구독상품안내
20대 여성 직장인 김아무개씨는 최근 자주 쓰던 메일을 열기가 두렵다. 하루 수십통씩 쏟아져 들어오는 스팸메일 때문이다. 평소 인터넷 서핑과 게시판 글쓰기를 너무 좋아했던 탓일까. 지우고 지워도 계속해서 쌓이는 스팸메일은 좀처럼 끊이지 않는다.
얼마 전에는 음란 스팸에 봉변을 당하기도 했다. 무심코 얼굴이 화끈해지는 사진이 담긴 음란 메일을 열었던 것. 그것도 남자 동료들이 모인 자리에서였다. 재빨리 윈도우를 닫았지만 오히려 수많은 링크사이트창이 연달아 떠올랐다. 스팸 방지에 효과 만점이라는 소프트웨어를 깔아봤지만 오히려 역효과였다. 정상 메일을 스팸으로 간주해 차단해버린 것이다. 결국 김씨는 울며 겨자먹기로 오랫동안 사용해온 정든 주소를 포기하고 새 주소를 갖기로 했다. 하지만 새로운 메일 계정을 사용한다 해도 정말 스팸메일을 받지 않을까. 오늘도 김씨는 컴퓨터를 켜며 찝찝함을 감출 수 없다.
이같은 일은 단지 김씨만이 겪는 문제가 아니다. 한국정보보호진흥원이 지난해말 발표한 자료에 따르면 지난해 전자우편 계정 1개당 수신한 스팸메일 개수는 하루평균 8.35개, 개인당 34.89개에 이르는 것으로 집계됐다. 특히 최근 국내에서 발송되는 이메일의 80%가 스팸메일이라는 충격적인 통계 결과도 나왔다. 전세계에서 스팸메일로 인해 발생하는 피해액은 한달평균 1백4억달러(12조원). 이는 컴퓨터 바이러스에 의한 피해액 89억달러를 훨씬 웃도는 수치다.
스팸메일로 인한 피해는 점점 대형화되고 있다. 매년 2배씩 늘어나고 있는 추세. 지난 2월15일에도 유명 인터넷사이트를 해킹해 회원들의 메일 주소 22억개를 빼낸 뒤 시중에 유통시킨 일당이 검거되는 사건이 발생했다. 이들 일당은 포털사이트의 프로그램상 허점을 찾아내 이같은 범행을 저지른 것으로 알려졌다. 스팸메일은 또 국제 문제로 비화되고 있다. 연간 해외에서 국내로 들어오는 스팸메일이 전체 스팸메일의 20%를 웃돌기 시작한 것. 미국과 중국, 일본은 세계 최대의 스팸메일 발송국으로 낙인 찍혔다. 인터넷이 발달한 우리나라는 이들 나라의 주요 표적이 되고 있다.
이런 이유로 스팸메일 근절은 한 나라만의 문제가 아니라 전세계적인 화두로 떠올랐다. 지난해 세계 27개국 정보통신 관계자들이 한자리에 모여 스팸메일 확산을 막기 위해 상호협력하자고 합의한 것은 그 심각성을 잘 말해주고 있다. 지난 1월과 2월 열린 세계경제포럼과 OECD 관계기관 연석회의에서도 스팸메일에 대한 국제적 대응방안이 심각하게 논의됐다. 특히 한국처럼 초고속통신망이 잘 정비된 국가들은 본질적인 근절 방안을 마련하기 위해 고심하고 있다. 최근 관련법 강화, 이동통신회사들의 자율 규제 제도의 시행은 바로 이러한 배경에서 이뤄진 것이다. 이처럼 국제 공조와 관련법 강화가 진행되고 있는 가운데 방지 기술 분야에서도 새로운 움직임이 일고 있다.
빌 게이츠 마이크로소프트(MS) 회장이 지난 1월 세계경제포럼과 아랍정보장관회의에 잇따라 참석해 1-2년 안에 스팸메일을 완전히 추방하겠다고 공언한 것이다. MS의 이같은 발표에 이어 야후와 아메리카온라인도 획기적인 방지기술을 도입하겠다고 발표했다. 세계 IT업계의 대표 주자인 3사의 발표는 앞으로 국내외 IT업체들에게도 적지 않은 영향을 미칠 것으로 예상된다. 특히 세계 PC용 운영체계(OS)시장의 90%를 장악하고 있는 MS의 움직임에 귀추가 주목되고 있다.
