보안

알고 쓰면 손발이 편하다 ‘스팸필터 활용 노하우'

Calvin Sun | Computerworld 2008.09.02

메일함을 귀찮은 정보들로 꽉꽉 채워 시간을 낭비하게 만드는, 게다가 맬웨어(malware)까지 퍼트리는 애물단지인 스팸(Spam). 가뜩이나 골칫거리로 부각되고 있는 스팸이 갈수록 그 규모를 더해가고 있다.

 

메시징 및 콘텐츠 통제 관련 연구를 진행하고 있는 페리스 리서치(Ferris Research)의 조사 결과에 의하면 2008년 한 해에만 총 40조 개 이상의 스팸 메시지들이 배포됐으며, 이를 정리하는 데만 총 1,400억 달러 상당의 비용이 들 것으로 추산되고 있다. 이는 지난 2006년 18조 개, 2007년 30조 개와 비교했을 때 급격히 늘어난 수치다.

 

이론적으로, 이메일 필터링 소프트웨어 및 장치 등을 구비하면, 불필요한 스팸 메일들이 모두 걸러져야 하는 것이 정상이다. 그러나 현재 시중에 제공되고 있는 필터들은 실제로 스팸 메일의 범람을 완벽하게 차단하지 못하고 있다.

 

이들 필터들은 스팸 메일을 정상적인 메일로 착각하고 거르지 않을 때도 있고(이를 ‘부정 오류’라 한다), 반대로 정상적인 메일을 스팸 메일이라 오인하여 차단할 때도 있다(이는 ‘긍정 오류’라 표현한다).

 

발송된 메일이 스팸이라고 판명이 났을 경우, 일반적으로 필터링 소프트웨어들은 해당 스팸 메일을 수신하지 않거나, 스팸 메일 전용 폴더에 이들을 몰아 넣어두어 사용자들이 확인할 수 있도록 배려한다.

 

확실히 후자의 경우 긍정 오류로 인한 정상적인 메일의 손실을 방지할 수 있다는 장점이 있지만, 사실 사용자가 일일이 스팸 메일 내역을 확인하는 것이 번거로울 수 밖에 없기 때문에 대부분의 사용자들은 스팸 메일 전용 폴더를 들여다 보지 않는 경우가 많아 그 실효성이 크지는 않다

 

개인 사용자든 기업이든 할 것 없이, 스팸을 지우기 위해서는 일정 비용을 지불해야 한다. 페리스 리서치에 의하면, 한 메시지를 삭제하는데 0.04 달러 정도의 비용이 소모되는 것으로 알려졌다.

 

그러나 페리스 애널리스트 리치 제닝스는 스팸 메일을 삭제하는 비용보다, 정상적인 이메일을 놓침으로써 발생하는 비용 손실이 더 크다고 지적했다. 실제로 필요한 메일 한 개를 읽지 못할 경우 3.5 달러 정도의 손실이 발생한다고 그는 덧붙였다.

 

특히 기업의 경우 긍정 오류로 인해 정상적인 이메일을 놓침으로써 자칫 큰 손해를 볼 수 있다고 제닝스는 말했다. 한 예로 컨설팅 회사가 클라이언트의 컨설팅 의뢰 내역이 담긴 이메일을 놓치게 되면, 상당한 잠재적 손실을 입을 수 있다.

 

변화하는 필터링 기술

스팸 필터들에 의한 긍정 오류를 최소화하기 위해선, 그들이 어떤 방식으로 작동하는 지 알 필요가 있다. 점점 더 교묘해지는 스팸 메일들에 대응하기 위해 필터들은 지금까지 다양한 기술들을 중복 적용시켜 왔다. 아래는 지금껏 활용되어 왔던 몇몇 유명한 필터링 기술들을 시대 순으로 나열한 것이다.

 

◇키보드 기반 필터링과 베이시안(Bayesian) 필터 : 처음에는 단순히 제목과 메일 내용에 일정 단어를 검색하는 방식을 사용했다. 즉 “비아그라” 또는 “온라인 약국” 등과 같은 단어들이 있는 지 직접 검색해 보는 것이다.

 

이보다 한 단계 발전한 것이 바로 베이시안 분석법인데, 이는 기존의 키워드 검색과 더불어 “좋은 단어”와 “나쁜 단어” 비율을 측정하여, 이를 바탕으로 스팸 메일 여부를 결정하는 방식이다.

