 모든 기업과 조직이 이메일 서버에 공통적으로 SMTP를 적용한 것이 아니다. 때문에 이를 적용하지 하지 않고 전송 계층 보안인 TLS(Transport Layer Security)나 다른 보안 매커니즘을 사용하는 기업들과 호환되지 않아 오히려 유출사고를 유발하기도 했다.

연구원들이 2013년 12월부터 2015년 10월 사이에 지메일을 통해 들어오는 메시지를 바탕으로 조사한 결과, TLS로 인해 보안되는 이메일 비중이 33%에서 61%로 높아졌다. 뿐만 아니라 동기간 암호화된 TLS 메시지가 지메일 계정에서 다른 이메일 계정으로 전송되는 비율도 60%에서 80%로 부쩍 많아졌다. 최근 2년 사이 암호화된 이메일을 서포트하는 도메인이 상당히 늘어난 것으로 풀이된다.

하지만 이 같은 수치를 보고 만족하기는 이르다. 높은 TLS 도입률에 비해 실질적인 사용률은 높지 않은 것으로 나타났기 때문이다. ‘환경설정’이라는 벽에 부딪힌 것. 인증을 요구하는 것에 귀찮은 사용자들이 이를 비활성화 하여 정작 적용되는 비율은 낮은 상황. 알렉사 기준 SMTP 서버를 사용하고 있는 상위 백만개의 도메인에서 TLS를 적용하고 있는 82% 도메인 가운데 35%만이 서버 인증을 허용하고 있는 것으로 집계됐다. 특히 상위 3위 안에 드는 SMTP 플랫폼 두 곳이 TLS를 디폴트화 해놓지 않아 실제 사용률은 낮다.

이메일 전송 뿐 아니라 발송 인증 역시 상황은 비슷했다. 예를 들어 구글은 DKIM(DomainKeys Identified Mail)과 SPF(Sender Policy Framework)와 같은 매커니즘을 동시에 사용하고 있는 가운데 알렉사 기준 구글처럼 이를 수용할 수 있는 능력을 가진 기업은 47% 수준으로 나타났다. 또한 발송자를 위한 도메인 기반의 이메일 인증방식인 DMARC(Domain-based Message Authentication, Reporting and Conformance)를 사용하고 있는 기업은 1%에 불과했다.

보고서는 보안을 위한 패치작업이 공격자에게 오히려 이메일을 가로채거나 공격할 수 있는 빌미를 제공해주고 있다는 점도 밝혔다.

구글의 범죄대응팀(Anti Fraud and Abuse Team) 연구원이자 지메일 보안엔지니어링 책임자인 니콜라스 리드보르스키(Nicolas Lidzborski)는 전체 이메일 시장에서 이메일 보안 표준과 일관성 없는 애플리케이션을 분석한 결과를 블로그에 포스팅 했다. 해당 포스팅은 여기를 누르면 연결된다.

“먼저 SSL에 변조를 통해 암호화된 메시지를 방어해야 하는 부분을 발견했다. 이 같은 위협은 TLS를 사용하면 낮출 수 있을 것으로 보인다. 또한 악성 DNS 서버가 그대로 노출되어 있는 서버들도 찾아냈는데 이들은 전화전호부에 잘못 기재된 번호로 고의적으로 잘못된 곳에 전화를 걸도록 유도하는 것과 비슷한 방식의 역할을 하고 있다.”

구글은 이렇게 암호화되지 않은 채로 지메일이 전송되는 경우, 당사자에게 직접 알려 발생할 수 있는 리스크는 낮추겠다는 계획이다. 이를 통해 지메일의 전반적인 보안성이 한층 높아질 것으로 기대하고 있다.


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

주소형기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  OT 겨냥한 사이버 사고가 겨우 19% 늘어...

• 2

  [글로벌 인터뷰] 센티넬원 Wayne Phi...

• 3

  로그프레소 “보안 솔루션 탐지 우회 공격 주...

• 4

  오토데스크드라이브 악용하고 있는 피싱 공격자...

• 5

  FBI, 무허가 암호화폐 거래소 이용 자제 ...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 1

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...