응답률 0.001% 안돼도 경제 효과
지난해 미연방통상위원회(FTC)의 한 보고서는 발송된 메일에 대한 응답률이 0.001%에 불과해도 7%가량 매출을 늘릴 수 있다는 결과를 내놨다. 미국의 유력일간지 뉴욕타임스도 한 조사결과를 인용해 광고성 메일 1백만통 가운데 10통만 응답이 와도 광고효과가 있는 것으로 봐야한다고 보도했다. 스팸메일이 갖는 경제적 효과는 지능적인 발송기술을 끊임없이 낳는 원인으로 작용한다.
일반적으로 메일 발송 방법은 메일서버를 구축해 직접 발송하는 경우와 메일링서비스회사가 제공하는 계정을 이용하는 방법 두가지로 크게 나뉜다. 이 두방식은 비교적 정상적인 방법으로 가난한 광고주에게는 적은 비용으로 상품들을 홍보할 수 있는 매력적인 방식이다.
문제는 대량으로 불법 성인 광고 혹은 사기성 메일을 발송하는 경우다. 이때 스패머들은 유동 IP를 이용해 추적을 어렵게 만들거나 다른 서버에 침입해 도용하는 ‘스팸릴레이’ 라는 방법을 주로 애용한다. 스패머들이 유동IP나 스팸릴레이를 이용하는 까닭은 대량 발송이 쉽고 발신자 추적이 어렵다는데 있다. 최근 스팸메일이 크게 늘어난 것도 이런 방식을 이용한 메일 발송이 늘고 있기 때문이다.
스팸메일 확산의 주범은 이뿐만 아니다. 게시판과 커뮤니티 사이트에서 메일주소를 대량 추출하는 기술도 스팸메일 확산에 일조하고 있다. 모든 메일 주소에 붙어있는 ‘@’(일명 골뱅이)를 인식해 한꺼번에 수만개의 주소를 추출하는 이 방식은 이미 일반에 잘 알려진 기술이다. 실제 ‘성공적인 비즈니스 동반자’ 메일주소 추출기를 10-20만원에 판매한다는 내용의 메일은 심심찮게 어디서나 발견된다.
최근 이보다 좀더 지능화된 방법도 생겨났다. 주소 생성기라고 불리는 이 기술은 아이디가 될만한 단어로 메일 주소를 만든 뒤 무작위로 발송하는 방식이다. 다양한 단어 조합을 통해 거의 무한대로 주소를 만들어 발송하기 때문에 주소 추출이 완벽히 차단된다 해도 스패머들은 얼마든지 메일을 보낼 수 있다.
소빅, 마이둠 같은 신종 웜 바이러스를 이용한 신종 스팸메일도 기승을 부리고 있다. 웜 바이러스는 수신자 컴퓨터에 남아 수신자와 메일을 주고받았던 사람들의 메일 주소를 주인 몰래 빼내간다. 스팸메일이 바이러스나 범죄집단과 결합하고 있는 것은 최근의 일반적 현상이다.
쫓고 쫓기는 기술 전쟁
스팸 방지기술은 어쩌면 스패머들의 지능화된 수법과 함께 발전했다고 해도 과언이 아니다. 최근 방지기술은 스팸메일을 걸러내는 쪽에 무게를 두고 있다. 이미 엄청난 량의 메일 주소가 시중에 유통되고 있어 새 추출 방지기술을 개발하는 일은 무의미하기 때문이다
대표적인 방지기술로는 메일을 단어 단위로 쪼개 스팸인지를 판단하는 경험적 통계적 방법, 메일에 포함된 특정 단어의 개수로 스팸을 판단하는 방법, 악성 스패머로 분류된 블랙리스트로 관리하는 방법 등이 있다. 또 등록된 사람에게만 대량메일발송을 허가하는 전자우표제도도 스팸 확산을 막는 대표적인 기술이다. 보통 이들 기술은 개별적으로 사용되지 않고 3-4개가 서로 보완하는 형태를 띠는 것이 일반적이다.
