팩스가 이메일보다 더 안전한지에 대한 논쟁은 수십 년간 계속되어 왔어요. 이 질문에 대한 답은 흑백으로 나눌 수 없으며, 주로 업무의 성격, 교환하는 민감한 정보의 유형, 네트워크를 공격하려는 사람들의 정교함 수준, 그리고 시스템을 얼마나 잘 보호했는지에 따라 달라져요.
이 논쟁은 두 진영으로 나눌 수 있어요: 팩스가 물리적 회선을 통해 데이터를 전송하기 때문에 해커의 가로채기에 덜 취약하다고 믿는 쪽과, 팩스기가 네트워크에 직접 연결되지 않고 이메일처럼 인터넷 연결을 통해 전송하지 않으므로 해킹이 문제가 되지 않는다고 믿는 쪽이에요. 각 진영이 맞거나 틀릴 수 있는 이유는 많아요. 팩스가 이메일보다 더 안전하다고 생각하는 사람들의 주장을 살펴볼게요.
팩스와 이메일의 보안 측면
팩스의 보안 측면
- 도청하려면 전화선에 물리적 접근 필요
- 메시지를 가져가려면 팩스기에 물리적 접근 필요
- 메시지가 다른 사람이 접근할 수 있는 장소에 도착할 수 있음
- 수신된 메시지는 서버에 무기한 저장되지 않음
- 팩스 헤더 위조 가능
- 위조 판별이 거의 불가능
이메일의 보안 측면
- 도청하려면 상당한 해킹 기술 필요
- 메시지가 (보통) 보안된 컴퓨터로 도착
- 메시지가 서버에 무기한 저장되어 해킹 대기 상태가 될 수 있음
- 피싱에 취약
- 올바르게 설정되면: 발신자 정보 위조 불가
- 위조 판별이 어렵지만 단서가 있을 수 있음
물리적 측면
접근성
이메일과 비교했을 때 팩스의 가장 큰 특징은 간단해요: 물리적이라는 거예요. 팩스로 전송되는 모든 데이터는 전화선을 사용하기 때문에, 해커가 도청하려면 전화선에 접근해야 해요. 팩스로 전송되는 정보를 가로채려면 물리적 접근이 필요해요. 반면, 의지가 있는 해커는 네트워크나 시스템에 직접 접촉하지 않고도 인터넷 연결을 통해 이동하는 이메일을 가로챌 수 있어요.
해커가 물리적 접근권을 얻더라도, 효과적으로 전화선을 도청하려면 시간과 전문 지식이 필요해요. 가장 정교한 해커들은 전화선을 도청하고 송수신되는 데이터를 가로챌 수 있어요. 전화 도청은 특정 장비가 필요하고 설치에 시간이 걸려요. 현재 해커들의 정교함을 고려할 때, 가로채기 목적으로 전화선에 침입하는 것은 고급 해킹으로 간주돼요.
하지만 물리적 특성은 다른 위험도 열어요. 예를 들어, 일부 사업장에서는 팩스기가 다른 직원들이 접근할 수 있는 공개 구역에 있을 수 있어요. 제3자가 제때 수거되지 않은 도착 메시지를 보거나 훔칠 수 있어요. 이메일에서는 메시지가 보통 비밀번호로 보호된 컴퓨터에 도착하거나 보안된 이메일 서버에 저장되므로 이런 일이 발생할 가능성이 낮아요.
소프트웨어 측면
팩스기는 컴퓨터 기반 악성코드에 취약하지 않아요. 이 공격 벡터로부터는 더 안전하지만, 여전히 완화해야 할 위험이 있어요.
바이러스
팩스기는 폐쇄된 하드웨어 기반 시스템이에요. 따라서 아날로그 팩스기에는 어떤 종류의 컴퓨터 바이러스나 악성코드도 설치할 수 없어요. 이로 인해 전통적인 팩스기는 전화선을 통해 바이러스를 전송할 수 없으며, 발신자도 팩스기를 통해 수신자에게 바이러스를 전송할 수 없어요.
악성코드
팩스기를 공격하는 악성코드를 만드는 것이 가능할 수 있지만, 특히 사실상 대형 컴퓨터인 인터넷 팩스 지원 고급 복합기의 경우, 일반 팩스기는 현재 실행 가능한 공격 벡터로 알려져 있지 않아요. 악성코드 제작자들에게는 팩스기보다 컴퓨터와 스마트폰을 대상으로 하는 것이 훨씬 가치 있어요.
암호화
“팩스기는 암호화되나요?”라는 질문을 자주 받아요.
지역 사무용품점이나 아마존에서 구매한 일반 팩스기로 팩스를 보낼 때, 전송되는 팩스는 암호화되지 않아요. ITU-T 팩스 그룹 3 또는 4(이전 CCITT 팩스 그룹 3 또는 4)라는 잘 알려진 디지털 전송 형식으로 전송되며, 전화선을 도청할 수 있는 사람이라면 누구나 가로채서 읽을 수 있어요.
예를 들어 외교 공관이나 고보안 기관에서 사용하는 것처럼 팩스 전송을 암호화하는 솔루션이 존재해요. 하지만 이런 솔루션은 송신측과 수신측 모두에 전용 호환 장비가 필요해요. 따라서 일반적인 팩스 사용에 일반화할 수 없어요.
