이메일의 대체재 많으나 이메일의 장점 고스란히 계승 못해

DMARC의 도입 이뤄지면 많은 문제를 해결할 수 있어

[보안뉴스] 이메일은 거의 세계 공통의 통신수단이 된지 오래나, 그만큼 오염된 지도 꽤나 오래 되었다. 그래서 이제 아무도 신뢰하지 않는 매체로 남아있다. 대신 사람들은 소셜 미디어나 모바일로 옮겨 ‘신뢰할만한’ 대화를 하기 시작했다. 최근 타워즈 왓슨(Towers Watson)에서 실시한 조사에 의하면 직장인의 56%가 소셜미디어를 직장 내 커뮤니케이션의 일부로 활용하고 있다고 한다. 통신 방법과 매체가 바뀌면서 리스크와 프라이버시에 대한 문제가 새롭게 부각되고 있다.

여기까지는 누구나가 알고 있는 상식선의 현상이다. 그러나 이메일은 아직 죽지 않았다. 이메일은 세계 경제의 숨은 영웅이며 아마 꽤나 오랫동안 우리 곁을 든든히 호위해 줄 노마(老馬)일 것이다. 페이스북, 스냅챗, 왓츠앱 등 이메일의 대체제로 언급되는 주자들이 많이 있지만 개인적인 B2C 커뮤니케이션을 이메일 만큼 잘 수행하지는 못하고 있다. 또한 아주 민감할 수 있는 P2P 메시지와 대단위의 B2B 커뮤니케이션도 아직은 이메일이 더 안전하다. 이메일은 아직 유효하다.

이메일이 아직 쓸모 있다는 예로 이메일 인증 수단이 있다. TLS, PGP, S/MIME처럼 암호화된 이메일 전송을 원활하게 만들기 위해서 개발된 기술들도 많다. 이메일 인증 수단이 쓸모 없었다면 이런 기술들이 개발됐을 리도 없다. 이런 1:1 이메일 인증 수단의 가장 큰 약점은 기술적인 지식이 전혀 없는 개인에게는 굉장히 어렵게 느껴진다는 것이다. 보안이나 IT 지식이 전혀 없는 사람에게 x.509 인증서 만료가 무슨 뜻인지, 그리고 그걸 재발급받기 위해서는 뭘 해야 하는지 쉽게 설명하는 게 간단한 일일까? 결국 사용자가 좀 더 편하게 사용할 수 있는 방법이 개발될지는 몰라도 이메일 자체의 종말을 이야기하기에는 아직 시기상조라는 것이다.

DMARC?

DMARC란 도메인 기반 메시지 인증, 보고, 준수(Domain-based Message Authentication, Reporting & Conformance)라는 뜻으로 최근 떠오르고 있는 이메일 전송 표준이다. 아직 완전히 모양을 갖추고 있지 않은 상태이지만 그 잠재력을 인정하고 있는 것인지 구글, 야후 등 이미 세계 여러 이메일 시스템에서 이 표준을 호환한다. DMARC는 DKIM(Domain Keys Identified Mail)과 SPF(Sender Policy Framework)라는 또 다른 표준과 밀접한 연관이 있으며 이메일 발송자가 이메일에 서명을 추가하고 도메인마다 인증된 메일 서버를 정할 수 있도록 해준다.

DMARC가 있으면 이메일을 전송하는 사람은 받는 사람에게 어떤 식으로 메일 인증을 할 수 있는지 지정해줄 수 있으며 인증 받지 못한 메일에 대해서는 어떤 식으로 조치를 취해야 하는지도 알려준다. 이 모든 과정은 투명하며 전송자나 수신자나 모두 가감 없이 과정을 밟아나갈 수 있다. 이는 쉽게 말해 전송자와 수신자 사이의 DKIM과 SPF가 DMARC라는 정책을 두고 서로 볼 수 있게끔 악수를 하는 것과 같다. 이메일 수신자가 DKIM 및 SPF에 실패하면 DMARC가 그 다음에는 뭘 해야 할 지 전송자에게 묻는다. 옵션은 세 가지로 아무 것도 하지 않는다, 격리시킨다, 버린다, 가 있다.

세상에 장점만 있는 건 없지

그렇다면 얼른 DMARC를 도입하면 될 것을 뭘 망설이는가, 라고 물을 수 있다. 세상 모든 일이 그렇듯 여기에는 단점 역시 존재한다. DMARC는 도메인과 인증된 이메일 서버의 수가 적을 때에 도입이 원활해진다. 도메인과 이메일 서버 숫자가 늘어나면 늘어날수록 문제는 한없이 복잡해진다. 요즘처럼 자사의 네트워크뿐 아니라 서드파티, 컨설팅 업체, 변호 및 세금 관련 협력업체도 긴밀히 연결되어 있는 때에 DMARC의 효용성에는 물음표가 생길 수밖에 없는 것이다.

하지만 그런 어려움에도 DMARC를 완전히 도입만 한다면 도메인 소유자가 자신의 도메인을 보호할 수는 있게 해주나 다른 사람에게는 그런 권한을 주지 않을 수 있게 된다. 그래서 합법적인 도메인의 이메일 스푸핑이 크게 줄어들 것으로 보인다. 그렇다면 기업 내 정보를 탈취해 마치 기업의 직원인 것처럼 은행에서 돈을 인출하거나 기업 비밀을 열람하던 해커들은 새로운 도메인을 등록한다든지 하는 소셜 엔지니어링 기술을 더 많이 응용할 것이다. 다행히도 이런 식의 불순한 도메인 등록 행위는 적발이 더 쉽다.

새로운 기술에 새로운 공격방법으로 맞대응 하는 해커들이 있는데 DMARC도 이전 신기술들이 그러했듯 태생적으로 시한부일수밖에 없지 않은가 하는 의문이 들 수 있는 대목이다. 그러나 DMARC에게는 DMARC만의 장점이 있다. DMARC가 전세계적으로 공인되어서 모든 메일 시스템에 전부 적용이 된다면 인터넷의 시초부터 존재해왔던 근본적인 기술 오류 ? 누구나 이메일 계정을 몇 개씩이나 만들 수 있다 - 를 수정하는 게 가능해진다는 것이다.

근본을 만질 수 있는 기회는 좀처럼 발생하지 않는다. 정보 보안, 온라인상의 신뢰, 사기 퇴치 등은 각기 다른 문제이지만 결국 연결되어 있기도 하며, 최종 목표지까지 조금씩 전진해나가는 전략을 써야 할 문제다. 한 번에 모든 것을 이룰 수는 없는 성질의 문제라는 것이다. 우리의 문제는 가볍게 하면서 해커들의 문제는 복잡하게 할 수만 있다면 그 정도가 얼마큼이든 국지전의 승리를 취한 것이라 봐도 무방하다. 그리고 전쟁은 이런 국지전들이 모인 것이다. 약하디 약한 이메일을 그냥 없애버리는 대신(쉽게 없앨 수도 없거니와) 그것을 더 강력하게 만들어 해커들을 머리를 더 복잡하게 만들 수 있다면 그건 그것대로 이메일의 현명한 사용방법 아닐까.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>