ProtonMail은 무료로도 안전한가요?

무료 플랜도 유료와 동일한 종단간 암호화(E2EE)가 적용됩니다. 암호화 수준에는 차이가 없고, 저장 용량(1GB)과 이메일 주소 수(1개) 등 기능적 제약만 있습니다.

ProtonMail 가입할 때 전화번호가 필요한가요?

필요하지 않습니다. ProtonMail은 CAPTCHA 인증이나 기존 이메일 인증으로 가입할 수 있어서, 전화번호 없이 계정을 만들 수 있습니다. VPN을 켜고 가입하면 IP도 남지 않습니다.

Gmail에서 ProtonMail로 쓸 수 있는 이메일을 보내면 암호화되나요?

ProtonMail 사용자끼리 주고받는 이메일만 자동 종단간 암호화됩니다. Gmail로 보내면 Gmail 서버에서는 평문으로 저장됩니다. 비ProtonMail 수신자에게 암호화 메일을 보내려면 "비밀번호로 암호화" 기능을 사용해야 합니다.

SimpleLogin은 뭐고 왜 필요한가요?

SimpleLogin은 이메일 별칭(alias) 서비스입니다. 사이트마다 다른 별칭 주소를 만들어 쓰면, 진짜 이메일 주소가 유출되지 않습니다. Proton이 인수해서 Proton 유료 플랜 사용자는 SimpleLogin 프리미엄이 자동 포함됩니다.

ProtonMail 가입부터 설정까지 — 보안 이메일 시작 가이드

“보안 이메일 쓰고 싶은데, 뭘 써야 하지?”

이 질문을 검색하게 된 이유는 대충 짐작이 간다. Gmail에 쌓인 10년치 메일이 갑자기 찝찝해졌거나, 누군가한테 보낸 메일이 어디까지 읽히는지 궁금해졌거나, 아니면 회사 이직 준비 메일을 구글 서버에 두는 게 불안한 거겠지.

결론부터 말하면, ProtonMail은 현재 일반인이 쓸 수 있는 가장 현실적인 보안 이메일이다. 가입부터 설정까지, 한 번만 세팅해두면 된다.

Gmail은 왜 문제인가?

Gmail이 나쁜 서비스라는 이야기가 아니다. 다만 구조적으로 이런 거다.

Gmail은 서버-클라이언트 암호화를 쓴다. 전송 중에는 암호화되지만, 구글 서버에 도착하면 구글이 내용을 읽을 수 있는 구조다. 실제로 구글은 광고 타겟팅 목적으로 메일 내용을 분석해왔고, 현재는 “메일 내용을 광고에 사용하지 않는다”고 밝혔지만, 기술적으로 읽을 수 있는 구조 자체는 변하지 않았다.

수사기관이 영장을 들고 오면? 구글은 메일 내용을 제공한다. 미국 기업이니 미국 법원의 영장에 응하고, 한국 수사기관도 사법 공조를 통해 요청할 수 있다.

ProtonMail은 다르다. **종단간 암호화(E2EE, End-to-End Encryption)**를 쓴다. 내 기기에서 암호화되고, 받는 사람의 기기에서만 복호화된다. ProtonMail 서버에는 암호화된 데이터만 저장되고, Proton도 열쇠가 없어서 내용을 볼 수 없다.

여기에 스위스 관할권이 더해진다. 스위스는 EU의 GDPR보다도 강한 자체 데이터 보호법을 갖고 있고, Five Eyes·Nine Eyes·Fourteen Eyes 같은 국가 간 정보 공유 동맹에 가입하지 않았다. 스위스 법원의 영장이 있어야만 데이터를 요청할 수 있는데, 그 영장이 나와도 Proton이 넘길 수 있는 건 메타데이터(IP, 접속 시간)뿐이다. 메일 내용은 암호화되어 있어서 Proton도 복호화할 수 없다.

다만 완벽한 건 아니다. 2021년 Proton이 스위스 법원 명령에 따라 프랑스 기후 활동가의 IP 주소를 제공한 사례가 있다. 메일 내용은 제공하지 않았지만, IP는 넘겼다. 그래서 VPN 없이 ProtonMail만 쓰면 IP 수준의 신원 특정은 가능하다. 이 부분은 아래에서 다시 다룬다.

가입 과정 — 5분이면 끝난다

ProtonMail 가입은 전화번호가 필요 없다. 이게 Gmail과의 결정적 차이 중 하나다.

1단계: proton.me/mail에 접속한다.

2단계: “무료 계정 만들기”를 누른다. 사용자 이름과 비밀번호만 입력하면 된다. 복구 이메일이나 전화번호는 선택사항이다 — 익명성을 원하면 둘 다 건너뛰면 된다.