중요한 점은 온라인 팩스 서비스 제공업체가 암호화된 팩스를 제공한다고 주장할 때, 아래 구글 검색 결과에 나타나는 것처럼, 실제 팩스 전송을 말하는 것이 아니에요. 대신 파일 저장, 시스템 접근, 또는 팩스로 송수신되기 전후에 이메일이나 API로 팩스 메시지를 전달하는 보안을 말하는 것일 수 있어요.
“암호화된 팩스” 검색어에서 구글 첫 번째 결과로 나타나는 팩스 서비스 제공업체는 다음과 같이 확인해요:
InterFAX 시스템을 통해 전송되는 메시지의 보안은 이메일을 암호화하여 향상시킬 수 있습니다. 이것은 서버에서 팩스기로의 팩스 전송 자체를 암호화하지는 않지만, 컴퓨터에서 서버로 전송되는 동안 메시지 내용을 보호합니다. – upland InterFAX
실제로 대부분의 이메일도 암호화되지 않아요. 이메일에 서명하고 암호화하는 기능이 오랫동안 존재했고 대부분의 최신 이메일 클라이언트에서 사용 가능하지만요.
그러나 이 부족함을 완화하는 것은 오늘날 대부분의 이메일 서버가 서로 간에 TLS를 “사용”하여 이메일 전송의 도청과 변조를 사실상 불가능하게 만든다는 사실이에요.
인적 요소
피싱
공격자들은 팩스기보다 이메일을 선호하는데, 팩스기가 피싱에 즉각적으로 덜 취약하기 때문이에요. 악의적인 해커들에게 이메일이 팩스보다 유리한 점은 사용자를 속여 위험한 첨부 파일을 열게 함으로써 목적을 달성할 수 있다는 거예요.
이런 의미에서 공격자들이 이메일을 사용하여 사용자를 악성코드에 감염시키는 것이 더 쉬워요. 하지만 이메일과 달리 팩스기에는 외부에서 메시지를 수집할 수 있는 메일함이 없어요. 그리고 전자적으로 저장되더라도, 수신 팩스는 알고 있는 사람이 수동으로 저장소로 옮겨야 해요. 이것을 공격과 위협에 대한 추가적인 보호 계층으로 볼 수 있어요.
스푸핑
이메일 스푸핑은 공격자가 이메일 메시지의 “보낸 사람” 필드를 변경하여 다른 사람이 보낸 것처럼 보이게 하는 기술이에요. 보통 사기나 피싱 같은 범죄 목적으로 사용돼요. 이것은 완화할 수 있지만, 스푸핑 당하는 측이 이메일 서버(더 구체적으로는 DNS 서버)를 올바르게 설정하는 것에 달려 있어요.
마찬가지로 팩스에서도 스푸핑이 가능해요. 팩스에서 스푸핑은 두 가지를 의미할 수 있어요:
- 실제 발신자가 아닌 다른 발신자인 것처럼 보여주는 팩스 헤더(CSID)를 보내는 것.
- 가짜 발신자 번호로 팩스를 보내는 것. 이것은 전화 설정에 더 깊은 접근이 필요해요.
팩스 헤더(CSID) 스푸핑
팩스는 수신측에 헤더를 보내도록 설정할 수 있어요. 헤더는 무엇이든 포함할 수 있는 긴 텍스트지만, 보통 발송 날짜와 시간, 팩스가 발송된 팩스 번호, 발신자 이름 및 기타 정보를 표시해요. 캐논 사용 설명서에서는 다음과 같이 설명해요:
팩스 수신자가 팩스의 진위를 확인하기 위해 의존할 수 있는 발신자 팩스 번호와 이름은 발신 팩스기의 일반 설정을 통해 변경하기가 꽤 간단해서, 팩스 확인서를 검증용으로 신뢰할 수 없게 해요.
위조
이메일과 팩스 내용을 위조하는 것은 꽤 간단해요. 하지만 팩스는 발신자에 대해 상대적으로 적은 단서를 제공하는 반면, 이메일은 도착 경로에 대해 풍부한 정보를 제공해요. 그리고 이메일이 위조되었다고 말할 수 없더라도, 발신자의 평판이 진짜일 가능성에 대한 힌트를 줄 수 있어요.
팩스를 위조하는 것은 어떤 이미지 편집기에서든 간단한 작업이에요. 인터넷을 통해 어떤 회사의 레터헤드에도 쉽게 접근할 수 있고 세부 사항만 채우면 돼요. 서명된 문서의 팩스를 받아들이는 사람들의 신뢰는 이런 의미에서 꽤 순진해요. 이것이 완료되면, 위에서 설명한 적절한 팩스 헤더 스푸핑을 하도록 팩스기 설정을 하는 것도 꽤 쉬워요. 이로 인해 수신자는 상식 외에는 문서가 진짜인지 가짜인지 판단하는 데 도움이 될 정보가 거의 없어요.
어떤 의미에서 이메일을 위조하는 것도 마찬가지로 간단해요. 하지만 적어도 이메일이 도착할 때, 다음 이미지가 보여주는 것처럼 분석을 가능하게 하는 많은 양의 메타데이터를 담고 있어요.
결론
보시다시피, 두 옵션 모두 공격에 열려 있을 때 팩스가 이메일보다 더 안전한지 덜 안전한지 말할 방법이 없어요. 사실은 이 두 통신 방법이 다른 위협을 만들지 않기 때문에, 업무의 구체적인 성격과 직면한 위험에 따라 달라진다는 거예요.