대부분의 웹 서비스가 종단간 암호화(E2EE)를 사용하지 않는 이유
Source
Evernote/Technical News/Why Most Web Services Don’t Use End-to-End Encryption.md
Summary
대부분의 클라우드 서비스는 전송 중 및 저장 시 데이터를 암호화하지만, 서비스 제공자가 해독 키를 보유하고 있어 정부 감시나 내부 유출에 취약합니다. 반면 종단간 암호화(E2EE)는 데이터가 최종 사용자의 기기에서만 해독되므로 서비스 제공자는 내용을 알 수 없습니다. 그러나 E2EE 도입에는 다음과 같은 기술적, 비즈니스적 장벽이 존재합니다: 1) 웹 브라우저의 로컬 저장소(LocalStorage) 용량 한계로 인해 전체 데이터를 다운로드해 로컬에서 해독하는 방식이 비효율적입니다. 2) 서비스 제공자가 데이터 내용을 알 수 없으므로 웹 인터페이스를 통한 파일 미리보기, 검색, 스팸 필터링 등 ‘스마트 기능’을 구현하기 어렵습니다. 3) 보안보다 편의성을 선호하는 사용자의 요구로 인해, 완전한 E2EE 서비스조차도 보안이 약화된 웹 앱 옵션을 제공하는 경우가 많습니다.
Key Points
- 기존 클라우드 서비스(Dropbox 등)는 데이터를 암호화하지만 서비스 제공자가 키를 소유하여 접근 가능합니다.
- 종단간 암호화(E2EE)는 데이터가 전송 중 및 저장 시에도 서비스 제공자가 해독할 수 없도록 합니다.
- 웹 환경에서 E2EE 구현의 주요 장벽은 브라우저의 로컬 저장소 용량 한계입니다.
- E2EE 적용 시 서비스 제공자가 데이터 내용을 분석할 수 없어 검색, 스팸 필터링, 자동 분류 등 부가 기능이 제한됩니다.
- 사용자의 편의성 선호로 인해 보안 중심 서비스조차도 키를 서버에 일시 저장하는 등 보안이 약화된 웹 접근 방식을 제공합니다.