절반에 가까운 공공연구기관들이 이메일 암호화 기술을 사용하지 않아 해킹에 무방비인 것으로 드러났다. e메일 보안은 사이버보안에서 가장 기초적인 것임에도 이를 관리하고 정비해야 할 국가정보원(국정원)은 그냥 방치하고 있다. 오늘날 다양한 의사소통 수단이 활용되지만 e메일은 여전히 가장 중요한 업무 도구 가운데 하나다. e메일을 통한 비즈니스 의사소통이 일반화한 미국의 경우 e메일상 합의가 ‘계약서’로서 법적 효력을 갖는다고 인정되기도 한다. 한국에서도 서면으로서 e메일의 효력을 인정하는 판례가 2009년 처음으로 나왔다. 이 때문에 e메일 보안 문제는 사이버보안의 기초라 해도 과언이 아니다. 적절한 암호화 기술을 사용하지 않을 경우 e메일을 통해 오가는 업무상 중요한 내용이 유출되는 것은 물론이고 심지어 가짜 e메일에 낚일 수도 있다.
보내는 사람의 단말기(컴퓨터 또는 스마트폰)에서 받는 사람의 단말기에 이르기까지, e메일은 우리가 쉽게 인지하지 못하는 여러 과정을 거친다. 즉 단말기에서 내가 사용하는 e메일 제공업체의 메일서버를 거친 후 인터넷을 통해 상대방이 사용하는 e메일 제공업체의 메일서버에 들어가고 그렇게 상대방의 단말기까지 전달된다(14쪽 그림 참조). 이 과정에서 누군가가 편지를 가로채는 것도 가능하다. 이것을 보안 용어로 ‘스누핑(snooping)’이라 한다. 교도소에서 편지를 받는 상황을 떠올려보자. 교도관들은 수감자에게 전달되는 편지를 검열하고자 중간에서 열어볼 수 있다. 수많은 컴퓨터 네트워크 집합체인 인터넷의 특성상 중간에서 누군가가 가로채는 것을 완전히 막을 수는 없다. 이 때문에 가로채더라도 내용을 알아볼 수 없게 암호화하는 일이 필요하다.
더 위험한 것은 e메일을 위조해 동료나 지인이 보낸 e메일로 착각하게 만들어 해킹하는 ‘스푸핑(spoofing)’이다. e메일이 개발된 초기에는 보안 문제를 고려할 필요성을 느끼지 못했기에 발신자와 답장수신자 목록을 위조하기가 쉬웠다. 통상적으로 발신자(‘From’)와 답장수신자(‘Reply-to’)는 같다. 내가 보낸 e메일에 대한 답장을 내가 받는 것이 당연하기 때문. 그러나 이를 위조하면 나도 모르는 새 해커에게 자료를 보내는 상황이 발생할 수 있다. 해커가 내게서 특정 프로젝트에 대한 기밀문서를 얻어내고자 하는 상황을 가정해보자. 해커는 팀장의 e메일 주소를 알고 있고, 발신자 정보를 위조해 팀장이 갑작스러운 미팅 때문에 관련 자료를 보내달라고 요청하는 e메일을 내게 보낼 수 있다. 만약 내가 해당 자료를 답장으로 보낼 때 답장이 실제 팀장의 e메일로 가버리면 기밀문서를 절취하려는 해커의 노력은 수포로 돌아간다. 여기서 답장수신자의 주소를 해커가 따로 만들어놓은 e메일 주소로 설정해놓으면 나는 팀장에게 답장을 보냈다고 생각하지만 실제로는 해커에게 보낸 셈이 된다. 또는 애초 팀장이 보낸 것처럼 위조해놓고 첨부파일에 악성코드를 숨길 수도 있다.
국정원도 상용메일 사용
이런 위험 때문에 전송계층보안(Transport Layer Security·TLS)이라 일컫는 암호화 기술이 여기에 사용된다. TLS는 e메일 제공업체들의 서버 사이에서 메시지가 안전하게 오갈 수 있게 한다. 이 기술은 전송되는 데이터가 해커의 공격으로부터 위조, 변조될 위험을 차단하고 공격 시도가 발생할 경우 통신자가 이를 감지할 수 있도록 도와준다. 즉 교도관이 편지를 열어보더라도 알아볼 수 없게 암호화하는 것은 물론이고, 발신자 이름까지 암호화해 쉽게 위조할 수 없게 하면서 교도관이 편지를 뜯었을 때 표시가 나도록 하는 것에 비유할 수 있다.TLS는 이미 네트워크 보안의 표준으로 어느 정도 자리매김했다. 미국 인터넷 기업 구글에 따르면 2016년 현재 전 세계 e메일 계정의 약 75%가 TLS 기술을 사용한 암호화를 지원한다. 그러나 한국의 e메일 보안 수준은 터무니없을 정도로 낮다. 구글이 2015년 11월 발표한 투명성보고서에 따르면 한국의 대중적인 웹메일 서비스 가운데 네이버를 제외하면 TLS를 지원하는 서비스가 없었다. 한국 정부 부처에서 공보 활동에 많이 사용하는 다음 한메일도 예외가 아니었다. 보안 전문가들은 한결같이 우려를 표한다. “연구실에서 실험을 수행해보니 TLS 암호화가 적용되지 않은 e메일이나 메시지 등은 네트워크 공간을 통해 전송될 경우 중간에서 그 내용을 쉽게 알아낼 수 있었다. 심지어 해커가 전송 도중 e메일을 가로채 내용을 수정해 전송하는 것도 가능했다.” 허준범 고려대 컴퓨터학과 교수의 설명이다.