3단계: CAPTCHA 인증을 통과하면 계정이 생성된다. 간혹 이메일 인증을 요구하는 경우가 있는데, 이것도 전화번호가 아니라 기존 이메일로 인증 코드를 받는 방식이다.

여기서 한 가지. VPN을 켜고 가입하면 IP가 Proton 서버에 남지 않는다. 위에서 말한 2021년 사례처럼 IP가 넘어갈 수 있는 상황을 원천 차단하려면, 가입 시점부터 VPN을 켜두는 게 좋다. Proton이 자체 VPN 서비스(Proton VPN)를 무료로 제공하고 있지만, 가입 전이니 다른 VPN을 쓰든 Tor 브라우저를 쓰든 상관없다.

🟢 일반 사용자: VPN 없이 가입해도 실질적 위험은 거의 없다. 스위스 법원 명령이 내려질 정도의 상황이 아닌 이상, IP가 문제 될 일은 현실적으로 없다.

🟡 민감한 상황 (이혼 소송 준비, 내부 고발 준비 등 메일 사용 자체를 숨겨야 할 때): VPN + 개인 정보 없이 가입. 복구 이메일도 넣지 마라.

가입 후 반드시 해야 하는 보안 설정 3가지

계정을 만들었으면 3가지만 설정하면 된다. 5분이면 끝난다.

1. 2FA(2단계 인증) 켜기

비밀번호만으로 계정을 보호하는 건 자물쇠 하나만 건 거다. 2FA를 켜면 비밀번호가 유출되더라도 인증 앱의 코드가 추가로 필요해서 계정 탈취가 훨씬 어려워진다.

설정 방법: account.proton.me 접속 → 설정(⚙️) → 계정 및 비밀번호 → 2단계 인증 활성화 → 인증 앱(Proton Authenticator, Google Authenticator, Authy 등)으로 QR 코드 스캔.

복구 코드를 반드시 따로 저장해둬라. 폰을 잃어버리면 이 코드만이 계정에 다시 들어갈 수 있는 유일한 방법이다. 메모장에 적어서 서랍에 넣든, 비밀번호 관리자에 저장하든 — 어딘가 오프라인에 하나는 두자.

2. 복구 수단 설정

2FA 복구 코드와는 별개로, 비밀번호를 잊었을 때를 대비한 복구 수단이 있다.

설정 → 복구에서 복구 이메일 또는 복구 전화번호를 등록할 수 있다. 여기서 선택이 갈린다.

🟢 일반 사용자: 복구 이메일을 등록해두는 게 안전하다. 비밀번호를 잊으면 ProtonMail은 비밀번호를 재설정할 방법이 없다 — 복구 수단 없이 비밀번호를 잃으면 계정과 메일 전부를 잃는다. 편의와 보안 사이에서, 일반 사용자는 복구 이메일을 넣는 게 현실적이다.

🟡 민감한 상황: 복구 이메일을 넣으면 그 이메일과 ProtonMail 계정의 연결고리가 생긴다. 이 연결 자체를 원하지 않으면, 복구 수단 없이 비밀번호와 복구 코드만 관리하는 방법을 택해라. 대신 비밀번호와 복구 코드를 잃지 않도록 물리적으로 안전한 곳에 보관해야 한다.

3. SimpleLogin 연동 — 진짜 이메일 주소 숨기기

ProtonMail 계정을 만들었으면, 그 주소를 아무 데나 뿌리지 마라.

SimpleLogin은 이메일 별칭(alias) 서비스다. 사이트마다 다른 별칭 주소를 만들어서, 진짜 ProtonMail 주소는 어디에도 노출하지 않는 방식이다. 예를 들어 쇼핑몰에는 [email protected], 뉴스레터에는 [email protected]을 쓰는 거다. 별칭으로 들어온 메일은 전부 진짜 ProtonMail 주소로 전달된다.

Proton이 SimpleLogin을 인수했기 때문에 연동이 매끄럽다. SimpleLogin 가입 페이지에서 “Sign up with Proton”을 누르면 바로 연결된다.

무료 플랜에서는 별칭 10개까지 만들 수 있다. Proton 유료 플랜(Mail Plus, Unlimited 등)을 쓰고 있으면 SimpleLogin 프리미엄이 자동으로 포함되어 별칭 무제한 + 커스텀 도메인까지 쓸 수 있다.

이게 왜 필요한가? 한 사이트에서 데이터 유출이 터지면, 그 별칭만 비활성화하면 된다. 진짜 이메일 주소가 스팸 리스트에 올라가는 일이 없다.

