HTML 이메일

3. 호환성

RFC 2822에 따르면 이메일 소프트웨어는 일반 텍스트만 지원하도록 요구되지만,^[25] 현실적으로 대부분의 이메일 클라이언트가 HTML 이메일을 지원한다. 그러나 HTML 이메일을 지원하는 클라이언트 중 일부는 W3C 표준을 따르지 않아 렌더링 문제가 발생할 수 있다.^[26]

특히, `` 태그 미지원 문제로 인해 인라인 스타일 선언이 사실상의 표준이 되었으나,^[9] 이는 비효율적이며 콘텐츠와 표현의 분리 원칙에 어긋난다.

이러한 문제를 해결하기 위해 이메일 표준 프로젝트는 이메일 클라이언트의 렌더링을 평가하고 개선하기 위한 노력을 기울이고 있다.^[28] 이 프로젝트는 애시드 테스트를 통해 각 클라이언트의 렌더링을 평가하고, 개발자들에게 제품 개선을 촉구한다. 예를 들어, 구글이 지메일의 렌더링을 개선하도록 설득하기 위해 웹 개발자들의 비디오 몽타주를 게시하기도 했다.^[10]

3. 1. 주요 이메일 클라이언트 호환성 현황 (2013년)

AOL 웹메일, 애플의 아이폰, 아이패드, 아이팟 터치, 애플 메일, 모질라 썬더버드, 윈도우 라이브 메일 등은 견고한 지원을 제공했다. 반면, 윈도우 라이브 핫메일, 구글 지메일, 로터스 노트 8, 마이크로소프트 아웃룩 2007 등은 개선이 권장되었다.

4. 스타일

일부 발신자는 크고 화려하거나 산만한 글꼴에 과도하게 의존하여 메시지를 읽기 더 어렵게 만들 수 있다.^[11] 이러한 서식에 특히 신경 쓰는 사용자를 위해 일부 사용자 에이전트는 읽는 사람이 서식을 부분적으로 무시할 수 있도록 한다(예: 모질라 선더버드는 최소 글꼴 크기를 지정할 수 있다). 그러나 이러한 기능은 전 세계적으로 사용할 수 없다. 또한 발신자와 읽는 사람 사이의 시각적 차이는 각 섹션의 작성자를 구별하는 데 도움이 되어 가독성을 향상시킬 수 있다.

5. 다중 파트 형식 (Multi-part formats)

대부분의 이메일 서버는 Content-Type^영어이 multipart/alternative인 설정을 사용하여 텍스트 전용 이메일 클라이언트에서도 읽을 수 있도록 HTML 버전과 함께 메시지의 텍스트 버전을 자동으로 생성하며, 이는 [https://tools.ietf.org/html/rfc1521 RFC 1521]에 명시되어 있다.^[12][13][14] 메시지 자체는 `multipart/alternative` 유형이며, 두 부분으로 구성된다. 첫 번째는 `text/plain` 유형으로 텍스트 전용 클라이언트가 읽고, 두 번째는 `text/html` 유형으로 HTML을 지원하는 클라이언트가 읽는다. 그러나 텍스트 버전에는 중요한 서식 정보가 누락될 수 있다. (예를 들어, 수학 방정식은 위첨자를 잃고 완전히 새로운 의미를 가질 수 있다.)

많은 메일링 리스트는 HTML 부분을 제거하여 텍스트 부분만 남기거나 전체 메시지를 거부하여 의도적으로 HTML 이메일을 차단한다.

RFC1341은 부분의 순서와 관련하여 다음과 같이 명시하고 있다. ''일반적으로 multipart/alternative 엔티티를 구성하는 사용자 에이전트는 선호하는 형식을 마지막으로 하여 선호도 증가 순서로 본문 부분을 배치해야 한다.''^[15] HTML 및 텍스트 버전이 있는 멀티파트 이메일의 경우, 이는 텍스트 버전을 먼저 나열하고 그 뒤에 HTML 버전을 나열하는 것을 의미한다. 그렇지 않으면 클라이언트는 HTML 버전을 사용할 수 있더라도 텍스트 버전을 기본적으로 표시할 수 있다.

6. 메시지 크기

HTML 이메일은 일반 텍스트보다 크기가 크다. 특별한 서식을 사용하지 않더라도 최소한의 HTML 문서에 사용되는 태그로 인한 오버헤드가 발생하며, 서식을 많이 사용할 경우 크기가 훨씬 커질 수 있다. 서로 다른 형식으로 동일한 내용을 중복하여 포함하는 멀티파트 메시지는 크기를 더욱 증가시킨다. 하지만 IMAP의 FETCH 명령어를 사용하면 멀티파트 메시지의 일반 텍스트 섹션만 따로 가져올 수 있다.^[16]

