검찰의 G메일 압수수색?

오늘 트위터(Twitter)에 구글 ‘지메일’ 내용도 검찰이 입수했다라는 글이 올라왔다. 서울신문 사회부 정은주 기자가 자신의 블로그에 올린 글이다. 일단 이 글에서 확인할 수 있는 내용은 다음과 같다.

• 서울중앙지검 공안1부는 28일 간첩혐의로 김씨를 구속기소.
• 검찰: (구글의 미국 메인 서버를) 압수수색한 것은 아니며 입수 방법은 알려줄 수 없다.
• 구글: 미국 본사가 관리하는 지메일을 입수하려면 한미 형사사법공조 조약에 따라 한국 법원은 물론 미국 법원의 압수수색 영장까지 필요하다.
• 구글: 그 압수수색 영장이 있더라도 1년 6개월간의 이메일 내용을 전부 수사기관에 넘기는 일은 매우 이례적

검찰이 구글 서버를 압수 수색하지 않고 1년 6개월간의 메일을 전부 압수할 수 있느냐는 것이다. 얼핏 생각하면 불가능할 것 같다. 그러나 컴퓨터에 대해 조금만 알고 있다면 '얼마든지 가능하다'. 그 이유는 많은 사람들이 습관적으로 '암호를 자신의 컴퓨터에 저장'하기 때문이다. 쉬운 이야기로 검찰이 "구속된 김씨의 컴퓨터를 압수할 수 있다"면 얼마든지 가능하다.

일단 암호가 컴퓨터에 어떻게 저장되는지 생각해 보자. 컴퓨터의 암호는 '로그인할 때 사용하는 암호', 아웃룩과 같은 '클라이언트에 의해 저장되는 암호', '웹 사이트 자동 로그인에 의해 저장되는 암호'가 있다. 중요한 것은 이런 암호 모두 아주 쉽게 알아 낼 수 있다는 점이다.

너무 쉽게 깨지는 암호

먼저 클라이언트에 저장되는 암호를 보자. 이런 클라이언트에 저장되는 암호는 그 특성상 양방향 암호화^[1]를 사용한다. 그 이유는 암호 문자열을 암호화해서 저장한다고 해도 자동으로 로그인하려고 하면 암호화된 문자열을 다시 원래의 암호로 바꿔야 하기 때문이다.

다음 그림은 QAOS.com에 올린 각종 프로그램의 암호를 복구할 수 있는 Asterisk Logger라는 글과 관리자(Administrator) 암호 알아내기라는 글에서 가져온 그림이다. 먼저 첫번째 그림을 보자. 아웃룩에 저장된 모든 암호는 프로그램만 실행하면 바로 알아 낼 수 있다. 따로 해킹과 같은 작업을 할 필요도 없다.

그림 1. 아웃룩에 저장된 암호 복원

두번째 그림을 보면 알 수 있지만 아웃룩과 같은 특정 프로그램이 아니라고 해도 암호를 알아 낼 수 있다. 다만 실행하는 프로그램만 바꾸면 된다.

그림 2. 암호 복원

마지막 그림을 보면 알 수 있지만 Asterisk Logger을 실행한 뒤 특정 프로그램을 실행하면 그 프로그램에 저장된 암호가 그대로 노출된다.

그림 3. 노출된 프로그램 암호

그러면 웹 사이트에 저장된 암호는 어떨까? 예전에 크롬에 대한 글을 올리면서 크롬이 웹 사이트의 암호를 보여 주는 것에 대해 심각한 우려를 표시한 적이 있다. 크롬(Chrome)과 불여우(Firefox)의 자동 로그인 기능을 사용하면 다른 프로그램이 없어도 저장된 암호를 바로 확인할 수 있다. 이 것은 인터넷 탐색기나 다른 자동 로그인 프로그램도 마찬가지다. 위에 설명한 Asterisk Logger를 이용하면 얼마든지 가능하다.

마지막으로 컴퓨터의 로그인 암호이다. 그러나 컴퓨터의 로그인 암호도 상당히 쉽게 깨진다. 관리자(Administrator) 암호 알아내기라는 글에서 설명했듯이 암호를 저장하는 SAM 파일만 있으면 얼마든지 알아 낼 수 있다. 또 SAMInside라는 프로그램을 이용하면 영어로만 구성된 8자의 암호는 내 컴퓨터(쿼드 CPU)로 두시간 정도면 알아 낼 수 있다.

