시대에 뒤졌고 해킹에 쉽게 이용되지만 표준 플랫폼이라 대체하기 어려워… 새 도구 생겨도 결국 사용자 의식이 문제다 세계의 이메일 사용자는 26억 명이 넘으며 계정은 53억 개에 이르고 매일 2050억 건 이상의 이메일이 발신된다.이메일은 거의 반 세기 전에 나온 통신 표준이다. 사이버 범죄자가 해킹에 사용하는 주된 수단이며 현대에 맞지 않는 아주 구식이고 거추장스런 도구다.
그런데도 이메일이 사라질 조짐은 보이지 않는다. 인스턴트 메시징 서비스, 화상 통화, 파일 공유 서비스가 대세인 시대에도 확실한 결함과 위험 부담을 가진 이메일의 인기가 수그러들지 않는다.
최근의 주요 해킹 사건을 보면 침투 경로가 이메일인 경우가 많다. 랜섬웨어(악성코드의 일종으로, 이에 감염된 컴퓨터는 시스템에 대한 접근이 제한되며 이를 해제하려면 악성 코드 제작자에게 대가로 금품을 제공해야 한다)부터 금융 트로이 목마(복제창을 사용해 비밀번호 등의 금융정보를 갈취하는 악성 코드)까지 거의 모든 컴퓨터 바이러스가 이메일을 통해 전달된다. 발송 방법은 집단 스팸과 스피어피싱 두 가지다. 스피어피싱은 특정한 개인들이나 회사를 대상으로 한 피싱 공격을 말하며, 공격자가 사전에 공격 성공률을 높이기 위해 공격 대상에 대한 정보를 수집하고 이를 분석해 정당한 이메일처럼 보이게 만들어 공격한다.
인터넷 포털사이트 야후는 2014년 해킹 공격을 당해 회원 5억 명의 개인정보가 유출됐다고 최근에야 밝혔다. 지난 6월 발생한 SNS 마이스페이스 해킹(4억3000만 명) 사건을 넘어선 사상 최대 규모다. 야후 측은 이름과 이메일 주소, 전화번호, 생년월일, 비밀번호, 본인 인증 질문 등이 유출됐지만 “은행 계좌번호나 신용카드 데이터 같은 금융 정보는 유출되지 않았다”고 강조하며 “특정 국가의 지원을 받는 해커의 소행으로 추정된다”고 밝혔다. 특히 그런 정보가 악의를 가진 사람의 손에 넘어갈 경우 큰 피해가 예상된다. 이런 시스템과 보안은 너무도 허약해 해커들은 그냥 보기만 해도 약점을 파악할 수 있다.
그런데도 우리는 왜 이메일을 계속 사용할까?
시장조사 기관 라디카티 그룹이 지난해 발표한 통계에 따르면 세계의 이메일 사용자는 26억 명이 넘으며 계정은 53억 개에 이르고 매일 2050억 건 이상의 이메일이 발신된다. 2019년엔 하루 발신되는 이메일이 2460억 건에 이를 전망이다.
사이버 범죄자가 개인과 사업체의 시스템을 해킹하는 가장 흔한 수단이 이메일이라는 사실에도 그 사용이 늘어간다는 게 희한하다. 컴퓨터 보안 전문업체 프루프포인트의 사이버 보안 전략 담당 수석부사장 라이언 칼렘버는 “사이버 범죄자들은 이메일 채널 이용에 혈안이 돼 있다”고 말했다.
미국 연방수사국(FBI)에 따르면 악성 이메일에 의한 사이버 공격으로 기업들이 매년 수십억 달러의 손실을 입으며, 이메일의 역사만큼이나 오래된 이메일 스푸핑(발신자의 주소를 위조하는 간단한 해킹 수법) 사례도 최근 들어 다시 급증했다.
이메일엔 보안 외에도 다른 문제가 있다. 이메일은 효율성이 크게 떨어지는 통신 플랫폼이라는 사실이다. 수신, 참조, 전달, 회신, 회신에 대한 회신이 계속 이어지는 식이다. 예를 들어 대기업의 경우 심할 때는 쏟아지는 이메일에 일일이 회신하는 데 근무 시간을 거의 다 보내고 실제 일은 하지 못하는 시태가 발생할 수 있다.
