Gmail vs ProtonMail vs Tuta — 이메일 보안 비교
Gmail, ProtonMail, Tuta(구 Tutanota)의 암호화 방식, 수사 협조 정책, 관할권 차이, 무료 플랜 한계를 비교합니다. 이메일 보안이 필요한 상황별로 어떤 서비스가 맞는지 정리합니다.
이직 준비 메일을 회사 Gmail로 주고받고 있거나, 정신건강 상담 내역이 네이버 메일에 고스란히 남아 있거나, 아니면 그냥 “내 메일을 구글이 읽을 수 있다”는 사실 자체가 찝찝해졌거나. 이유는 다르지만 결국 같은 질문에 도달한다 — 내 이메일, 진짜로 안전한 건 어디인가?
Gmail, ProtonMail, Tuta(구 Tutanota). 이 셋을 암호화 구조부터 수사 협조 이력까지 하나씩 뜯어본다.
암호화 방식 — 구조가 근본적으로 다르다
Gmail: 전송 중에만 암호화
Gmail은 TLS(Transport Layer Security)로 이메일이 이동하는 동안은 암호화한다. 문제는 도착한 이후다. 구글 서버에 저장되는 시점에서 이메일은 평문(암호화되지 않은 상태)이다.
구글이 메일 내용을 “읽는다”는 건 사람이 하나씩 열어보는 게 아니다. 자동화 시스템이 스팸 필터링, 스마트 답장, 검색 인덱싱을 위해 메일을 분석한다. 2017년에 광고 타겟팅 목적 스캔은 중단했고, 2024년에는 Gemini AI 학습에 메일 내용을 사용하지 않는다고 공식 해명했다.
하지만 구조 자체가 바뀐 건 아니다. 구글은 기술적으로 메일 내용에 접근할 수 있고, 영장이 나오면 제공한다.
2025년부터 Gmail Workspace Enterprise Plus 사용자에게 CSE(Client-Side Encryption) 기반 E2EE가 제공되기 시작했고, 2026년 4월에는 모바일에서도 사용 가능해졌다. 다만 이건 유료 Workspace 기업 플랜 한정이다. 무료 Gmail 사용자에게는 해당 없다.
ProtonMail: 종단간 암호화 기본 적용
ProtonMail은 E2EE(End-to-End Encryption, 종단간 암호화)를 기본으로 쓴다. 내 기기에서 암호화되고, 받는 사람의 기기에서만 복호화된다. Proton 서버에는 암호화된 데이터만 저장되고, Proton도 복호화 키가 없어서 내용을 볼 수 없다.
ProtonMail 사용자끼리 주고받으면 자동 E2EE가 적용된다. 상대가 Gmail이나 네이버를 쓰면? 보내는 쪽에서 “비밀번호로 암호화” 기능을 수동으로 걸 수 있지만, 안 걸면 상대 서버에는 평문으로 도착한다.
암호화 기반은 OpenPGP다. PGP 키를 직접 관리하는 사용자와의 호환성이 있다는 게 기술적 장점이다.
Tuta: 자체 암호화 + 양자 내성
Tuta는 자체 암호화 프로토콜을 쓴다. PGP를 쓰지 않는 대신, 2024년 3월부터 TutaCrypt라는 양자 내성(post-quantum) 프로토콜을 기본 적용했다. CRYSTALS-Kyber(양자 내성 키 캡슐화)와 x25519(타원곡선 키 교환)를 결합한 하이브리드 방식이다.
쉽게 말하면, 미래에 양자컴퓨터가 현재 암호화를 깨더라도 Tuta의 메일은 보호된다는 구조다. 2025년 3월 기준으로 Tuta 사용자의 50%가 TutaCrypt를 사용 중이다.
Tuta 사용자끼리 주고받으면 자동 E2EE. 외부 수신자에게는 비밀번호로 암호화된 링크를 보낼 수 있다.
관할권과 수사 협조 — 누가 뭘 넘기나?
이메일 서비스의 보안은 암호화만으로 결정되지 않는다. 어느 나라 법을 따르는지, 수사기관이 요청하면 뭘 넘기는지가 현실적으로 더 크다.
Gmail — 미국법, 포괄적 데이터 제공
구글은 미국 기업이고, 미국 법원 영장에 따라 이메일 내용 전체를 제공한다. 한국 수사기관도 사법 공조를 통해 요청할 수 있다. 메일이 평문으로 저장되어 있으니, 영장만 있으면 내용까지 전부 넘어간다.
구글의 투명성 보고서에 따르면 전 세계 정부의 데이터 요청 건수는 매년 증가하고 있다.
