이메일 인증「 잘못 설치하면 독(毒)」

이메일 인증은 매력적인 기술이다. 그러나 전문가들에 의하면, 이것을 잘못 설치하면 이메일의 안전성을 보증하기는 커녕, 기업의 메일 시스템을 파괴할 수도 있다.뱅크 오브 아메리카(Bank of America)의 보안 메시징 담당 부사장인 에릭 존슨은 4월 19일 개최된 ‘Authentication Summit’에서 “(이메일 인증은) 현명한 방식으로 설치해야 한다. 단지 설치했다고 해서 좋은 것은 아니다. 설치 후 이메일의 안전성이 손상될 수도 있다”라고 말했다.지난 2년간 테크놀러지 업계는 스팸메일이나 피싱에 대항하기 위해 이메일 송신자를 인증해야 한다고 주장해왔다. 인증을 통해 필터링 기능을 높이고, 발송 주소 위조가 어려워지도록 할 수 있다. 또 업계에는 인증 시스템에 드는 실질적인 비용은 없다는 점을 알리고 싶어한다.여러 기업들이 이메일에 대한 신뢰를 회복할 수 있다고 하는 표어에 끌리기 시작하고 있다. MS에 의하면, 포천 500대 기업 가운데 메일의 송신자 인증 기술을 이용하고 있는 기업의 비율은 2005년 7월에 7%였지만, 2006년 3월 말에는 20%까지 증가했다고 한다. MS는 ‘Sender ID’라는 이메일 송신자 인증 기술의 후원자이다.존슨 부사장은 이메일의 기본 기술인 SMTP(Simple Mail Transfer Protocol)에 대해서 “SMTP를 개선하지 않는다면, 이메일 인증이 현시점에서 최선책”이라고 말했다. 그러나 송신자 인증과 관리가 그리 간단하지는 않다. 뱅크 오브 아메리카는 이 기술을 도입하는 데 6개월이 걸렸다.“송신자 인증 기술을 올바르게 설치하는 것은 간단하지 않다. 조직이 큰 경우 버튼을 누르는 정도로 간단하지 않을 것”이라고 말하는 존슨 부사장은 “항상 주위를 기울여 행동하는 것이 필요하다…그렇지 않으면, 이메일의 안전성이 손상돼 해롭게 될 것”이라고 설명했다. 이메일 인증 기술에는 주요한 두 가지 방식이 있다. 하나는 ‘Sender ID’이며, 다른 하나는 ‘DomainKeys Identified Mail(DKIM)’이라고 불리는 것이다. 야후와 시스코 시스템즈가 지지하는 DKIM은 공개키암호 방식을 채용하고 있다. 즉, 이메일의 수신자가 송신원을 확인할 수 있도록 송신되는 이메일에 디지털 서명을 첨부하게 돼 있다.Sender ID는 DKIM보다 도입할 때에 시간이 오래 걸린다. ISP, 기업, 인터넷 도메인을 보관.유지하는 다른 조직이 메일 서버를 정의하기 위해 SPF(Sender Policy Framework) 기록을 공개해야 한다. 대개 여기에는 새로운 하드웨어나 소프트웨어는 필요없지만, 가장 힘든 작업은 메일 서버의 리스트를 작성한 후에 그 리스트를 유지하는 것이다.브란덴부르크 인터넷워킹의 책임자이며, 초기 이메일 표준의 하나를 제창한 데이비드 크로커는 “(이런 종류의 송신자 인증은) 비용이 저렴하다는 얘기가 있지만 그것은 사실은 아니다”고 말했다. “추가되는 IT 비용은 매우 크다.”이메일 보안 기업인 사이퍼트러스트(CipherTrust)의 최고 기술 책임자(CTO)인 폴 저지는 대기업들이 당면한 가장 중요한 문제는 이메일을 송신하는 모든 시스템을 밝혀내는 것이라고 지적했다. 그는 “다국적 조직인 경우 10개국에 이메일 게이트웨이가 있을 지도 모르고, 자사 대신에 이메일을 보내는 마케팅 회사가 다수 있을지도 모른다”고 말했다.이것은 뱅크 오브 아메리카에게도 난제였다. “다양한 종류의 그룹이 존재하고 있다. 전체 조직을 포괄적이고 종합적으로 파악해 누가 이메일을 송신하고 있을까를 정확하게 알아야 한다”고 존슨 부사장은 말했다.그는 “인증 시스템을 설치할 때, 비즈니스 담당 부서에서 이메일을 보내기 위해 호스트를 설정했다고 하자. 하지만 이 호스트가 SPF 기록을 작성하지 않으면 안전성이 손상돼 버린다는 것을 알게 될 것”이라고 말했다. 이 문제는 이메일 서비스 프로바이더가 인증 체크에 실패한 모든 이메일을 삭제하는 경우에 특히 심각하다고 그는 말했다.그러나 이메일 인증을 채택한 모든 기업이 이러한 문제에 직면하는 것은 아니다. 예를 들면 델은 큰 문제가 없었다. 시스템 엔지니어인 에리히 스토크스는 “몇몇 정리 작업은 필요했다. 이메일과 SMTP는 우수한 개방 표준이며, 우리의 책임이 조금 늘어났을 뿐”이라고 말했다.이메일 서버의 리스트를 작성하는 것이 난제라고 하는 것은, 현재 공개되고 있는 SPF 기록을 보면 분명하다. 사이퍼트러스트에 의하면, 이러한 인증 서버의 절반 이상이 다른 서버로부터의 이메일을 수신해서는 안 된다는 설정이 돼 있지 않다고 한다. 따라서 송신원을 사칭하는 사람에게도 문이 열려 있어 등록되지 않은 서버로부터 송신된 이메일을 필터에 의해서 삭제할 수 없다. @