클라우드 이메일, 안심하고 사용해도 괜찮을까? 마이크로소프트 365와 구글 워크스페이스의 숨겨진 보안 취약점

최근 많은 기업과 개인이 업무 효율성을 높이기 위해 클라우드 기반의 이메일 서비스를 이용하고 있습니다. 특히 마이크로소프트 365와 구글 워크스페이스는 가장 널리 사용되는 서비스 중 하나입니다. 하지만, 이러한 클라우드 이메일 서비스가 항상 안전하다고 단정할 수 있을까요? 새로운 연구 결과에 따르면, 중요한 데이터를 암호화 없이 전송하거나, 암호화 실패 시에도 사용자에게 알리지 않는 등 심각한 보안 취약점이 존재할 수 있다고 합니다.

클라우드 이메일, 암호화 실패를 숨기다?

보안 업체 Paubox의 보고서에 따르면, 마이크로소프트 365와 구글 워크스페이스 모두 암호화에 실패했을 때 사용자에게 알리지 않고 메시지를 그대로 전송하는 방식으로 운영될 수 있다고 합니다. 이는 사용자가 자신의 이메일이 안전하게 전송되지 않았다는 사실을 전혀 알 수 없다는 의미입니다. 더욱 심각한 문제는, 이러한 암호화 실패가 로그에 기록되지 않아 추후 문제 발생 시 원인 파악이 어렵다는 점입니다.

구형 TLS 프로토콜, 여전히 사용 중?

구글 워크스페이스는 수신 서버가 구형 프로토콜인 TLS 1.0 또는 1.1만 지원하는 경우, 경고 없이 해당 프로토콜을 사용하여 메시지를 전송할 수 있습니다. 이는 устаревший된 암호화 방식을 사용하여 민감한 정보가 노출될 위험을 높입니다. 미국 NSA를 포함한 여러 기관에서 TLS 1.0 및 1.1의 취약점을 경고해 왔음에도 불구하고, 구글은 여전히 해당 프로토콜을 허용하고 있습니다.

마이크로소프트 365, 암호화 실패 시 평문 전송?

마이크로소프트 365는 устаревший된 TLS 프로토콜을 사용하지 않는 대신, 암호화에 실패하면 사용자에게 알리지 않고 메시지를 암호화되지 않은 일반 텍스트로 전송할 수 있습니다. 이는 보안되지 않은 방식으로 중요한 정보가 전송될 수 있다는 심각한 문제를 야기합니다. 사용자는 자신이 보낸 이메일이 암호화되지 않았다는 사실을 인지하지 못하기 때문에, 정보 유출에 대한 위험에 무방비 상태로 노출될 수 있습니다.

보안 컴플라이언스 위반의 위험

이러한 암호화 실패는 HIPAA(건강 보험 이동성 및 책임에 관한 법률)와 같은 보안 규정 준수에도 심각한 위협이 될 수 있습니다. 특히 의료 기관에서는 환자의 개인 정보(PHI)를 이메일로 전송하는 경우가 많은데, 마이크로소프트 365나 구글 워크스페이스와 같은 서비스가 암호화 실패를 제대로 처리하지 못할 경우, HIPAA 규정 위반으로 이어질 수 있습니다. 실제로 Solara Medical Supplies는 암호화되지 않은 이메일로 인해 114,000건 이상의 환자 기록이 노출되어 1200만 달러 이상의 벌금을 지불해야 했습니다.

"보이는" 암호화 정책의 중요성

Paubox는 "명확성 없는 자신감은 기업을 위험에 빠뜨린다"고 경고합니다. 아무리 훌륭한 FWAAS(방화벽 서비스) 또는 ZTNA(제로 트러스트 네트워크 액세스) 솔루션을 사용하더라도, 모든 통신 채널에서 "보이는" 암호화 정책을 적용해야 합니다. 사용자가 이메일 암호화 상태를 명확하게 확인하고, 암호화 실패 시 즉시 알림을 받을 수 있도록 시스템을 구축하는 것이 중요합니다. 이를 통해 사용자 스스로 보안 위험을 인지하고 대처할 수 있도록 해야 합니다.

맺음말

클라우드 이메일 서비스의 편리함에 가려진 보안 취약점을 간과해서는 안 됩니다. 마이크로소프트 365와 구글 워크스페이스를 사용하는 기업과 개인은 자신의 이메일 시스템이 안전하게 구성되어 있는지 다시 한번 점검하고, 암호화 정책을 강화하여 정보 유출 위험을 최소화해야 합니다. "보이는" 암호화 정책을 통해 보안에 대한 투명성을 확보하고, 사용자 스스로 보안 의식을 갖도록 교육하는 것이 중요합니다.