비밀번호 걸린 ZIP 파일을 이메일로 보내는 게 안전할까? 더 나은 방법

"파일을 ZIP으로 압축하고 비밀번호를 걸어서 이메일로 보내고, 다음 이메일로 비밀번호를 보내세요." 한국 기업에서도 흔히 볼 수 있는 이 관행, 정말 안전할까요?

일본에서는 이 방식을 PPAP라 부르며, 정부 차원에서 폐지를 선언하기까지 했습니다. 그 이유를 살펴보겠습니다.

이 방식이 왜 위험한가

1. 같은 경로로 비밀번호를 보내는 무의미함

ZIP 파일과 비밀번호를 같은 이메일 계정에서 같은 수신자에게 보냅니다. 이메일이 가로채어지면 두 메일 모두 유출됩니다. 문을 잠그고 옆에 열쇠를 붙여놓는 것과 다름없습니다.

2. 보안 소프트웨어가 ZIP 내용을 검사 못 함

비밀번호가 걸린 ZIP 파일은 보안 게이트웨이가 내용물을 스캔할 수 없습니다. 이는 오히려 악성코드 유포 경로로 악용되어 왔습니다.

3. ZIP 암호화의 취약성

일반적인 ZIP 암호화(ZipCrypto)는 이미 해독 방법이 알려져 있습니다. 전용 도구를 사용하면 몇 분 안에 해제할 수 있는 경우도 있습니다.

4. 오발송 방지 효과 없음

첫 번째 이메일을 잘못된 수신자에게 보냈다면, 두 번째 이메일도 같은 실수를 반복할 가능성이 높습니다.

5. 수신자의 불편

• 비밀번호를 찾기 위해 이메일을 뒤져야 함
• 모바일에서 ZIP 파일을 열기 어려움
• 반복적인 비밀번호 입력

비밀번호 ZIP 대신 이렇게 하세요

방법 1: 클라우드 스토리지 공유 링크 활용

구글 드라이브, 원드라이브, 네이버 MYBOX 등의 클라우드 스토리지로 파일을 공유하는 방법입니다.

장점:

• 접근 권한을 세밀하게 설정 가능
• 다운로드 상태를 확인 가능
• 공유를 취소할 수 있음
• 악성코드 스캔 가능

단점:

• 링크 자체에 비밀번호를 걸 수 없는 서비스가 많음
• 외부 공유에 IT 정책 제약이 있을 수 있음

방법 2: 비밀번호 보호 링크로 URL 감싸기

클라우드 공유 링크를 비밀번호 보호 링크로 한 번 더 감싸는 방법입니다.

LOCK.PUB을 사용하면 구글 드라이브 링크 등 어떤 URL이든 비밀번호를 설정할 수 있습니다. 수신자는 비밀번호를 입력해야 원래 링크에 접근할 수 있습니다.

비교 항목	ZIP + 이메일	LOCK.PUB + 클라우드
비밀번호 전달 경로	동일 (이메일)	분리 가능
악성코드 스캔	불가	가능
접근 로그	없음	있음
공유 취소	불가	가능
오발송 대응	불가	링크 삭제로 대응

방법 3: 비즈니스 메신저 활용

슬랙, 팀즈 등 비즈니스 메신저로 파일을 직접 공유하는 방법도 있습니다. 다만 보관 기간과 보안 설정에 주의해야 합니다.

방법 4: 기업용 파일 전송 솔루션

보안 요구사항이 높은 기업이라면 전용 솔루션을 도입해야 합니다.

실무에서 바로 적용하는 방법

단계 1: 현황 파악

• 현재 ZIP + 이메일 방식을 얼마나 사용하고 있는지 확인
• 거래처와의 파일 교환 패턴 분석

단계 2: 대안 선정

• 사내 IT 환경에 맞는 도구 선택
• 비용과 운영 부담 비교

단계 3: 단계적 전환

• 사내부터 새로운 방식 적용
• 거래처에 변경 사항 안내
• 전환 기간 설정

단계 4: 가이드라인 수립

• 새로운 파일 공유 규칙 문서화
• 전 직원 대상 교육

비밀번호를 안전하게 전달하는 핵심 원칙

핵심은 "비밀번호와 파일을 다른 경로로 보내라"입니다.

이메일로 파일(또는 링크)을 보내고, 카카오톡이나 전화로 비밀번호를 전달하는 것이 일반적입니다. 하지만 LOCK.PUB을 사용하면 링크 자체에 비밀번호가 내장되어 있어, 비밀번호를 별도로 전달할 필요가 없습니다.

마무리

비밀번호 걸린 ZIP 파일을 이메일로 주고받는 방식은 보안 효과가 거의 없습니다. 오히려 악성코드 탐지를 방해하여 보안을 악화시킵니다.

안전한 파일 공유 체크리스트:

• 클라우드 스토리지 공유 링크로 전환
• 링크에 비밀번호 보호 추가
• 접근 로그 확인 체계 구축
• 거래처와 새로운 규칙 공유
• 직원 대상 보안 교육 실시

→ LOCK.PUB에서 비밀번호 보호 링크 만들기