스팸메일이 지능화되고 있다고?
사실 그건 지능화가 아니고, 스팸메일의 입장에서는 생존본능이다.

어제 기사를 본 사람들은 알겠지만 다시 스팸이 늘고 있다는 보도다. 늘고 있는 이유의 가장 큰 원인은 바로 스팸 필터링 우회방법의 보급 때문이다.

기사 : [inews24] 스팸 1년새 두 배로…하루 610억 건

무슨 소리인고 하니, 기존의 스팸메일은 내용 기반의 필터링이 대부분이었다. 내용 중에 스팸으로 의심할만한 문구가 들어있으면 이를 스팸으로 간주하는 것이다.

예를들면, 본문 내용이나 제목 중에 '광고'라는 단어나 '가입' 등의 단어가 들어가면 일단 스팸으로 의심한다. 거기에다가 보낸 도메인 주소와 발송 IP를 조회 했을때 가짜라고 판명이 되면 이를 스팸으로 처리하는 그런 식의 필터링이었다.

그러나 언제부터인가 스패머들은 내용 기반의 필터링을 우회하고자 이미지를 사용하기 시작했다. 메일 내용이 딸랑 이미지로만 구성된 것이다. 그러다 보니 내용을 훓어보는 안티스팸 엔진이 이미지 스팸을 스팸으로 인식을 하지 않는 사태가 발생하는 것이다.

그래서 엔진에 규칙(룰)을 하나 추가한 것이 이미지로만 메일이 들어오는 것은 모두 스팸이다 라고 규정했다. 그랬더니 이번엔 이미지와 함께 쓸데없는 단어들을 넣어 필터링을 통과하는 것이었다. 스팸메일과 안티스팸엔진은 창과 방패라고 이야기를 한다. 말 그대로 서로 진화하면서 공격하고 방어를 하는 것이다.

스팸메일을 잘 구분하는 구글메일(gmail) 계정으로 하루에 한번씩 들어오는 스팸메일이 하나 있다. 구글메일 뿐만 아니라 일반 계정으로도 자주 들어오는 낯익은 메일이다.


'온하우스'라는 발신자명으로 매일 들어온다. 제목만 봐도 스팸이기에 보지 않고 있지만 오늘은 다른 메일 계정에서 한번 보았다. 전형적인 이미지 스팸이다. 그림 한장만 보내왔다.

참 우스운 것은, 왼쪽 아래 보면 '필터링 우회 프로그램 필터링 반대'라고 무슨 캠패인이라도 하는 듯한 문구를 붙여놨다. 또 한글 맞춤법도 모르는 듯, '오'와 '요' 구분을 못한다. 무식한 스패머라는 것을 스스로 알리고 있다.

이런 스팸은 일반 국내 초고속망에서는 보내기가 힘들어졌다. 초고속망 스팸메일은 발송자를 쉽게 찾을 수 있기 때문이다. 그래서 스패머들은 스팸 발송이 용이한 대학교나 연구소의 PC를 숙주로 삼아 발송하는 경우나 외국을 경유하여 발송하는 경우가 대부분이다.

보안에 무관심한 서버들을 경유한 스팸들이 계속 증가하고 있다. 어느날 연구실의 서버가 스팸의 발송지로 밝혀지는 경우를 종종 볼 수 있다. 관리자의 관심 외에는 대처할 방법이 없으므로 신경을 써야할 것이다.

이미지 스팸을 전혀 막을 수 없는 것은 아니다.

국내외에서 네트워크상의 이미지를 분석하는 솔루션을 개발하는 업체들이 속속 생기고 있는데, 이미지를 완전 분석 가능할 날도 멀지 않았다. 메일을 보지 않아도 이미지가 성인물인지 포르노인지, 스팸인지 아닌지 등을 판별할 수 있는 시기가 곧 도래할 것이다. 또한 발신자 인증 기반의 안티스팸 솔루션들 역시 이미지 스팸을 효과적으로 막을 수 있다.

스팸메일이 사라질 날이 오지 않을까 하는 기우는 하지 않는 것이 좋다. 그 말은 우리 생활에 마케팅이 사라지는 날이 오지 않을까 하는 생각과 다를바 없다. 메일을 사용하는한 스팸메일이라는 방법 역시 훌륭한 마케팅 방법이기 때문이다.

Posted by 까칠한 킬크

댓글을 달아 주세요

  1. Favicon of http://cansmile.tistory.com BlogIcon cansmile 2006.11.21 15:44  댓글주소  수정/삭제  댓글쓰기

    음.. 이미지 분석이로군요.
    위엣 부분 읽으면서 문자인식 프로그램을 응용하면 어떨까라는 생각을 했었는데, 훨씬 낫겠군요.

  2. ebiz177 2006.11.23 12:50  댓글주소  수정/삭제  댓글쓰기

    다른 이야기이지만, 저 메일의 "필터링 반대"는 현재 우리나라에서 하고 있는 외국의 한글로된 유해사이트(도박, 포르노등)를 DNS에서 필터링해서 아예 사이트 접속을 차단하는 것을 얘기하는 것 같습니다.
    예전에는 일부 ISP에서만 하던데, 지금은 거의 모든 ISP가 국가에서 정한 사이트에 대해 필터링을 하는것 같습니다.