1990년대 중반 이메일은 대중적 통신 수단으로 자리 잡는다. 마케팅 비용이 거의 들지 않는다는 점을 악용한 '스팸(SPAM)' 메일이 폭발적으로 증가했고 네트워크 대역폭의 심각한 낭비와 업무 생산성 저하를 초래하는 주요 원인이 된다.
보안업계는 이를 차단하기 위해 메일 본문 내용을 분석해 스팸 여부를 판단하는 기술을 도입했다. 스팸 발송자와 보안 시스템 간에 벌어지는 끝없는 쫓고 쫓기는 전쟁의 서막이었다.
초기 스팸 차단 시스템은 주로 메일 본문의 텍스트를 분석하는 키워드 필터링에 의존했다. '광고', '무료', '비아그라' 등 특정 단어나 문구를 포함한 메일을 단순 차단하는 방식이다.
메일 제목에 특수문자를 과도하게 포함하고 있거나 발신자 정보가 불분명할 경우 일정 기준치를 넘기면 스팸으로 간주하는 휴리스틱(Heuristic) 기법이 등장했다. 하지만 공격자들은 곧바로 방어 기술의 맹점을 파고들어 필터링을 우회하는 단어 사이에 임의 공백이나 특수기호를 삽입했고, 나아가 텍스트 자체를 이미지로 변환해 메일에 첨부하는 등 교묘한 기법으로 필터링 망을 무력화했다.
이메일 '내용(콘텐츠)' 분석만으로 스팸을 완벽히 차단할 수 없다는 사실이 입증되면서, 방어의 초점은 '무엇을 보냈는가?'에서 '누가, 어디서 보냈는가'로 이동한다. 스팸을 발송하는 IP 주소 목록을 실시간 공유하는 RBL(Real-time Block List) 기술이다.
스팸 하우스(Spamhaus) 같은 글로벌 기관은 전 세계 네트워크 트래픽을 실시간 모니터링해 악의적 스팸 발송원, 개방형 프락시, 봇넷에 감염된 IP 등을 식별하고 블랙리스트에 등재한다.
오늘날 스팸 차단 시스템은 콘텐츠 필터링과 발신자 평판 분석을 결합한 다중 계층 하이브리드 방식이 주류다. 하지만 이러한 방어 체계의 고도화에도 불구하고 스팸메일 수십 문제는 완전히 해결되지 않았다. 방어 체계가 발전할수록 공격자 역시 정상적 인프라로 위장하거나 새로운 방식으로 우회하는 기법을 끊임없이 시도하기 때문이다.
스팸 문제를 근본적으로 해결하려면 출처가 불분명한 메일을 일단 수신하고 보는 기존 구조에서 탈피해야 한다. 수신 메일이 정상 등록된 메일 서버에서 발송됐는지, 아니면 악성 목적을 띤 비정상적인 서버에서 발송됐는지를 사전에 명확히 검증할 수 있어야 한다.
본래 SMTP 시스템은 정확한 화이트리스트 기반의 신뢰할 수 있는 전송 기술로 설계 및 운용되어야 마땅하다. 출처를 알 수 없는 메일을 계속해서 수용하는 구조적 한계를 극복하고, 정상적으로 등록된 메일 서버를 중심으로 한 강력한 신뢰 기반 전송 체계를 확립하는 것만이 끝없는 스팸 전쟁을 종식할 수 있는 확실한 방향이다.
정희수 sky@realsecu.net
