인터넷 서비스 공급자가 암호화된 고객의 이메일을 마음대로 해독해 버린 사실이 밝혀져 충격을 주고 있다.
16일 주요 외신에 따르면 지난 몇 개월의 조사를 통해 미국과 태국의 인터넷 서비스 제공자가 통신 프로토콜 암호화 통신을 확장하기 위한 'STARTTLS' 암호화를 해제하고 고객 데이터를 해석한 사실이 드러났다.
STARTTLS는 다른 서버나 클라이언트와 통신할 때 전자메일 서버에 암호화를 요구하는 것으로, 엔드투엔드 암호화를 하는 PGP와 달리 암호화는 서버 사이에서만 이뤄진다. 이 STARTTLS를 비활성화해 인터넷 서비스 공급자는 전자메일 서버가 암호화해야 할 메일이나 암호화된 이메일의 암호화를 해제해 버린 것으로 나타났다.
그리고 암호화가 해제됐던 이유는 방화벽이 원인이었던 것으로 판명됐다. 시스코 PIX / ASA 등 일부 방화벽은 스팸 메일을 보내는 일을 규명하고, 이들이 일반 사용자에게 보내지는 것을 방지하기 위해 이메일을 감시하고 있다. 이런 방화벽이 메일을 확인하기 위해 STARTTLS를 해제해 버린 것. 사용자의 메일 암호화가 마음대로 해제돼 버린 이유가 바로 여기에 있다.
지금까지 STARTTLS가 무효화 되는, 즉 메일 암호화가 해제돼 버리는 현상은 거의 감지되지 않았다.
2013년까지 STARTTLS는 드문 부류에 속하는 암호화 방식이었다. 하지만 지난해 전자프런티어 재단(Electronic Frontier Foundation)이 암호화 방식을 채용하고 있는 기업을 높이 평가하기 시작하면서 많은 기업들이 STARTTLS를 채용하게 됐다.
관련기사
- 인터넷뱅킹서 보안 3종 세트 사라진다면?2014.11.16
- 모바일 보안 핵심 경쟁력은?2014.11.16
- ‘카톡 검열’ 업계 공동대응 잠정 보류…왜?2014.11.16
- 서상기 의원 “테러 방지 위한 통신감청 필요”2014.11.16
그 결과 현재는 많은 메일 공급자가 STARTTLS를 채용하고 고객의 이메일을 암호화 하고 있다고 알려왔지만, 고객의 이메일 암호화가 해제돼 버리는 문제를 낳았다.
전자프런티어 재단 기술직원인 제이콥 호프만 앤드류 씨는 “인터넷 서비스 공급자가 무단으로 고객의 이메일 암호화를 해제하는 것을 즉시 중지하는 것은 매우 중요한 일”이라고 강조했다.