Home > 전체기사
말 많고 탈 많은 이메일, 새 보안 표준들 나오고 있다
  |  입력 : 2020-01-09 18:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이메일, 어쩌면 인류 역사 상 가장 보편적인 통신 수단...하지만 오래된 기술
이메일 보안의 핵심은 보낸 사람의 신원 확인이 어렵다는 것...해결책 등장하기도


[보안뉴스 문가용 기자] 이메일은 인류가 발명한 각종 통신 수단 중 가장 보편화에 성공한 것이라고 평가할 수 있다. 하루에도 3천억 통이 넘는 이메일이 생성되고 전송되니까 말이다. 게다가 발명된 지 꽤나 오랜 시간이 지났음에도 아직까지 사용자가 연간 3% 수준으로 증가하고 있다. 2020년 현재 40억 개의 ‘활성화된’ 이메일 계정이 존재하는 것으로 알려져 있다.

[이미지 = iclickart]


하지만 안타깝게도 이메일은 오늘 날의 사이버 보안 공격에 속수무책으로 당하고 있다. 그도 그럴 것이 약 40년 전에 만들어진 기술로서, 당시에는 오늘 날과 같은 사이버 위협들이 존재하지 않았었다. 그럼에도 수십 년 간의 노력으로 스팸 메일은 어느 정도 성과 있게 잡아내기에 이르렀다. 이제는 이메일로 퍼지는 각종 멀웨어 공격에 대항해야 할 때다. 실제 사이버 공격의 90%가 이메일을 통해 이뤄진다.

그래서 이메일에 도입될 보안 표준들이 계속해서 나타나고 있다. 이메일 보안의 가장 큰 문제로 꼽히는 건 ‘보내는 사람의 신원을 제대로 확인하기 어렵다’는 것이다. 그래서 가짜 이메일이 그렇게나 많이 전송될 수 있는 건데, 이메일 보안 표준도 이 부분에서 연구가 많이 이뤄지고 있다. 대표적인 게 ‘디마키’라고 발음되는 DMARC다. 그 외에도 새로운 표준들이 속속 등장하고 있어 이 자리에서 소개해본다.

디마키 2.0(DMARC 2.0)
디마키는 아직 공식 이메일 표준은 아니다. 하지만 공식 표준에 가장 근접한 것이기도 하다. 도메인 소유자들이 자신에게 이메일을 전송해도 되는 도메인을 고르고 제어할 수 있게 해주는 프레임워크로, 현재 전 세계 ‘받은 편지함’ 80%에 이미 도입되어 있다. 또한 지금도 빠른 속도로 도입률이 높아지고 있다. IETF는 디마키를 표준으로 만들기 위해 작업 중이다. 2.0 버전이 나온다는 소식이 있는데, 아직 세부 내용은 공개되지 않고 있다. 많은 전문가들이 ‘디마키가 이메일 표준으로 자리 잡는 건 시간 문제일 뿐’이라고 보고 있다.

비미(BIMI)
브랜드 소유자들이, 자신들이 보내는 인증된 이메일 메시지에 곁들일 수 있는 이미지들을 지정하도록 해주는 프레임워크다. ‘인증된’ 이메일이라 함은, 디마키를 통해 인증 과정을 통과한 이메일을 말한다. 인증 과정을 통과해야만 비미를 통해 지정된 이미지(주로 로고)가 노출될 수 있다. 버라이즌 미디어(Verizon Media)는 이미 야후 메일과 함께 시험 프로젝트를 진행 중에 있으며, 구글도 올해 안에 파일럿 프로젝트를 시작할 예정이다.

이메일을 위한 AMP(AMP for Email)
AMP는 웹 페이지 로딩에 걸리는 시간을 단축시켜주는 프레임워크다. 이것을 이메일에 적용하는 이유는 무엇일까? 웹 페이지를 편지함 내에서 빠르게 로딩하기 위함이다. 그러므로 사용자가 본문의 링크를 클릭했을 때 외부 웹 페이지로 연결될 필요가 없다. 보안 위험성도 크게 줄여주겠지만, 다양한 이메일 기반 애플리케이션이 이 프레임워크로 인해 탄생할 것도 기대되고 있다.

이메일을 위한 스키마(Schema.org for Email)
Schema.org는 탈중앙화 된 협업 프로젝트로, 특정 인물, 장소, 사업체 목록, 스케줄표, 오디오와 비디오 객체, 도서, 레시피 등과 같은 다양한 유형의 구조화 데이터를 위한 ‘스키마’를 생성한다. 즉 가벼운 ‘메타데이터 프레임워크’의 일종이라고 볼 수 있는데, 많은 애플리케이션들이 사용할 수 있는 공통의 기준치로서 활용된다. Schema.org가 이메일과 결합되면? 통합이 쉬워진다. 예를 들어 온라인 쇼핑몰에서부터 구매 확인 증서를 이메일로 받는다고 했을 때, 스키마 프레임워크에 데이터 포맷을 맞춘다면 배송 과정에 대한 정보를 동적으로 업데이트 할 수 있게 된다. 따라서 영수증이나 인보이스 따위를 테마로 한 피싱 메일을 구별하는 게 한결 쉬워진다.

스타틀즈(STARTTLS)와 MTA-STS
스타틀즈는 이메일 보안 프로토콜의 일종으로, 이메일 클라이언트와 서버가 암호화 된 형태로 데이터를 주고받을 수 있게 해준다. 주로 TLS와 SSL이 활용된다. MTA-STS는 스타틀즈를 한 단계 더 발전시킨 프로토콜로, 메일 서버들끼리 연결될 때 인증과 암호화가 반드시 필요하도록 만든다. 그러므로 암호화 되지 않은 데이터가 교환되는 것을 막고, 중간자 공격을 실행하는 게 어려워진다. 디마키와 결합되었을 때, 이메일 보안은 더없이 강력해질 것으로 기대된다.

이 표준들(물론 아직 비공식적인 표준이긴 하지만)이 보다 널리 사용되면 될수록 이메일은 보다 안전하고 역동적인 통신 수단으로 변모할 것이다. 이미 지구 인구의 절반이 이메일을 주요 통신 수단으로 사용하고 있으니, 지금의 이메일이 불안전하다고 해서 간단히 버릴 수만은 없을 것이다. 그렇다면 고쳐 쓰는 게 정답이다.

물론 쉽지 않은 여정이 될 것으로 예상된다. 표준 도입이라는 게 꽤나 복잡하고 지난한 결정 과정을 통과해야 하고, 반드시 성공한다고 보장할 수도 없다. 아마 많은 이들의 추가적인 노력이 이어져야만 겨우 몇 가지 표준이 서서히 도입되기 시작할 것이다. 그래도 일단 길은 닦인 상태라 다행이다. 아예 맨 땅에 헤딩할 필요는 없을 테니 말이다.

글 : 세스 블랭크(Seth Blank), Valimail
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)