1990년대에는 (대부분의 사용자가 느린 모뎀을 통해 이메일 서버에 접속하던 시절) 일반 텍스트 메일과 혼합 메시지 메일 간의 다운로드 시간 차이(10배 이상 차이)가 우려되었지만, 현대적인 연결 환경에서는 대부분의 사람들에게 그 차이가 무시할 만하며, 특히 이미지, 음악 파일 또는 기타 일반적인 첨부 파일과 비교할 때는 더욱 그렇다.^[17]

7. 보안 취약점

HTML은 링크를 숨겨 사용자가 보기 편한 임의의 텍스트로 표시할 수 있다. 이는 사용자가 가짜 웹사이트에 접속하여 개인 정보(예: 은행 계좌 번호)를 사기꾼에게 노출하도록 속이는 피싱 공격에 사용될 수 있다.^[18]

이메일에 외부 서버의 그림과 같은 인라인 콘텐츠가 포함된 경우, 이를 검색하려면 해당 외부 서버에 요청을 보내야 하며, 이 요청은 그림이 표시될 위치와 수신자에 대한 기타 정보를 식별한다. 웹 버그는 이메일을 추적하고 제작자가 이메일이 열렸는지 알 수 있도록 특별히 제작된 이미지이다(일반적으로 각 개별 이메일에 고유함). 무엇보다도, 이는 이메일 주소가 실제임을 알려주며, 향후 표적이 될 수 있다.^[18]

일부 피싱 공격은 HTML의 특정 기능에 의존한다:^[18]

HTML 콘텐츠를 표시하려면 클라이언트 프로그램이 HTML로 코딩된 텍스트를 구문 분석하고 렌더링하기 위해 특수 루틴을 호출하는 경우가 많다. 의도적으로 잘못 코딩된 콘텐츠는 해당 루틴의 실수를 악용하여 보안 위반을 일으킬 수 있다. 특수 글꼴 등에 대한 요청도 시스템 리소스에 영향을 미칠 수 있다.

네트워크 위협이 증가하는 기간 동안, 미국 국방부는 사용자의 수신 HTML 이메일을 텍스트 이메일로 변환했다.^[19]

멀티파트 유형은 동일한 콘텐츠를 다른 방식으로 표시하기 위한 것이지만, 이 기능이 남용되기도 한다. 일부 이메일 스팸은 이 형식을 이용하여 스팸 필터가 메시지가 합법적이라고 믿도록 속인다. 메시지의 텍스트 부분에 무해한 콘텐츠를 포함하고 HTML 부분(사용자에게 표시되는 부분)에 스팸을 넣는 방식으로 작동한다.

대부분의 이메일 스팸은 이러한 이유로 HTML로 전송되므로 스팸 필터는 때때로 HTML 메시지에 더 높은 스팸 점수를 부여한다.

2018년에는 여러 일반 이메일 클라이언트의 HTML 처리 방식의 취약점(EFAIL)이 공개되었다. 이 취약점은 PGP 또는 S/MIME 암호화된 이메일 부분의 해독된 텍스트가 외부 이미지를 요청하는 경우 외부 이미지 주소의 속성으로 전송되도록 할 수 있다. 이 취약점은 썬더버드, macOS 메일, 아웃룩, 그리고 나중에는 Gmail과 애플 메일에 존재했다.^[20]

8. 대한민국 현황 및 과제

대한민국은 높은 인터넷 보급률과 스마트폰 사용률을 바탕으로 HTML 이메일이 널리 사용되고 있다. 기업들은 HTML 이메일을 활용하여 마케팅, 고객 관리, 정보 제공 등 다양한 활동을 전개하고 있다.

그러나 스팸 메일, 피싱 공격 등 HTML 이메일 관련 보안 문제는 여전히 해결해야 할 과제이다. HTML을 사용하면 링크 텍스트와 다른 링크를 대상으로 할 수 있어, 사용자가 피싱에 속아 개인 정보를 제공할 위험이 있다. 또한, 이메일에 웹 버그가 포함된 경우, 이메일 열람 여부가 제3자에게 알려져 이메일 개인 정보 보호 위험이 발생할 수 있다.

더불어민주당은 HTML 이메일의 편리성과 효율성을 인정하면서도, 보안 취약점을 해결하고 사용자 피해를 예방하기 위한 정책 마련에 힘써야 한다. 개인정보 보호 강화, 스팸 메일 규제 강화, 보안 기술 개발 지원 등 다각적인 노력이 필요하다.

