이메일

이메일은 현대 디지털 생활의 핵심적인 부분이지만, 많은 주요 이메일 제공업체는 맞춤 광고, 개인화 서비스, 정부 협조, 검열 등의 이유로 사용자의 이메일을 스캔하고 개인정보를 수집합니다. 진정한 프라이버시를 보장하려면 적절한 암호화를 제공하고 사용자 데이터를 수집하지 않는 프라이버시 친화적 이메일 서비스를 사용합니다.

여기, 적절한 암호화와 프라이버시 보호 기능을 제공하는, 제가 신뢰하는 이메일 서비스들을 소개합니다.

추천 이메일 서비스

⚠ 이메일은 본질적으로 안전하지 않은 규격입니다.

이메일 전송 시 사용하는 표준 규격인 SMTP는 낡은 규격입니다. 기본적으로 암호화되지 않고 평문으로 전송됩니다. PGP를 이용하면 종단간 암호화되지만, 헤더는 암호화되지 않습니다. 즉, 어디서 보냈고 어디로 가야하는지 등의 데이터는 공격자가 들여볼 수 있습니다. 제목도 볼 수 있고요. 게다가 많은 사람들은 PGP의 존재도 모르므로, 여러분이 PGP를 이용한 E2EE 통신을 일상 생활에서 사용하기엔 무리가 있습니다.

STARTTLS등을 지원한다면 암호화를 추가할 수 있지만, 여러분의 컴퓨터부터 이메일 서버까지만 암호화가 구현되며 이메일 서버부터 상대의 이메일 서버까지는 일반적으로 구현되지 않습니다. 그리고 역시 많은 메타데이터는 유지됩니다. TutaCrypt와 같은 규격은 제목도 암호화하지만, 이메일 주소와 통신 날짜는 암호화되지 않으며, 비(非)Tuta 사용자와 이메일을 주고받을 땐 종단간 암호화를 지원하지 않습니다. (단, 내용을 비밀번호로 잠궈 포장해서 보낼 순 있는데, 이는 본질적으로 이메일이 아닌 메신저와 가깝습니다.)

따라서, 이메일을 이용해 비밀이나 사적인 대화, 중요한 파일을 보내지 하지 마세요. 대신 프라이버시를 존중하려면 Signal과 같은 인스턴트 메신저를 사용합니다. 파일을 첨부해야 한다면 암호화 도구로 미리 암호화하세요.

1. Tuta Mail

Tuta 로고

Tutao GmbH - Tuta Mail

Editor's Pick 오픈 소스 (클라이언트) 종단간 암호화(E2EE, 양측 모두 Tuta 이용시) 양자 내성 GDPR 준수 그린 에너지

Tuta(구 Tutanota)는 독일에 본사를 둔 프라이버시 친화적 이메일 서비스로, 양자 내성 암호화 기술을 도입한 몇 안되는 이메일 제공업체입니다. TutaCrypt라는 암호화 방식을 통해 기존의 RSA-2048과 AES-256을 대체하는 양자 컴퓨팅 공격에 안전한 암호화가 적용됩니다.

Tuta는 이메일 본문뿐만 아니라 제목, 첨부파일, 검색 인덱스, 캘린더, 주소록까지 모두 종단간 암호화로 보호합니다. 독일 서버에 영지식 아키텍처로 데이터를 저장하며, GDPR을 완전히 준수합니다. 클라이언트 측은 오픈 소스이며 서버 측은 폐쇄 소스이지만, E2EE에서 중요한 것은 클라이언트 측에서 암호화를 어떻게 처리하느냐이기 때문에 큰 문제는 안됩니다.

공식 홈페이지 / 📜

Tuta Mail은 제한적인 무료 요금제가 존재하나, 비즈니스 목적으로는 사용이 제한되며 한 사람이 여러 무료 계정을 돌려쓰는 것도 금지합니다. 그리고 이를 굉장히 깐깐하게 감지합니다. 따라서 계정을 보호하기 위해 유료 요금제로 사용 하세요.

또한, PGP가 아닌 자체적 양자 내성 암호화 기술을 이용하기 때문에 별도의 SMTP/IMAP 클라이언트를 지원하지 않습니다. 따라서 반드시 공식 앱을 사용해야하며, 이것의 사용이 불편할 경우 아래의 다른 대안을 살펴보세요. 같은 이유로 다른 이메일 서비스와 표준 규격으로 이메일을 주고받을 시 암호화는 적용되지 않습니다. 이메일이 편지함으로 들어오면 그때 모든 것을 암호화 합니다.