ProtonMail — 스위스법, 메타데이터만 제공 가능
Proton은 스위스 기업이다. 외국 수사기관이 직접 요청할 수 없고, 스위스 법원을 통해야 한다. Five Eyes, Nine Eyes, Fourteen Eyes 같은 국가 간 정보 공유 동맹에도 스위스는 가입하지 않았다.
스위스 법원 명령이 나오면 Proton이 넘길 수 있는 건 메타데이터다 — 이메일 주소, 제목, 발신/수신자 주소, 마지막 로그인 시간, IP 주소. 메일 본문은 E2EE로 암호화되어 있어서 Proton도 복호화할 수 없다.
2023년 기준으로 Proton은 6,378건의 법적 요청을 받았다.
2021년 프랑스 활동가 사건이 이 구조의 한계를 보여줬다. 프랑스 경찰이 Europol을 통해 스위스 법원에 요청했고, 법원이 승인하자 Proton은 해당 사용자의 IP 주소를 기록해서 넘겼다. 메일 내용은 제공하지 않았지만, IP로 신원이 특정되어 체포됐다.
이 사건 이후 Proton은 개인정보 처리방침에서 “IP를 기록하지 않는다”는 문구를 삭제하고, “스위스 법을 위반하면 법원 명령에 따라 IP를 기록할 수 있다”로 수정했다.
Tuta — 독일법, 75% 요청 거부
Tuta는 독일 기업이고, 독일 법원의 명령에만 응한다. 2025년 기준으로 수사기관 요청의 75%를 거부했다.
독일법상 트래픽 데이터(접속 기록)를 요청하려면 독일 법원 판사의 영장이 필요하고, 살인·아청물·강도·협박 같은 중범죄에 한정된다. Tuta는 기본적으로 IP 주소를 기록하지 않으며, 특정 계정에 대한 실시간 모니터링 법원 명령이 있어야만 IP를 기록한다.
2020년 독일 법원 판결이 Tuta의 한계를 보여줬다. 쾰른 지방법원이 협박 사건 수사를 위해 Tuta에 특정 계정의 실시간 모니터링 기능을 구현하라고 명령했다. E2EE 암호화 자체를 깨는 백도어는 아니지만, 해당 계정으로 새로 들어오는 비암호화 이메일을 수사기관에 전달하라는 내용이었다. Tuta는 항소했지만, 독일 법원의 결정을 따를 수밖에 없었다.
무료 플랜 비교 — 현실적으로 쓸 수 있나?
세 서비스 모두 무료 플랜이 있다. 차이는 이렇다.
| Gmail | ProtonMail | Tuta | |
|---|---|---|---|
| 저장 용량 | 15GB (Drive·Photos 공유) | 500MB (체크리스트 완료 시 1GB) | 1GB |
| E2EE | 없음 (Workspace 유료만) | 기본 적용 | 기본 적용 |
| 이메일 별칭 | 없음 | 없음 | 없음 |
| 커스텀 도메인 | 없음 | 없음 | 없음 |
| 앱 | iOS, Android, 웹 | iOS, Android, 웹 | iOS, Android, 웹, 데스크톱 |
| 검색 | 전체 검색 | 제한적 | 제한적 (유료 시 전체) |
Gmail의 15GB는 압도적이지만, 암호화가 빠져 있다. ProtonMail과 Tuta의 무료 플랜은 용량이 작지만 E2EE는 유료와 동일하게 적용된다. 암호화 수준에 무료/유료 차이는 없다.
유료로 넘어가면 ProtonMail Mail Plus가 월 $3.99(연간 결제), Tuta Revolutionary가 월 3유로다. ProtonMail Unlimited(월 $9.99)는 VPN, Drive, Calendar, Pass까지 묶여 있고, Tuta Legend(월 8유로)는 500GB 저장 공간에 커스텀 도메인 10개까지 지원한다.
내 상황에 맞게 고르기
🟢 일반 사용자 — “Gmail이 좀 찝찝한데”
솔직히, 대부분의 일반 사용자에게 Gmail의 보안 수준은 실생활에서 문제가 되지 않는다. 수사기관이 내 메일을 뒤질 일도 없고, 구글이 내 메일을 사람이 읽는 것도 아니다.
그래도 구조적으로 바꾸고 싶다면 — ProtonMail이든 Tuta든 무료 계정 하나 만들어서, 민감한 용도(정신건강 상담, 금융 관련, 이직 준비)에만 쓰는 것으로 충분하다. Gmail을 완전히 버릴 필요는 없다.