정부는 2008년부터 e메일 주소가 ‘○○○○○@korea.kr’인 공직자 통합메일을 구축해 사용하고 있는데 ‘주간동아’가 확인한 결과 이 통합메일 서비스는 TLS를 지원하는 것으로 확인됐다. 이 서비스는 중앙·지방정부의 공무원들이 사용하고 있다. 반면 직접적으로 정부 소속은 아니나 정부 예산으로 운영되는 공공연구기관(정부출연연구기관)들의 경우 절반가량이 TLS를 지원하지 않았다. 여기에는 국가핵융합연구소, 한국항공우주연구원, 한국원자력연구원과 같이 다루는 분야의 특성상 높은 수준의 사이버보안이 요구되는 연구기관도 있었다.
허준범 교수는 “공공연구기관들의 경우 외부에 노출돼서는 안 되는 중요 연구 내용들을 다루는데 이러한 내용이 TLS 암호화를 거치지 않은 e메일로 오가면 해킹 위협에 그대로 노출된다”고 지적했다. 김윤정 서울여대 정보보호학과 교수 또한 이를 “보안상 심각한 우려의 대상”이라며 “(연구자) 본인이 속한 (연구)기관에서 암호화 기술을 사용하지 않는다면 주요 정보를 e메일로 송수신하는 것은 위험한 일”이라고 말했다.
공무원은 물론 공공연구기관 직원들까지 실제 업무에서는 공직자 통합메일 또는 자체 e메일보다 지메일(구글)이나 네이버 등 상용메일을 사용하는 경우가 많다는 것은 공공연한 사실. 여기에는 여러 이유가 있다. 공직자 통합메일의 경우 공인인증서를 통해 로그인해야 하기 때문에 사용이 불편하다는 공무원들의 호소가 수차례 언론에 보도된 바 있다. 상용메일에 비해 기능이 현저히 뒤떨어진다는 지적도 많다. 위에서 지적한 것처럼 암호화 수준도 떨어지고 사용 가능한 용량도 부족해 상대방이 보낸 e메일이 용량 초과로 반송되는 경우가 다반사다.
그래서 정부 공무원들의 명함을 받아보면 공직자 통합메일 주소와 상용메일 주소가 병기된 경우가 흔하다. 기자는 과거 국정원에 질의서를 보냈다 반송돼 대변인실에서 제시한 상용메일 주소로 질의서를 다시 보낸 경험도 있다.
e메일 보안 개선 없이 무조건 ‘차단’만
하지만 이러한 문제들에도 정부는 오래전부터 상용메일 사용을 금지하는 지침을 내려왔다. 최근 사례는 1월 말 미래창조과학부(미래부)가 배포한 보도자료에서 찾을 수 있다. ‘핵실험 이후 (중략) 최근 해킹메일이 급격하게 증가하고 있어 (중략) 국가·공공기관 근무자들의 상용메일을 차단하고 (중략) 범정부 차원의 총력 대응태세를 강화하고 있다.’
일부 공공연구기관 직원들은 이러한 조치에 반발하고 있다. 국가수리과학연구소 노동조합은 2월 발표한 성명서에서 ‘기관메일 사용에 대해 근본적으로 반대하지 않는다’면서도 ‘기관메일만을 전용으로 사용하도록 강제하는 것은 부작용이 우려되는 무리한 정책이며, 기관메일이 상용메일의 경쟁력을 따라갈 수 없는 상황에서 퇴행적인 조치’라고 비판했다.
이러한 지침을 내린 미래부는 “국정원의 지시사항을 전달한 것일 뿐”이라고 밝혔다. 미래부 해당 담당자는 “공공기관의 보안은 국정원이 담당한다. 미래부도 국정원 국가사이버안전센터에서 내려오는 지시를 산하기관에 전달한다”고 답했다. 주간동아는 국정원 대변인실을 통해 현재 한국 공공연구기관의 e메일 보안 실태에 대해 설명하고 상용메일 사용 금지 지침의 타당성에 대해 문의했으나 “확인 후 답하겠다”는 답변만 돌아왔다.
국정원은 3월 8일 “북한이 우리 정부 외교·안보라인 주요 인사 수십 명의 스마트폰을 해킹, 음성통화 내용과 문자메시지 등을 탈취했다”며 “관계부처들은 (중략) 체계적이고 효율적인 대응을 위해 ‘사이버테러방지법’ 제정이 필요하다는 데 의견을 같이했다”고 밝혔다. 그러나 사이버보안에서 가장 기초적인 e메일 보안에 대한 제고도 없이 국정원의 권한을 확장하는 법안의 통과를 강조하는 모습만 보여서는 국민을 설득하기 어려울 것이다.