현재 슬랙(Slack)과 트렐로(Trello) 같은 새로운 도구가 이메일을 대체하겠다고 나섰다. 실시간 온라인 협업을 훨씬 효율적으로 만들어 이메일의 필요성을 없애는 것이 목표다. 특히 슬랙은 기업에 초점을 맞춘 메시징 도구로 시간 소모적인 이메일을 대체할 수 있는 그룹·개인 메시징 서비스를 제공한다. 일부 업체에서 이미 슬랙을 이메일 대용으로 사용한다.
미국의 사무실 근로자는 하루 평균 122건의 이메일을 보내거나 받는다. 이메일에 파묻혀 허우적거려야 하는 업체로선 메시지를 실시간으로, 훨씬 효과적으로 주고받을 수 있는 슬랙 같은 도구가 매력적일 수밖에 없다.
한편 트렐로는 온라인 작업협력 도구다. 모든 사람이 한곳에서 프로젝트의 진행 상황을 볼 수 있어 누군가 오탈자를 수정하거나 제목의 서체를 바꿀 때마다 업데이트 이메일을 계속 보낼 필요가 없다.
이런 도구는 효율성이 높고 어떤 경우 실제로 이메일을 완전히 없앨 수도 있지만 중요한 단점이 있다. 표준 플랫폼이 아니라는 사실이다. 따라서 사외의 누군가에게 연락할 때는 업계 표준인 이메일을 사용할 수밖에 없다.
게다가 많은 국가의 법원은 디지털 문자 메시지 중 이메일만 유효한 증거 형태로 인정한다. 따라서 우리가 업무적으로 메시지를 주고받는 표준 수단을 교체하는 것이 얼마나 어려운지 짐작이 가고도 남을 것이다. 보안업체 F-슈크르의 온라인 보안 자문역 크리스틴 베제라스코는 “이메일 외 다른 통신 방식으로 완전히 전환하려면 법규정이 가장 큰 장애물 중 하나가 될 것”이라고 말했다.
그보다 더 큰 문제가 있다. 실리콘밸리가 약속하는 멋진 새 도구들이 과연 업무 처리를 더 쉽게 만들어 우리 삶을 훨씬 낫게 이끌어줄까? 불행하게도 문제는 기술이 아니라 그 기술을 사용하는 사람과 사용 방식에 있다. 보안 문제에서 그런 점이 확실히 드러난다.
대개 해커들은 시스템 사슬에서 가장 허약한 고리를 침투 관문으로 삼는다. 이메일이 가장 허약한 고리로 보일지 모르지만 사실은 그 시스템에서 가장 약한 부분은 바로 사람(사용자)이다. 이메일을 누가 보냈는지 확실치 않을 때 거기에 적힌 링크를 클릭한 적이 있는가? 이메일에 첨부된 파일이 확실치 않지만 호기심에서 내려받은 적이 있는가?
대답이 ‘아니오’라면 축하 받아 마땅하다. 하지만 그런 사람이 드물다. 이메일을 기반으로 한 사이버 공격의 성공률이 그토록 높은 것은 우리가 확실치 않은 링크를 클릭한다든지 첨부 파일의 위험성을 깨닫지 못해 그런 어리석은 행동을 하지 않도록 충분히 교육 받지도 않기 때문이다.
슬랙 같은 새 도구로 이메일을 대체한다고 해서 그런 사실이 달라지는 건 아니다. 슬랙이 큰 인기를 끈다면 곧바로 해커도 이메일 대신 슬랙을 공격 수단으로 삼을 것이다. 그럴 경우 표적은 슬랙을 사용하는 사람이 될 것이다. 베제라스코 자문역은 “만약 이메일을 다른 무엇으로 바꿔 그것이 주류가 된다면 그 새로운 도구가 공격의 표적이 될 것”이라고 말했다.
그렇다면 해결책은 뭘까?
보안업체 플릭서의 CEO 마이크 패터슨는 이렇게 말했다. “이메일이 갑자기 사라지진 않겠지만 통신 방식의 새로운 대안이 등장할 가능성은 크다. 서로 승인하지 않으면 메시지를 주고받을 수 없는 그런 방식을 말한다. 어쩌면 엄격한 인증을 요구해 신원에 대한 신뢰성이 높은 링크드인 같은 솔루션이 적절할 것 같다. 뭔가 계속 시도해봐야 한다.”
링크드인 같은 솔루션이 세계의 실질적인 통신 표준이 된다고 하면 등골이 오싹해지는 사람이 많을 것이다. 그러나 정보와 데이터가 돈보다 더 소중한 자산인 현 세계에선 뭔가 달라져야 한다.
- 데이비드 길버트 아이비타임즈 기자
ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지