Tuta는 과거 여러 수난이 있었습니다. 먼저, 독일 법원이 단일 계정의 비암호화 이메일의 모니터링을 결정했다는 점입니다. 이것에 대해 Tuta는 항소했지만, 그 후의 이야기는 전해져오지 않고, 투명성 보고서에 '실시간 트래픽 데이터'와 '실시간 콘텐츠 데이터'를 제공한 수를 공개중인 것으로 봐선 패소했다고 생각됩니다. 또, Tuta가 독일 정부의 허니팟(함정)이라는 말을 전직 RCMP(캐나다 연방 경찰) 장교 Cameron Ortis가 주장했습니다. 그러나 Tuta의 클라이언트는 오픈 소스이고, 그 안에 백도어 등은 발견되지 않았습니다. 정작 의문을 제기한 사람은 증언을 제외한 증거는 제시하지 못했습니다. 따라서 최근엔 신빙성 없는 소문이라고 여깁니다.

즉, Ortis의 증언은 유언비어라고 생각되지만, 법원 영장이 있으면 비암호화된 이메일을 모니터링 할 수 있다고 사료됩니다. 그럼에도 불구하고, 유효한 영장이 있기 전까지 이러한 조치를 하지 못하고, 법원의 명령에 따르는 것은 범죄를 위해 설계되지 않은 모든 합법적 업체의 숙명이라고 생각됩니다. 이메일이 근본적으로 안전하지 않은 규격이기 때문에 할 수 있는 조치이기도 하고요. 다른 데라고 뭐 다른가요.

2. Mailbox

Mailbox 로고

Heinlein Hosting GmbH - Mailbox

Editor's Pick PGP 종단간 암호화(E2EE, 양측 모두 PGP 이용시) S/MIME GDPR 준수 그린 에너지 한국어 미지원

Mailbox(구 Mailbox.org)는 독일에 본사를 둔 프라이버시 친화적 이메일 서비스로, 베를린에 위치한 서버에서만 운영되며, 사용자의 실명 사용을 강요하지 않고 익명 등록을 허용합니다. 현금 우편을 통한 익명 결제도 가능합니다.

웹메일에서 편리하게 PGP 암호화를 사용할 수 있으며, 암호화되지 않은 수신 이메일도 자동으로 사용자의 공개키로 재암호화하여 저장합니다. S/MIME 인증서 지원, 강제 SSL/TLS 전송 암호화, 2단계 인증 등 포괄적인 보안 기능을 제공합니다. 2025년부터는 "디지털 주권 작업 공간"으로의 포지셔닝을 천명했습니다.

공식 홈페이지 📜

Mailbox는 Tuta와 다르게 외부에서의 표준 IMAP/POP3/SMTP를 지원하여 기존 이메일 클라이언트와 완벽하게 호환됩니다. 다만, E2EE는 PGP에 의존하므로 상대방도 PGP를 사용해야 종단간 암호화가 가능합니다. PGP를 사용하지 않는 일반적인 이메일 통신에서는 서버 간 전송 시 암호화가 보장되지 않을 수 있습니다.

그리고, Mailbox 역시 독일 서비스이므로 (Tuta 보단 드문 빈도지만) 실시간 모니터링을 한 사례가 투명성 보고서에 보고되어 있다는 점도 알아두시기 바랍니다. 연간 0~5건 정도의 감청 요청이 있습니다. 또한, Tuta와 다르게 연락처가 암호화되지 않습니다.

최근 Mailbox가 리브랜딩을 하면서 UI도 쓰기 좋게 바뀌었습니다. 저도 써봤는데 꽤 편하게 이용할 수 있었습니다. 추천합니다.

선정 기준

  • 특정 조건(양방 모두 PGP 사용 또는 양방 모두 같은 이메일 서비스 사용 등)에서 종단간 암호화(E2EE)를 지원하여 송수신인을 제외한 누구도 전송 중인 이메일 내용에 접근할 수 없습니다.
  • 서비스 제공자가 메일함에 도착한 이메일에 대한 접근 권한이 없습니다.
  • GDPR을 준수해야하는 관할권에 위치합니다.
  • 이메일 내용 스캔이나 광고 목적의 데이터 수집을 하지 않습니다.
  • 비즈니스 모델이 투명하고, 직관적이어야 합니다. 즉, 유료 플랜이 존재하고, 그것으로 사업이 영위되어야 합니다.
  • 투명한 개인정보 처리방침을 갖고 있습니다.
  • 정기적인 투명성 보고서를 공개합니다.
  • 지속적인 보안 업데이트와 개선이 이루어집니다.
  • 프라이버시 관련 기능이 옵트-인 방식이 아닌, 옵트-아웃이어야 합니다. (즉, 기본적으로 활성화 되어있어야 합니다.)
  • DKIM, SPF, DMARC와 같은 이메일 스푸핑 방지 정책이 있습니다.
  • STARTTLS Everywhere, DANE, MTA-STS를 지원합니다.
  • 사용자 도메인을 사용할 수 있어야 합니다.
  • 보내는 사람의 IP 주소를 헤더 필드에서 제거합니다.
  • 서비스 가입시 신원을 확인할 수 있는 어떠한 정보(전화번호 등)를 필수로 요구하면 안됩니다.
  • 2FA를 지원합니다.