사진=게티이미지뱅크
사진=게티이미지뱅크
포털 다음의 모바일 메일이 보안에 취약한 것으로 드러났다. 해당 서비스는 월간 활성이용자(MAU)가 200만 명에 가깝다. 정보를 암호화한 통신 규약인 ‘https’로 쓰지 않고 ‘http’를 쓰고 있기 때문이다. 사생활이 유통되는 대표적인 통로인 인터넷 메일이 쉽게 해킹당해 개인정보가 유출될 수 있다는 지적이 나온다.

13일 관련 업계에 따르면 모바일 웹브라우저에서 다음 메일을 접속하면 주소창에는 ‘http:// m. mail. daum. net’가 뜬다. 가장 앞에 쓰여 있는 인터넷 통신 규약(프로토콜)이 http로 돼있다. 본지가 13일 보안 업체에 의뢰해 이 사이트의 보안 수준을 점검한 결과 다른 사람 메일 내용이 그대로 본지 기자의 컴퓨터로 전달되는 것을 확인할 수 있었다. 패킷 스니퍼링 프로그램을 이용해 http 패킷(오고가는 데이터)을 가로채는 방법을 썼다.
모바일 웹브라우저에서 다음 메일을 이용하면 다음과 같은 경고 메세지가 뜬다. 화면 캡처.
모바일 웹브라우저에서 다음 메일을 이용하면 다음과 같은 경고 메세지가 뜬다. 화면 캡처.
https는 기존 http의 보안 기능이 강화된 버전으로 서버와 클라이언트 사이의 데이터를 암호화된 방식으로 주고 받는 통신 규약이다. https로 하면 중간에 정보를 ‘도둑질’ 당해도 내용을 볼 수 없지만 http로는 볼 수 있다. 웹브라우저 크롬은 https가 아닌 사이트는 주의 표시를 띄운다.

한국인터넷진흥원(KISA) 관계자는 “인터넷 상에서 메일을 발송하면 내 PC에서 다른 PC로 떠나는데, 통신이라는 중간 길목에서 메일을 가로채면 내용을 볼 수 있다”고 설명했다. 그래서 일반적인 메일 서비스는 정보를 암호화해 보안을 강화한 https 방식을 쓴다.

이에 대해 카카오 관계자는 “다음 메일 자체가 개선할 사항이 많아 우선순위를 정해 업데이트를 하고 있다”며 “지적된 부분도 올해 중에 업데이트할 계획”이라고 밝혔다. 이어 “모바일 다음 앱과 웹 메일 서비스는 https가 적용돼있다”고 덧붙였다.

한편 지난 7일 국회 행정안전위원회의 행정안전부 국정감사장에서 대법원 사이트 해킹 시연이 이뤄졌다. 대법원, 국방부, 국회 등의 주요 공공기관 웹사이트가 http 프로토콜을 사용해 허술한 보안 상태임을 보여주기 위해서였다.

김남영 기자 nykim@hankyung.com