참조

_[1] 웹사이트 Text Email vs HTML Email – The Pros and Cons {{!}} Thunder Mailer – Mass Emailing Software http://www.thunderma[...] 2016-01-30
_[2] 웹사이트 HTML Email: Whenever Possible, Turn It Off! https://subversion.a[...]
_[3] 웹사이트 The Ascii Ribbon Campaign official homepage http://www.asciiribb[...] 2016-01-30
_[4] 웹사이트 Shutdown of the ASCII ribbon campaign – Pale Moon forum http://forum.palemoo[...] 2016-01-30
_[5] 웹사이트 HTML Email: The Poll http://birdhouse.org[...]
_[6] 웹사이트 Email Marketing Statistics and Metrics – EmailLabs http://www.emaillabs[...] 2016-01-30
_[7] 웹사이트 Real-World Email Client Usage: The Hard Data {{!}} ClickZ https://www.clickz.c[...] 2002-07-09
_[8] 웹사이트 The Science of Email Marketing http://www.slideshar[...] 2016-01-30
_[9] 웹사이트 Premailer: make CSS inline for HTML e-mail http://premailer.dia[...] Premailer.dialect.ca 2012-06-24
_[10] 웹사이트 The 2008 Gmail Appeal | Email Standards Project http://www.email-sta[...] Email-standards.org 2012-06-24
_[11] 웹사이트 A pretty fair argument against HTML Email http://www.burningdo[...] Burningdoor.com 2012-06-24
_[12] 웹사이트 RFC 1521 7.2.3. The Multipart/alternative subtype http://tools.ietf.or[...]
_[13] 웹사이트 TN1010-11-2: Multipart/Alternative – Gracefully handling HTML-phobic email clients. http://www.codestone[...] 2012-06-24
_[14] 웹사이트 Sending HTML and Plain Text E-Mail Simultaneously http://www.wilsonweb[...] Wilsonweb.com 2012-06-24
_[15] 웹사이트 RFC1341 Section 7.2 The Multipart Content-Type http://www.w3.org/Pr[...] 2014-07-15
_[16] 웹사이트 Do we really want to send web pages in e-mail? http://dsv.su.se/jpa[...] Dsv.su.se 2012-06-24
_[17] 웹사이트 HTML Email – Still Evil? http://www.georgedil[...]
_[18] 웹사이트 Trend-spotting email techniques: How modern phishing emails hide in plain sight https://www.microsof[...] Microsoft.com 2021-08-18
_[19] 웹사이트 DOD bars use of HTML e-mail, Outlook Web Access https://www.nextgov.[...] nextgov.com 2024-06-22
_[20] 웹사이트 Decade-old Efail flaws can leak plaintext of PGP- and S/MIME-encrypted emails https://arstechnica.[...] 2018-05-14
_[21] 문서 「セマンティクス (semantics)」のこと。[[セマンティック・ウェブ]]などを参照。
_[22] 웹사이트 Configuring Mail Clients to Send Plain ASCII Text https://web.archive.[...]
_[23] 웹사이트 HTML Email: Whenever Possible, Turn It Off! http://www.american.[...]
_[24] 웹사이트 HTML Email: The Poll http://birdhouse.org[...]
_[25] 웹사이트 Email Marketing Statistics and Metrics https://web.archive.[...]
_[26] 웹사이트 Not your ordinary html email tips https://web.archive.[...]
_[27] 웹사이트 Premailer: make CSS inline for HTML e-mail http://code.dunae.ca[...]
_[28] 웹사이트 電子メールHTML標準化を目指す - Email Standards Project発足 https://news.mynavi.[...]
_[29] 웹사이트 http://www.email-sta[...]
_[30] 웹사이트 A pretty fair argument against HTML Email http://www.burningdo[...]
_[31] IETF RFC 7.2.3. The Multipart/alternative subtype http://www.yahoo.com[...]
_[32] PDF TN1010-11-2: Multipart/Alternative — Gracefully handling HTML-phobic email clients. http://www.codestone[...]
_[33] 웹사이트 Sending HTML and Plain Text E-Mail Simultaneously http://www.wilsonweb[...]
_[34] 웹사이트 Do we really want to send web pages in e-mail? http://people.dsv.su[...]
_[35] 웹사이트 HTML Email — Still Evil? https://web.archive.[...]
_[36] 웹사이트 DOD bars use of HTML e-mail, Outlook Web Access https://web.archive.[...] 2007-09-21
_[37] 웹인용 Text Email vs HTML Email – The Pros and Cons {{!}} Thunder Mailer – Mass Emailing Software http://www.thunderma[...] 2016-01-30
_[38] 웹사이트 HTML Email: Whenever Possible, Turn It Off! https://subversion.a[...]
_[39] 웹인용 The Ascii Ribbon Campaign official homepage https://web.archive.[...] 2016-01-30
_[40] 웹인용 Shutdown of the ASCII ribbon campaign – Pale Moon forum https://web.archive.[...] 2016-01-30
_[41] 웹사이트 HTML Email: The Poll http://birdhouse.org[...] Scot Hacker
_[42] 웹인용 Email Marketing Statistics and Metrics – EmailLabs http://www.emaillabs[...] 2016-01-30
_[43] 웹인용 Real-World Email Client Usage: The Hard Data {{!}} ClickZ https://www.clickz.c[...] 2016-01-30
_[44] 웹인용 The Science of Email Marketing http://www.slideshar[...] 2016-01-30