솔직히 고백하겠습니다. 저는 창업 초기, 보안이 중요하다며 개발팀에게 이메일 암호화(PGP) 도입을 강요했던 적이 있습니다. 그때 저는 그게 '기본'이라고 생각했습니다. 하지만 지금 와서 보면 그건 우리 회사의 생산성을 갉아먹고 리소스를 낭비한 가장 멍청한 의사결정 중 하나였습니다. 2025년 말, 독일 함부르크에서 열린 Chaos Communications Congress에서 GnuPG의 치명적인 취약점이 공개되었습니다. gpg.fail이라는 사이트에 그 내막이 낱낱이 까발려졌죠. 이 사건은 단순히 기술적인 버그 리포트가 아닙니다. "이메일 암호화는 죽었다"는 사망 선고나 다름없습니다. 아직도 PGP나 S/MIME 같은 낡은 기술을 붙잡고 "우리 회사는 보안이 철저하다"고 자위하는 경영진이 있다면, 죄송하지만 당신의 회사는 언제든 기밀이 털릴 준비가 되어 있는 겁니다.
제가 SI 현장에서 차세대 시스템을 구축할 때 뼈저리게 느낀 게 하나 있습니다. 이메일은 애초에 보안을 위해 설계된 프로토콜이 아닙니다. SMTP는 기본적으로 엽서와 같습니다. 우체부가 내용을 다 볼 수 있다는 뜻입니다. 물론 STARTLS 같은 기술로 전송 구간을 암호화한다고는 하지만, 공격자가 마음만 먹으면 이걸 벗겨내는 건 일도 아닙니다. 이메일 시스템 자체가 수십 년 된 레거시 덩어리인데, 여기에 덕지덕지 암호화 모듈을 붙인다고 해서 본질이 변하지 않습니다.
더 큰 문제는 '사람'입니다. 기술적으로 완벽한 암호화를 구현했다고 칩시다. 그런데 영업 담당자가 바이어와 중요한 계약 내용을 주고받다가 실수로 '전체 답장(Reply All)'을 눌렀는데, 하필이면 암호화되지 않은 평문으로 전송되었다면? 이건 단순한 실수가 아니라 비즈니스 재앙입니다. Signal 같은 메신저는 애초에 평문 전송이라는 선택지 자체를 주지 않기에 이런 실수를 원천 차단합니다. 하지만 이메일은 다릅니다. 사용자의 100% 완벽한 주의력을 요구하는 보안 시스템은 시스템이 아닙니다. 그건 시한폭탄입니다. 사용자가 실수할 여지를 남겨두고 "교육이 부족했다"라고 말하는 보안 담당자는 직무 유기입니다.
그리고 경영자로서 가장 소름 돋는 부분은 바로 '메타데이터'입니다. 본문을 아무리 철통같이 암호화해도 제목(Subject), 수신자, 발신자, 타임스탬프는 평문으로 날아갑니다. 경쟁사가 당신 회사의 이메일 패킷을 감청하고 있다고 가정해 봅시다. 내용은 못 보더라도 이메일 제목이 "OO기업 인수합병 관련 킥오프 미팅"이라면? 게임은 끝난 겁니다. 국가 정보기관이나 Palantir 같은 데이터 분석 기업들은 굳이 내용을 훔쳐보지 않습니다. 누가, 언제, 누구와, 어떤 제목으로 연락했는지만 파악해도 당신 회사의 전략을 손바닥 들여다보듯 알 수 있습니다.
그런데도 여전히 많은 기업이 "우리는 PGP 씁니다"라며 안심합니다. 이건 마치 구멍 뚫린 방탄조끼를 입고 전쟁터에 나가는 것과 같습니다. 고객사 정보를 보호한다는 명분으로 불편한 암호화 이메일을 강요하면서, 정작 중요한 메타데이터는 줄줄 새고 있는 꼴이죠. 이 비효율이 우리 통장에 1원이라도 기여합니까? 오히려 업무 속도만 늦추고 직원들의 피로도만 높일 뿐입니다.
이제는 인정해야 합니다. 2026년의 비즈니스 환경에서 이메일 암호화는 죽은 기술입니다. 기밀 사항을 논의해야 한다면 이메일을 쓰지 마십시오. Signal 같은 검증된 종단 간 암호화 메신저를 쓰거나, 보안이 보장된 별도의 협업 SaaS를 사용하십시오. "옛날부터 이렇게 해왔으니까"라는 관성으로 레거시 보안 기술을 고집하는 순간, 당신은 리스크 관리 실패라는 청구서를 받게 될 것입니다. 기술에 대한 막연한 환상을 버리고, 냉정한 현실을 직시해야 살아남습니다.