문제는 지금까지 발표된 방지기술들이 스팸메일을 완벽히 차단하지 못한다는 점이다. 현재 국내에 출시된 개인용 스팸방지 소프트웨어는 모두 7-8종. 이들이 스팸을 걸러내는 비율은 높아봤자 70-80%를 넘지 못한다. 기업에서 도입한 스팸메일 방지 시스템도 80-90% 가량 걸러낼 수 있을 뿐이다. 특히 회원층이 넓은 포털의 경우에는 50-60%로 그 비율은 더욱 낮아진다. 이처럼 여러가지 기술들을 총동원했음에도 불구하고 스팸메일을 뿌리뽑지 못하는 까닭은 무엇일까. 각각의 기술이 안고 있는 한계와 틈새 때문이다.
이런 가운데 확실한 스팸 척결 기술을 개발하겠다는 빌 게이츠 회장의 선언은 의미심장하다. MS는 이미 지난해 스마트스크리닝이란 스팸 방지 기술을 선보인 바 있다. 이 기술은 수많은 윈도 사용자들이 수집해준 정보를 토대로 스팸 메일 정보를 축적하고 이를 활용해 스팸메일을 걸러낸다는 개념이다.
이와 별도로 최근 MS가 새롭게 개발중인 방지기술 가운데 대표적인 것이 페니블랙 프로젝트와 송신자 검증기술이다. 이 가운데 주목받고 있는 페니블랙은 PC가 메일을 발송할 때 일정 간격의 시간차를 갖게 하는 기술이다. 메일을 보낼 때마다 수리문제를 풀게 만들어 PC 중앙처리장치에 부하를 주겠다는 것. 한두통의 메일을 전송하는 일반인들에게 불과 몇초 동안의 지체는 별문제가 아니지만 한번에 수백만통의 메일을 발송하는 스패머에게는 상당한 시간낭비인 셈이다.
MS가 준비중인 또다른 방지기술은 메일에 암호화한 메일 송신자 정보를 심는 기술, 일명 송신자 검증기술이다. 메일서버가 송신 여부를 묻는 메시지를 다시 발송자에게 띄워 인증절차를 거치게 한다는 개념이다. 송신자 정보가 드러나기 때문에 악성메일을 줄이는데 보탬이 될 것이라는 전망이다.
상당수 전문가들은 두기술이 향후 출시될 윈도운영체계(OS)에 기본 내장될 것으로 예상한다. 한국정보보호진흥원 스팸메일대응팀의 한 관계자는 “윈도가 전세계 컴퓨터 OS시장의 90% 점유율을 차지하고 있는 만큼 이같은 기능을 OS에 추가할 경우 스팸확산을 상당 부분 줄일 수 있을 것” 이라고 말했다.
이와 같은 OS기반 기술과 함께 야후와 아메리카온라인이 도입하겠다고 발표한 새 우표인증시스템과 전자우표제, 학습알고리듬과 인공지능을 이용한 방지 기술들이 도입되면 스팸메일의 기세는 상당부분 누그러질 것으로 보인다.
스팸메일 누가 판별할 것인가
하지만 최고의 방지기술이 개발된다고 해도 스팸메일이 근절될 것으로 보는 전문가는 거의 없다. 마치 살아있는 생명체 같은 인터넷의 특성상 어디엔가 허점이 있을 수밖에 없기 때문이다. 지란지교소프트 안티스팸연구실 윤두식 부장은 “스팸인지 정상인지 판단은 메일을 받아본 개개인에 따라 기준이 다르다” 며 “어떤 기술로도 각각의 기준을 충족시키지 못한다” 고 말한다. 누군가에게는 쓰레기인 것이 다른 사람에게는 좋은 정보가 될 수 있다는 말이다.