🟡 민감한 상황 — 이혼 소송 준비, 가정폭력 피해 대피 계획, 성소수자라서 주변에 숨기는 상황
이메일 내용이 특정 사람에게 노출되면 현실적 위험이 생기는 경우다. ProtonMail이나 Tuta를 VPN 켜고 가입해서, 그 메일 주소를 기존 계정이나 신원과 연결하지 않는 게 핵심이다.
ProtonMail은 생태계(VPN, 클라우드, 비밀번호 관리자)가 넓어서 한 번에 묶기 편하고, Tuta는 양자 내성 암호화라는 기술적 우위가 있다. 둘 다 이 수준에서는 충분하다.
🔴 OPSEC 필요 — 내부 고발, 기자 취재원 보호, 인권 활동가
2021년 ProtonMail 사례가 보여주듯, IP 수준의 추적은 법원 명령으로 가능하다. 이 수준이면 Tor 브라우저로만 접속하고, 가입 시 어떤 개인 정보도 넣지 않아야 한다. ProtonMail은 Onion 사이트(protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion)를 운영하고, Tuta도 Tor 접속을 지원한다.
이 글의 범위를 넘어서는 영역이다. 이 수준이 필요하면 각 서비스의 보안 가이드를 직접 읽어라.
다만, 선은 분명히 있다
보안 이메일을 쓴다는 건 자기 대화를 지키겠다는 거다. 그건 당연한 권리고, 이 글은 그 판단을 돕기 위해 쓴 거다.
E2EE는 수사를 어렵게 만들 수 있지만, 그게 면죄부는 아니다. 보안 이메일로 협박을 보내거나, 유출된 사진을 돌리거나, 사기에 활용하면 — 암호화 뒤에 숨어도 피해자는 존재한다. 기술적 보호막과 윤리적 선은 별개의 이야기다.
프라이버시는 자기 영역을 지키는 도구지, 남의 영역을 침범할 수단이 아니다.
정리
세 줄로 요약하면 이렇다.
Gmail은 편하지만, 구글이 메일 내용에 접근할 수 있고 영장 시 제공한다. ProtonMail은 E2EE 기본 적용, 스위스 관할권, 넓은 생태계가 강점이지만 2021년 IP 제공 사례가 있다. Tuta는 E2EE + 양자 내성 암호화, 독일 관할권, 75% 요청 거부율이 강점이지만 PGP 비호환이다.
어떤 서비스가 “최고”라고 말하는 건 광고 글이나 하는 짓이다. 세 서비스의 구조적 차이를 알았으니, 자기 상황에 맞는 걸 고르면 된다.
지금 당장 할 게 하나 있다면 — 민감한 용도로 쓸 보안 이메일 계정 하나를 만드는 것이다. ProtonMail이든 Tuta든 5분이면 끝난다.
자주 묻는 질문
- Gmail은 이메일 내용을 읽을 수 있나요?
- 기술적으로 가능합니다. Gmail은 서버에 이메일을 평문(암호화되지 않은 상태)으로 저장하기 때문에, 구글은 내용에 접근할 수 있는 구조입니다. 2017년에 광고 목적 메일 스캔을 중단했지만, 스팸 필터링과 스마트 기능을 위한 자동 분석은 계속됩니다.
- ProtonMail과 Tuta 중 어떤 게 더 안전한가요?
- 둘 다 종단간 암호화(E2EE)를 제공하고, 서버에서 메일 내용을 읽을 수 없는 구조입니다. 차이는 관할권(스위스 vs 독일)과 암호화 방식에 있습니다. Tuta는 양자 내성 암호화(TutaCrypt)를 적용한 점이 차별점이고, ProtonMail은 PGP 호환성과 생태계(VPN, Drive, Pass)가 강점입니다.
- 무료 플랜으로도 보안 이메일을 쓸 수 있나요?
- 가능합니다. ProtonMail과 Tuta 모두 무료 플랜에서도 유료와 동일한 종단간 암호화를 제공합니다. 다만 ProtonMail 무료는 500MB(체크리스트 완료 시 1GB), Tuta 무료는 1GB 저장 용량 제한이 있어서, 메일을 많이 주고받으면 유료 전환이 필요합니다.
- 보안 이메일을 써도 수사기관에 정보가 넘어갈 수 있나요?
- 메일 내용은 종단간 암호화 덕분에 제공이 불가능합니다. 하지만 메타데이터(IP 주소, 접속 시간, 수신자 주소 등)는 법원 명령에 따라 제공될 수 있습니다. 2021년 ProtonMail이 프랑스 활동가의 IP를 스위스 법원 명령으로 넘긴 사례가 대표적입니다.