무료 vs 유료 — 뭐가 다른가?

암호화 수준은 동일하다. 무료든 유료든 E2EE는 똑같이 적용된다. 차이는 이런 거다.

무료 (Proton Free): 저장 용량 1GB, 이메일 주소 1개, 하루 보낼 수 있는 메일 수 제한, 기본 고객 지원.

Mail Plus (연간 결제 시 월 $3.99, 월간 결제 시 $4.99): 저장 용량 15GB, 이메일 주소 10개, 커스텀 도메인 1개, 자동 답장, 다크 웹 모니터링(내 이메일이 유출 DB에 있는지 확인).

Unlimited (연간 결제 시 월 $9.99, 월간 결제 시 $12.99): 저장 용량 500GB, 이메일 주소 15개, Proton VPN·Drive·Calendar·Pass 전체 포함, SimpleLogin 프리미엄 포함.

현실적인 판단 기준은 이렇다. “보안 이메일이 필요하다”가 목적이면 무료로 충분하다. 메일을 많이 주고받거나, 여러 별칭을 쓰거나, Proton 생태계 전체(VPN, 클라우드, 비밀번호 관리자)를 묶어 쓰고 싶으면 Unlimited가 가성비가 낫다.

E2EE의 한계 — 이건 알고 써라

ProtonMail 사용자끼리 주고받으면 자동으로 E2EE가 적용된다. 문제는 상대방이 Gmail이나 네이버 메일을 쓸 때다.

ProtonMail에서 Gmail 주소로 메일을 보내면, 그 메일은 Gmail 서버에 평문(암호화 안 된 상태)으로 저장된다. ProtonMail 쪽에서 아무리 암호화해도, 받는 쪽이 암호화를 지원하지 않으면 소용없다. 편지에 자물쇠를 채워봐야, 받는 사람이 자물쇠 없는 우체통을 쓰면 결국 열린 채로 들어가는 거다.

이걸 해결하려면 ProtonMail의 “비밀번호로 암호화” 기능을 쓸 수 있다. 메일 작성 시 자물쇠 아이콘을 눌러 비밀번호를 설정하면, 수신자가 그 비밀번호를 입력해야 메일을 열 수 있다. 다만 비밀번호를 별도로 전달해야 하니 일상적으로 쓰기엔 번거롭다.

🟢 일반 사용자: ProtonMail끼리 주고받는 메일은 자동 E2EE. 외부로 보내는 건 “중요 정보면 비밀번호 암호화, 일상 메일이면 그냥 보내도 됨” 정도로 판단하면 된다.

내 상황에 맞게 판단하기

🟢 일반 사용자 — 이것만 하면 된다: ProtonMail 무료 계정 + 2FA 켜기 + 복구 이메일 등록. Gmail 대비 프라이버시가 구조적으로 낫고, 일상적으로 쓰기에 불편함도 없다. 앱도 iOS·Android 전부 있다.

🟡 민감한 상황 (정신건강 상담 이메일, 스토킹 피해 관련 연락, 이직 준비): VPN 켜고 가입 + 복구 정보 없이 가입 + SimpleLogin으로 진짜 주소 숨기기. 메일 주소와 신원의 연결고리를 최소화하는 게 핵심이다.

🔴 OPSEC 필요 (내부 고발, 취재원 보호): Tor 브라우저로 가입 + 복구 수단 없음 + Proton의 Onion 사이트(protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion)로만 접속. 이 수준까지 가면 이 글의 범위를 넘어서니, Proton의 보안 가이드를 직접 읽어라.

다만, 선은 분명히 있다

보안 이메일을 쓴다는 건 자기 대화를 지키겠다는 거다. 그건 당연한 권리이고, 이 글은 그걸 돕기 위해 쓴 거다.

다만 이메일 암호화가 면죄부는 아니다. 보안 이메일로 협박 메일을 보내거나, 유출된 사진을 돌리거나, 사기에 쓰면 — 암호화가 수사를 어렵게 만들 수는 있지만, 피해자는 존재한다. 기술적 보호막 뒤에서 누군가를 해치는 건 프라이버시 권리와 전혀 다른 이야기다.

프라이버시는 자기 영역을 지키는 거지, 남의 영역을 침범할 도구가 아니다.

지금 당장 할 것

proton.me/mail에서 무료 계정을 만든다.
2FA를 켠다. 복구 코드를 안전한 곳에 저장한다.
SimpleLogin을 연동해서, 앞으로 사이트 가입할 때 별칭 주소를 쓴다.

이 세 단계면 Gmail보다 구조적으로 안전한 이메일 환경이 갖춰진다. 5분이면 끝나는 일이다.