우리가 알고 있는 스팸은 메일, 문자, 팩스 등이 있다. 이런 고전적인 스팸 외에 음성스팸도 추가될 전망이다.
음성스팸은 SPIT이라고 표현하고 있다. Spam over Internet Telephony의 약자이다.
이 문제는 IT 주간지인 eWeek 12월 26일자 기사로 다루고 있다.
이런 가정을 해보자.
개인들의 인터넷폰(VoIP) 서비스 사용은 계속 늘어갈 것이다. 전통적인 전화기 기반의 하드웨어폰 시장과 함께 Skype같은 소프트폰이 더 많이 활용될 것이다.
피해를 많이 입히는 웜들의 특징 중 하나는 바로 스팸메일 발송 웜들이었다. 바이러스와는 달리 웜은 그 피해를 네트워크를 이용한다는 것인데, 숙주의 PC를 통해 그 PC에 들어있는 메일 주소록을 이용한 무차별적인 스팸 발송을 시도하는 것들이다. 이들을 통해 발송되는 스팸메일의 양은 어마어마하다. 어느 순간 자신의 PC가 스팸발송 근원지가 되어 있는 것을 알아차렸을때 정말 난감하다. 자신 명의로 발송된 수백, 수천 통의 스팸메일이 보내졌다고 생각해 보자.
그렇다면 만일 이런 상상은 어떨까? 내 PC에 설치된 소프트폰의 전화 주소록을 확보해서 스팸전화를 보낸다면? 누군가의 통화권을 이용하여 주소록에 등록된 사람들에게 전화를 건다면? 그리고 상대방이 수화기를 들었을때 등록된 지인의 번호가 뜨고 그 전화로 들리는 음성은 이미 녹음된 기계음의 광고라면?
바로 이런 것이 SPIT이다.
SPIT은 발신자 도용일 경우 비용의 손실까지 볼 수 있는 중대한 사안이다. 원격으로 소프트폰을 악용하여 소프트폰의 인증을 통해 전화를 걸 수 있기 때문에 금전적인 손실도 발생할 수 있다. 아니면 단순 주소록만 이용할 경우 또 다른 곳에서 전화를 무차별적으로 보낼 수 있다.
굳이 전화번호가 있는 주소록을 해킹할 필요도 없다. 그냥 전화번호부 한권만 구해서 프로그래밍하면 끝이다. 주소록은 귀찮게 번호 입력을 요하지 않기에 편리하다.
SPIT의 또 다른 문제는 DoS(Deny of Service) 공격이 가능하다는 것이다. 업무를 방해하기 위해 특정 회사의 전화로 계속 전화를 거는 것이다. 물론 불특정한 전화번호로부터 말이다. 마치 다양한 IP로부터 특정 서비스를 공격하는 것과 똑같다. 다만 IP가 아닌 전화번호라는 점만 다를 뿐이다.
SPIT을 이용해서 다른 사람이 비용을 내고 자신은 통화를 할 수 있는 것도 가능하다. 다이얼링은 해킹을 당한 쪽에서 걸고, 음성은 해킹을 한 쪽에서 보내는 것이다. 그럼 상대에게 공짜로 전화를 걸 수 있게 된다. 물론 해커에겐 공짜지만 도용당하는 사람은 비용을 고스란히 물어야 된다.
SPIT과는 좀 다르지만 'Robo-Call'이란 것이 있다. 말 그대로 사람이 아닌 자동 음성이 전화를 거는 것이다. 누구나 한두번 그런 경험이 있을 것이다. 여보세요 하고 받았는데, 녹음된 음성이 흘러나오는 것이다.
지난 미국 중간선거에서는 투표 직전까지 이 Robo-call이 기승을 부렸다. 미국 전체 등록 유권자의 64%가 이 Robo-call을 받은 경험이 있다고 조사되었다. (PIP Report)
SPIT이라고 단정 지을 수 있는 것은 원치않는 광고를 기계적으로 보내는 것이냐라는 관점이다. 또한 발송의 주체가 Internet Telephony 시스템을 이용하느냐의 차이다.
앞으로 이런 SPIT의 증가는 눈에 보일듯 선하다. 단순히 스팸봇의 방지 뿐만 아니라 VoIP 전반에 관한 보안은 많은 투자와 함께 관심을 가져야 한다.