즉, '컴퓨터에 저장된 모든 암호는 아주 간단히 알아 낼 수 있다'는 점이다. 그런데 더 중요한 것은 많은 사람들이 이렇게 '저장된 암호가 안전한 것으로 알고 자동 로그인처럼 암호를 저장하는 프로그램을 애용한다'는 점이다. 이렇게 컴퓨터에 저장된 암호 중 G메일(Gmail) 계정의 암호가 없으라는 보장은 없다. 설사 컴퓨터에 저장된 암호 중에 G메일 계정의 암호가 없다고 해도 컴퓨터에 저장된 암호를 이용해서 로그인을 시도해 보면 G메일 계정의 암호를 찾을 수 있다.

암호 사용시 유의사항

대부분의 사람들이 컴퓨터 암호를 똑 같이 설정하고 있기 때문이다. 설사 다르게 설정했다고 해도 이런 암호 중 하나를 G메일의 암호로 사용할 가능성이 많기 때문이다. 따라서 컴퓨터를 사용할 때 들여야할 습관 중 하나는 컴퓨터에 암호 자체를 저장하지 않는 것이다. 나는 컴퓨터에 암호를 저장하지 않는다. 크롬의 자동 로그인 기능을 문제 삼은 것도 저장된 암호를 암호화하지 않고 저장했기 때문이다. 따라서 이런 일이 발생하지 않도록 하려면 다음 사항을 꼭 지키는 것이 좋다.

1. 복잡한 암호를 사용
   복잡하면 기억하기 힘들고 단순하면 깨기 쉽다. 따라서 첫번째 보안 권고를 참조해서 기억하기 쉽고 유추하기 어려운 암호를 사용하는 것이 좋다.
2. 암호를 저장하지 않음
   컴퓨터에 암호를 저장하지 않는 것이 좋다. 자동 로그인을 사용하는 클라이언트 보다는 사이트를 직접 방문해서 작업을 하는 것이 좋다. 자동 로그인을 사용하고 싶다면 자동 로그인을 사용하는 사이트와 중요한 사이트의 암호는 분리하는 것이 좋다.
3. 컴퓨터 암호와 웹 사이트 암호 분리
   로그인 암호와 웹 사이트에서 서로 다른 암호를 사용한다. 앞에서 설명했지만 컴퓨터에 저장된 암호는 성능 좋은 컴퓨터만 있다면 쉽게 알아 낼 수 있기 때문이다.
4. 양방향 암호화를 사용하는 사이트 가입 금지
   웹 사이트 중 암호를 양방향으로 암호화 해서 저장하거나 암호화 하지 않는 사이트는 이용하지 않는다. 양방향 암호를 사용하는지 아닌지는 암호를 복구하는 절차를 보면 된다. '양방향 암호화를 사용하는 사이트'는 암호를 복구할 때 이전에 입력한 암호를 정확히 알려준다. 반면에 단방향 암호화를 사용하는 사이트는 암호를 초기화 한다.
   행안부의 G-Pin 사이트

이런 사이트 중 가장 대표적인 사이트는 바로 행안부에서 운영하는 G-Pin 사이트이다. 이 사이트는 암호를 평문으로 저장하고 저장된 암호를 화면에 바로 뿌려준다.

그러나 설사 이렇게 한다고 해도 검찰에서 G메일의 내용을 압수할 수 있다. 예를들어 나는 컴퓨터에 암호를 저장하지 않는다. 그러나 내가 사용하는 암호는 내가 가입한 사이트에는 저장되어 있다. 즉, 내가 옥션에 가입한 것을 안 검찰이 옥션에 암호를 요구하면 역시 내 암호가 유출될 수 있다는 점이다. 옥션에서 설사 암호를 단방향 암호화 해서 저장한다고 해도 성능 좋은 컴퓨터라면 이 암호도 쉽게 알아 낼 수 있다.

따라서 검찰의 힘이 미치는 사이트의 암호와 미치지 못하는 사이트의 암호를 서로 다르게 사용하는 것이 최선이다. 지은 죄가 없는 사람이라고 해도 검찰이 압수한 메일로 어떻게 왜곡할지 모르기 때문에 이렇게 하는 것이 좋다. 실제 나는 국내 웹 사이트에서 사용하는 암호와 내 G메일 암호는 서로 다르다.