[단독]포털서 내 이메일 확인하면 해커PC에 그대로?

■ 포털 e메일 해킹 무방비

민감한 e메일 내용이 샅샅이 해커의 손에서 열리는 모습을 보자 당혹스러운 기분이 들었다. 9일 기자는 고려대 정보보호대학원 사이버국방학과와 e메일 모의 해킹 테스트를 했다. 실험에서 해커 역할을 맡은 고려대 김승주 교수는 특별한 장비 없이 일반 PC를 통해 그 자리에서 인터넷을 검색해 해킹 프로그램을 내려받았다. 그리고 순식간에 기자의 PC로 오가는 e메일을 가로챘다.

○ 포털 e메일 해킹 취약

기자가 포털에 로그인한 뒤 읽고 싶은 e메일 제목을 클릭하자 포털의 메일 서버에서 기자의 PC로 전송되던 데이터는 김 교수의 PC로 들어갔다. 최근에는 스마트폰 보급이 늘어나면서 보안설정이 없는 사설 와이파이처럼 불특정 다수가 동시에 접속하는 인터넷 환경이 크게 늘었다. PC방도 마찬가지로 위험한 환경이다. 이런 인터넷 환경에서는 해커가 같은 통신망에 접속한 사람들의 데이터를 손쉽게 가로챌 수 있다. 이번 테스트가 주변에서 흔히 일어날 수 있는 상황이라는 뜻이다.

문제는 해커가 데이터를 가로챈 다음이다. 김 교수는 기자의 e메일 내용을 토씨 하나 틀리지 않고 그대로 확인할 수 있었다. 기자는 별 생각 없이 테스트 도중 메일박스를 뒤지며 옛 여자친구로부터 받은 편지와 과거에 작성했던 모 대기업 입사지원서 등을 열어봤다.

김 교수가 e메일 내용을 그대로 볼 수 있는 이유는 포털이 e메일에 보안기술인 암호화 솔루션을 적용하지 않았기 때문이다. 암호화 기술을 적용하면 해커가 e메일을 가로채도 내용을 알아볼 수 없다. 네이버, 다음, 네이트, 파란, 야후의 e메일이 모두 열렸다.

해커 역할을 한 김 교수도 테스트가 너무 싱겁게 끝나자 당황스러운 모습이었다. 그는 “지난해 네이트와 넥슨 등 국내 주요 포털과 게임업체에 대한 굵직한 해킹사건이 터지며 e메일도 당연히 암호화했으리라 생각했는데 그렇지 않았다”면서 “e메일 유출은 피해자뿐 아니라 다른 사람까지 2차 피해를 입을 수 있기 때문에 주민등록번호 같은 개인정보 유출보다 더 위험하다”고 말했다.

○ e메일 안전하게 쓰려면

국내 포털업계 관계자는 “일부 보안문제가 발생할 수 있지만, e메일에 대해 암호화 솔루션을 전면적으로 도입하면 기업이 감당해야 할 비용이 지나치게 늘어난다”고 해명했다.

전 세계 주요 포털 중 e메일과 소셜네트워크서비스(SNS) 등 모든 서비스를 대상으로 암호화 솔루션을 적용한 곳은 구글뿐이다. 마이크로소프트(MS) 핫메일은 원하는 사용자에 한해 암호화를 선택할 수 있는 옵션을 따로 제공하고 있다. 야후도 국내 포털과 마찬가지로 암호화 조치를 하지 않았다.

이 때문에 전문가들은 사용자가 조심할 수밖에 없다고 말한다. PC방이나 사설 와이파이망을 쓰는 장소처럼 보안이 취약한 통신환경에서는 포털이 제공하는 e메일을 아예 사용하지 않는 게 좋다. 특히 와이파이를 사용할 때는 와이파이를 뜻하는 부채꼴 모양의 신호에 자물쇠 그림이 그려진 것을 선택해야 한다. 자물쇠 그림은 해당 와이파이망에 보안기술이 적용됐다는 뜻이다.

또 공직자나 기업 임원은 네이버나 다음과 같은 포털 e메일로 중요한 정보를 주고받는 것도 피해야 한다. 국가 기밀이나 회사 기밀이 해커에게 노출될 수 있기 때문이다. 실제로 많은 기업이나 정부 조직은 업무 관련 사항에 대해선 포털의 e메일 계정을 쓰지 못하게 하는 내부 규정을 갖고 있다.

정진욱 기자 coolj@donga.com