구글, MS, 야후 등 이메일 서비스 업계, 새로운 이메일 보안 표준 ‘SMTP STS’ 제안

CERT-LatestNews Security News ThreatsCybercrime ThreatsStrategic

전세계에서 가장 큰 이메일 서비스 제공업체의 엔지니어들이 인터넷 상 이메일 트래픽 보안을 향상시키기 위해 힘을 합쳤다.


구글, MS, 야후, 컴캐스트, 링크드인, 원앤원 메일앤 미디어(1&1 Mail & Media)에 종사하는 엔지니어들이 창안한 SMTP STS(Strict Transport Security)는 새로운 메커니즘으로, 이메일 제공업체들이 암호화된 이메일 통신을 확고히 하기 위한 정책들과 규칙들을 재정의하도록 한다.

이 새로운 메커니즘은 지난 주말 국제인터넷표준화기구(Internet Engineering Task Force, IETF)에서 충분한 숙고 과정을 거쳐 발행된 계획안에 재정의됐다.

이메일 클라이언트와 서버 간 이메일 메시지를 전송하는데 사용되는 SMTP(Simple Mail Transfer Protocol)는 암호화 고려가 전혀 되지 않았던 1982년으로 거슬러 올라간다. 이런 이유로 SMTP 연결에 TLS(Transport Layer Security)를 포함하기 위한 방법으로 2002년 스타트TLS(STARTTLS)라 불리는 확장형 프로토콜이 추가됐다.

하지만 10여 년이 지났지만 이 확장형 프로토콜은 폭넓게 적용되지 않았고 서버간 이메일 트래픽은 암호화가 되지 않은 채 주고받았다.

2013년, 변화가 생겼다. 전 미국 NSA 계약자 에드워드 스노우든이 인터넷 통신이 미국, 영국 등 다른 국가들의 첩보 당국에 의해 감청 수단으로 널리 쓰인다는 비밀 문서들을 폭로한 이래로 상황은 달라졌다.

2014년 5월, 사용자들에게 매일 수십억 통의 이메일 공지를 보내는 페이스북은 한 테스트를 실행한 결과, 이 이메일의 58%가 스타트TLS(STARTTLS)로 암호화된 커넥션을 통해 지나간다는 사실을 발견했다. 같은 해 8월, 이 비율은 95%로 증가했다.

이에는 한가지 문제가 있다. 안전 HTTP인 HTTPS와는 달리 스타트TLS는 기회적 암호화(opportunistic encryption)를 허용한다. 이메일 서버에 존재하는 디지털 인증서를 인증하지 못하더라도 인증된 것으로 추정한 채로 전송된다. 이 트래픽 암호화는 그나마 아무것도 하지 않는 것보다는 낫다.

이는 스타트TLS가 중간자 공격(man-in-the-middle attacks)에 취약할 수 있다는 것을 의미한다. 해커는 중간자 공격을 통해 이메일 수신자를 대신할 수 있는 어떤 인증도 없이 암호화되지 않은 트래픽을 가로챌 수 있다. 더욱이 스타트TLS 커넥션은 암호화가 간단히 제거될 수 있는, 일명 암호화 다운그레이드 공격(encryption downgrade attacks)에 취약할 수 있다.

새롭게 제안된 SMTP STS(Strict Transport Security)는 이런 이슈들을 모두 감안했다. 이메일 제공업체에게 클라이언트 커넥션에 들어오는 트래픽이 TLS로 암호화되어있는지 알려주고 만약 되어있지 않다면 이메일을 전송하지 못하도록 차단한다. editor@itworld.co.kr

http://www.itworld.co.kr/news/98467