미 매사추세스공대(MIT)에서 나오는 ‘테크놀로지리뷰’ 2월호도 “호기심 많은 프로그래머들이 새 방지기술들을 무력화하기 위해 경쟁적으로 뛰어들 것이라면서 결국 냉전시대 무한군비경쟁과 같은 상황이 반복될 것” 이라고 경고했다.
스팸기술과 방지기술이 평행선을 그리며 발전할 것이라는 전망이다. 실제로 필터링을 피하기 위해 이미지로만 메일을 만들거나 하이퍼텍스트언어(HTML)태그를 변형하는 등 틈새를 노린 스팸메일이 최근 크게 늘고 있다. 또 해커나 범죄조직과 결합하면서 해킹툴로 컴퓨터에 침입해 메일을 대량 발송한 뒤 사라진다거나 파산한 회사가 사용했던 IP를 도용하는 등 수법이 더욱 교활해지고 있다.
법적 규제와 인터넷 관련회사들의 자율 규제, 국제 협력이 필요한 것은 바로 이같은 이유에서다. 기술적 한계가 뚜렷하기 때문에 법 제도와 사회적 약속으로 보완해야 한다는 것이다. 이런 가운데 합리적인 제도 개선안으로 떠오른 것이 옵트인 방식이다. 옵트인이란 수신자가 사전에 수신을 허락한 발송자만이 메일을 발송할 수 있다는 것을 뜻한다. 메일을 받아본 뒤 거부의사를 밝혔던 기존 방식(옵트아웃)보다 스팸메일 발생률을 크게 낮출 수 있다는 점에서 특히 주목받고 있다.
물론 이 방식도 수신자가 필요한 메일서비스에 일일이 등록해야 하는 번거로움이 있고 정상적인 메일까지 차단하는 등 몇가지 한계를 갖고 있다. 하지만 오랜 논란 끝에 최근 옵트인 방식을 도입하는 방향으로 가닥이 잡힌 것으로 알려졌다. 지난 7월과 11월 정보통신부 주체로 열린 두차례 정책토론회에서는 새로 도입될 제도를 놓고 심도있는 논의가 펼쳐졌다. 각계 의견을 종합한 규제 강화방안은 종합적인 검토가 끝나는 3월 중 나올 전망이다.
전문가들이 권하는 스팸대처법
■ @를 쓰지 마라. user@damain. com처럼 완벽한 형태의 메일 주소는 좋은 표적이 된다. 대신 ‘domain.com의 user’ 나 ‘user at domain dot com’ 으로 변환해 쓰는 것이 좋다.
■ 주소는 길게 만들어라. kim@damain. com같은 주소는 누구나 쉽게 생각할 수 있다. 메일생성기를 이용하는 스패머들의 좋은 표적.
■ 스팸메일 필터를 반드시 사용한다. 아웃룩익스프레스에 있는 기능이나 전문 소프트웨어를 이용하는 것이 좋다. 관련기관에서 무료로 프로그램을 내려받을 수도 있다. 물론 완벽히 걸러내기를 기대한다는 것은 오산이다.
■ 컴퓨터 보안에 신경 써라. 최근 바이러스를 이용해 개인 정보를 유출하는 사례가 늘고 있다. 바이러스와 스팸은 공존 관계라는 것을 명심한다.
■ 귀찮지만 반드시 신고하라. 한국 정보보호진흥원과 공정거래위원회, 이동통신사 등 관계기관에는 악성스팸메일 신고 접수를 받고 있다.
불법스팸대응센터 www.spamcop.or.kr
■ 수신거부를 묻는 질문에 답하지 말라. 메일 주소가 살아있다는 것을 증명하는 꼴이다.
■ 정보메일 수신 여부를 물을 때 단호하게 거부하라. 정보메일이 나중에 필요할 것 같지만 결코 그렇지 않다. 특히 메일주소를 다른 용도로 사용해도 되는지 묻는 질문에도 절대 동의해선 안된다.
■ 여러개의 메일계정을 운영하라. 업무나 극히 개인적인 메일, 스패머들에게 노출돼도 무관한 메일주소를 구분하라.
■ 인터넷에 메일 주소를 남겨놓지 마라. 스팸메일을 막는 가장 효과적인 방법이다.