 

◇C-R (Challenge Response) 방식 : 확인되지 않은 발신자들에게 본인 확인 인증을 거치게끔 하는 방식이다. 특정 글자나 기호들을 이미지로 제시해 이를 따라 적도록 하는 방법을 사용하는데, 소위 CAPTCHA(변형 문자 입력 방식)라 불리는 인증 기술이 바로 그것이다.

 

이는 스팸 메일을 자동으로 발송하는 컴퓨터들로 인해 전송된 메일들을 걸러내기 위한 기술 중 하나로 활용되고 있다. 인간은 특정 글자를 직접 인식, 입력할 수 있지만, 컴퓨터는 그러한 작업을 수행해 내지 못한다는 사실을 적극 활용한 것이다. 발신자 인증이 완료되면, 해당 메일은 별다른 스팸 메일 필터링 없이 바로 받은 메시지 함으로 전송된다.

 

◇블랙리스팅, 화이트리스팅, 신용도 리스팅 : 이 기술을 사용하는 필터의 경우 메시지를 평가하는 것이 아니라, 발신자의 성향을 평가한다. 즉, 발신자의 스팸 메일 발송 이력을 살펴 보는 것이다.

 

- 블랙리스트는 전세계적으로 유명한 스팸 메일 발송자들의 IP 주소들을 모아놓은 리스트다. 스팸 필터는 위의 IP 주소로부터 발송된 메일들을 차단하는 역할을 수행한다.

 

블랙리스트들 중에는 (해당 기업 내부에서 자체 관리하는) 로컬 리스트가 있고, (한 개의 기업이 아닌 여러 사람들이 사용할 수 있도록 공유되는) 리모트 리스트가 있는데, 이 두 가지 리스트가 따로 사용될 때도 있지만, 같이 중복 활용되는 경우도 있다. 몇몇 리모트 리스트들은 무료로도 제공되지만, 대부분의 리스트들은 유료로 구입한 후 사용하여야 한다.

 

- 화이트리스트는 반대로 “믿을 만한 이메일 주소”들을 모아놓은 리스트다. 필터들은 화이트리스트에 포함되어 있는 주소들로부터 발송된 메일들은 자동으로 통과시켜준다. 블랙리스트와 마찬가지로 화이트리스트도 로컬 리스트와 리모트 리스트로 분류할 수 있는데, 이를 따로 사용하는 경우도 있고, 같이 사용하는 경우도 있다. 더불어 대부분의 스팸 필터들은 블랙리스트와 화이트리스트를 함께 사용한다.

 

- 신용도 리스트 서비스는 블랙리스트, 화이트리스트와 유사한 개념이지만, IP 주소를 넘어 전체 도메인까지도 필터링 평가 대상으로 활용한다는 점에서 다르다고 말할 수 있다. 그러나 업계에서는 신용도 리스트라는 단어를 다양한 의미로 사용하기 때문에 그 개념을 정확하게 정의하기에는 무리가 따르는 것이 사실이다. 실제로 “블랙 리스트”와 “신용도 리스트”는 같은 뜻을 지닌 단어로 혼용되기도 한다.

 

- 몇몇 업체들은 “신용도 리스트” 또는 “신용도 서비스” 등을 블랙 리스트, 화이트 리스트 보다 더 전문적인 개념인양 홍보하기도 한다. 그러나 제닝스는 신용도 리스트가 반드시 더 전문적이라는 보장은 없고, 반대로 모든 블랙리스트들이 “긍정 오류”의 위험에 노출되어 있다는 식의 이야기도 사실이 아니라고 지적했다. “아직까지 시중의 블랙리스트 또는 화이트리스트들과 확연히 구분되는 신용도 리스트를 본 기억이 없다”고 제닝스는 덧붙였다.

 

◇그레이 리스팅 : 수신인의 이메일 시스템이 알려지지 않은 IP 주소로부터 발송된 메일들을 일시적으로 차단한다. 이 경우 차단 대상을 선정하는데 있어 화이트리스트나 블랙리스트에 구애 받지 않는다.

 

이 후 발신인에게 메일을 보내 메일 발송에 일시적인 오류가 발생했음을 통보한다. 이 경우 제대로 된 발신인의 경우 단순히 다시 메일을 재 발송 하겠지만, 스팸 메일의 경우 재 발송을 하지 않을 가능성이 높다는 사실을 이용한 것.

