포털 다음의 모바일 메일이 보안에 취약한 것으로 드러났다. 해당 서비스는 월간 활성이용자(MAU)가 200만 명에 가깝다. 정보를 암호화한 통신 규약인 ‘https’가 아니라 ‘http’를 쓰고 있어 해킹을 통한 개인정보 유출 가능성이 높다는 지적이다.
13일 관련 업계에 따르면 모바일 웹브라우저에서 다음 메일에 접속하면 주소창에 ‘http://m.mail.daum.net’이 뜬다. 가장 앞에 쓰여 있는 인터넷 통신 규약(프로토콜)이 http로 돼 있다. 본지가 보안업체에 의뢰해 이 사이트의 보안 수준을 점검한 결과 다른 사람의 메일 내용이 그대로 본지 기자의 컴퓨터로 전달되는 것을 확인할 수 있었다. ‘패킷 스니퍼링’이라는 해킹 프로그램을 이용해 http 패킷(오고가는 데이터)을 가로채는 방법을 썼다.
https는 기존 http의 보안 기능을 강화한 버전으로, 서버와 클라이언트 사이의 데이터를 암호화된 방식으로 주고받는 통신 규약이다. https로 하면 중간에 정보를 ‘도둑질’ 당해도 내용을 볼 수 없지만 http로는 볼 수 있다.
한국인터넷진흥원(KISA) 관계자는 “인터넷에서 메일을 발송하면 내 PC에서 다른 PC로 떠나는데, 통신이라는 중간 길목에서 메일을 가로채면 내용을 볼 수 있다”고 설명했다. 그래서 일반적인 메일 서비스는 정보를 암호화해 보안을 강화한 https 방식을 쓴다.
카카오 관계자는 “다음 메일이 개선할 사항이 많아 우선 순위를 정해 업데이트를 하고 있다”며 “지적된 부분도 올해 업데이트할 계획”이라고 말했다.
김남영 기자 nykim@hankyung.com
뉴스