TLS는 더 이상 옵션이 아니라 필수...TLS 1.3과 같은 최신 보안 프로토콜로 전환 필요해
전 세계적으로 3백만 개 이상의 메일 서버가 IMAP(Internet Message Access Protocol, 인터넷 메시지 접근 프로토콜)과 POP3(Post Office Protocol 3, 포스트 오피스 프로토콜 3) 프로토콜을 사용하는데, TLS(Transport Layer Security, 전송 계층 보안) 암호화가 적용되지 않아 사용자 정보가 네트워크 스니핑 공격에 노출되는 심각한 보안 문제가 드러났다.
IMAP과 POP3는 메일 서버에서 이메일을 접근하는 데 널리 사용되는 프로토콜이다. IMAP은 여러 기기 간 이메일을 동기화할 수 있어 스마트폰, 노트북 등 다양한 디바이스에서 이메일을 확인하는 데 유리하다. 반면 POP3는 이메일을 서버에서 내려받아 특정 기기에서만 접근할 수 있게 한다.
하지만 TLS 암호화가 적용되지 않으면 이메일 전송 과정에서 메시지 내용뿐 아니라 사용자 인증 정보인 아이디와 비밀번호까지 평문으로 전송된다. 이 경우 네트워크 스니핑 도구를 사용하는 해커들에게 쉽게 노출될 위험이 있다.
비영리 보안 감시 단체인 섀도우서버(ShadowServer)는 스캔 결과 약 3.3백만 개의 메일 서버에서 TLS 암호화가 활성화되지 않은 상태임을 발견했다. 이러한 서버는 이메일 전송 과정에서 사용자 인증 정보를 평문으로 노출하며, 공격자들이 이를 쉽게 가로챌 수 있도록 방치하고 있다.
섀도우서버는 이러한 메일 서버 운영자들에게 경고를 전달하며 TLS를 활성화하거나 해당 서비스를 VPN(가상 사설망) 뒤로 이동시키는 등 즉각적인 조치를 취할 것을 권고했다. 섀도우서버는 "메일 접근에 사용하는 비밀번호가 네트워크 스니퍼에 의해 가로채질 위험이 있다"며, "이외에도 서비스 노출로 인해 서버를 대상으로 한 비밀번호 추측 공격도 가능해진다"고 강조했다.
TLS는 1999년 처음 도입된 이후 온라인 통신 보안을 위한 핵심 프로토콜로 자리 잡았다. 하지만 초기 버전인 TLS 1.0과 1.1은 오래된 취약점을 포함하고 있어 더 이상 안전하지 않다. 이에 따라 마이크로소프트(Microsoft), 구글(Google), 애플(Apple), 모질라(Mozilla) 등 주요 IT 기업들은 2020년까지 TLS 1.0과 1.1 지원을 공식 중단했다.
2021년에는 미국 국가안보국(NSA)이 TLS 1.3과 같은 최신 보안 프로토콜로 전환할 것을 권고하며 구 버전 TLS 구성의 위험성을 경고했다. NSA는 "구식 보안 구성은 낮은 기술력으로도 공격자들이 민감한 데이터를 가로챌 수 있도록 한다"고 설명했다.
보안 전문가들은 이메일 보안이 사용자 정보보호에 있어 가장 중요한 요소라고 입을 모은다. 섀도우서버의 경고 이후, 많은 전문가들은 TLS 암호화를 필수적으로 활성화하고 최신 프로토콜로 업그레이드해야 한다고 조언했다.
TLS는 더 이상 옵션이 아니라 필수다. 메일 서버 운영자는 TLS 1.3과 같은 현대적 프로토콜을 채택해 강력한 보안을 구현해야 한다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
