작성일: 2014년 6월 12일 목요일
이메일을 안전하게 보호하기 위해서는 발신자와 수신자의 이메일 서비스 제공업체가 모두 전송 계층 보안(TLS) 또는 암호화 전송이라고 알려진 보안 방식을 지원해야 합니다. 지메일은 2010년부터 TLS를 지원하고 있으며 지메일 사용자 간의 이메일은 모두 암호화됩니다.
구글은 사용자의 온라인 보안을 항상 최우선으로 생각하며 사용자의 데이터를 안전하게 유지하기 위해 최선을 다하고 있습니다. 예를 들어 지메일은 출시 때부터 HTTPS를 지원하였으며 지금도 사용자가 브라우저에서 이메일을 확인하거나 전송할 때 항상 암호화된 연결을 사용합니다. 지메일과 크롬은 특정 사용자가 악성 공격의 표적이 되고 있다고 판단되거나 악성 소프트웨어 및 피싱이 발견되는 경우 이 사실을 해당 사용자에게 알려주고 있습니다.
다만, 지메일 사용자 간의 이메일 전송에는 문제가 없지만, 다른 이메일 사용자 간에는 암호화가 적용되지 않을 수도 있습니다. 아래처럼 현재 지메일로 수신되는 전체 이메일의 약 절반과 지메일에서 발신되는 이메일의 40%가 암호화되지 않습니다. 앞으로 더욱 많은 이메일 서비스 제공업체에서도 전송 계층 보안(TLS)를 사용하여 전 세계로 전송되는 이메일의 보안이 강화되기를 바랍니다.
이럴 경우, 보다 강력한 이메일 보안을 원하는 사용자라면 E2E 암호화(end-to-end encryption)가 좋은 선택일 것입니다. 하지만 이 방식은 사용하기가 매우 어려웠습니다. 그래서 구글은 E2E 암호화를 원하는 사용자들이 더욱 손쉽게 사용할 수 있도록 개발된 새로운 도구의 소스 코드를 공개합니다. E2E(end-to-end)으로 불리는 크롬 확장 프로그램으로, 기존의 방식 외에 추가 보안이 필요한 사용자를 위해 개발되었습니다. 현재 알파 버전 입니다.
“E2E” 암호화는 사용자의 브라우저에서 전송되는 데이터를 암호화하여 의도된 수신자만이 복호화할 수 있도록 하는 방식입니다. 즉 사용자에게 암호화된 메시지가 전송되면 그 메시지는 사용자가 브라우저에서 복호화하기 전까지는 암호화 상태를 유지하게 됩니다.
PGP, GnuPG와 같은 E2E 암호화는 이미 오래 전에 개발된 것이지만 실제 사용하기에는 까다로워 기술적인 노하우가 필요합니다. E2E 암호화의 보다 손쉬운 사용을 돕기 위해 구글에서는 새로운 크롬 확장 프로그램의 코드를 공개합니다. 이 확장 프로그램은 다수의 기존 암호화 도구가 지원하는 개방형 표준인 OpenPGP를 사용합니다.
그러나 아직 크롬 웹 스토어에는 정식 출시되지 않았습니다. 먼저 코드를 공개하여 관심 있는 사용자들이 테스트 및 평가를 한 후, 안전하게 사용할 수 있다고 판단되면 출시할 계획입니다. (테스트 및 평가에 참여하는 사용자 분들께는 보상을 해 드립니다. 구글의 보안 취약점 보상 프로그램(Vulnerability Reward Program)은 E2E 암호화를 비롯한 구글의 코드에 대한 보안상의 버그를 발견하는 사용자에게 재정적인 보상을 지원합니다.)
이 확장 프로그램을 모든 사용자에게 공개해도 괜찮다는 판단이 들면 크롬 웹 스토어에 출시할 것입니다. 이 확장 프로그램을 사용하면 사용자가 기존 웹 기반 이메일 서비스 제공업체를 통해 E2E 암호화 이메일을 주고받을 수 있게 됩니다.
이러한 암호화 방식은 어쩌면 매우 민감한 메일이나 추가 보안이 필요한 사용자에 국한되어 사용될 수도 있다는 점을 잘 알고 있습니다. 하지만 이 확장 프로그램은 한층 강화된 보안이 필요할 때 보다 손쉽고 빠르게 E2E 암호화를 구현하는 데 도움이 될 것입니다.
E2E 암호화의 아키텍처와 구현 방식에 대한 기술적 세부사항은 여기에서 확인할 수 있습니다.
작성자: 구글 블로그팀 정리