 

◇타피팅(Tarpitting) : 메일 서버가 가능한 한 메일 전송 시간을 지연시킴으로써, 오랜 시간을 기다릴 여유가 없는 스팸 메일 발송자들을 걸러내는 기술이다. 이 기술의 명칭은 실제 천연 아스팔트 구덩이를 일컫는 ‘Tar pit’에서 유래한 것.

 

실제로 상당 수의 동물들이 이 구덩이 속에 빠져 헤어나오지 못해 죽는 경우가 많았던 것으로 알려졌다. 이 때문에 최초의 타피팅 프로그램은 아스팔트 구덩이가 있던 로스엔젤레스의 지명 이름을 따 엘레이브레아(LaBrea)라고 불리기도 했다. 이 기술의 단점은 물론, 정상적인 이메일의 전송 시간도 함께 지연된다는 점이다.

 

◇순환 패턴 감지(Recurrent Pattern Detection: RPD) : 순환 패턴 감지 기술(RPD)은 스팸 메일이 유포될 경우, 광범위한 범위에 걸쳐 확산될 것이라는 가정을 바탕에 둔 기술이라 할 수 있다. 보안 기업인 커먼터치에 의해 개발, 유지되고 있는 이 RPD 시스템은, 스팸 메일이 발송되었을 경우, 해당 스팸의 유통 경로 및 패턴을 잡아내 이를 중앙 데이터베이스 시스템에 업데이트하는 방식을 사용한다. RPD 시스템을 사용하는 이메일에 스팸 메일이 들어 닥칠 경우, 해당 스팸 메일은 삭제되거나 격리된다.

 

긍정 오류를 극복할 수 있는 방법

발신인의 입장에서든 수신인의 입장에서든, 긍정 오류로 인한 실수를 줄이는 것이 기업 입장에서는 특히나 필수적이다. 그러나 그렇다고 스팸 필터를 아예 사용하지 않을 수는 없는 일. 다음은 긍정 오류를 최소화할 수 있는 몇 가지 방법들을 나열한 것이다.

 

1. 스팸 필터를 사용하라.

긍정 오류 발생에 대한 우려 때문에 스팸 필터를 사용하지 않는 사람들이 있다. 그러나 스팸 필터는 반드시 사용해야 한다.

 

긍정 오류는 스팸 필터가 없어도 발생할 수 있다. 스팸 메일이 수신함에 가득하다 보면, 사용자는 습관적으로 스팸 메일들을 제거하기 위해 무작정 “삭제” 버튼을 연타하기 시작하고, 그러다 보면 가끔 정상적인 이메일들을 삭제하는 실수를 저지르기 때문이다.

 

반면 최신 필터들의 경우 사용자의 메일 계정으로 침투해 들어오는 스팸 메일의 97% 또는 99% 정도를 걸러내 주어 무차별적인 연타로 인한 실수를 오히려 방지해 준다고 제닝스는 설명했다. 물론 스팸 필터들로 인한 긍정 오류도 발생하곤 하지만, 실제로 그 가능성은 인간이 실수를 저지를 가능성 보다 더 낫다고 제닝스는 덧붙였다. 스팸 필터가 실수할 가능성은 0.01%이하다.

 

2. 필터를 네트워크 비무장 지대(DMZ)에 두라

컴퓨터 네트워크에서의 DMZ라는 말은 공용 네트워크와 자체 내부 네트워크 사이에 위치한 완충지대를 일컫는다. DMZ 내에 위치해 있는 시스템들은 외부로부터의 공격에 노출될 수 밖에 없지만, 이들의 존재로 인해 내부 네트워크가 외부의 공격으로부터 안전하게 보호받을 수 있다.

 

“DMZ에 스팸 필터를 배치함으로써 수신되는 이메일 메시지들의 특성 및 연결 형태를 보다 더 자세히 파악할 수 있어, 스팸 구분 시 정확도를 높일 수 있다”고 제닝스는 말했다.

 

그는 이어 “만약 발신자가 윈도우 ME 박스를 사용하는 인물일 경우, 굳이 정해진 이메일 서버를 이용하지 않고 직접 이메일을 발송할 이유가 없다. 결국 직접적인 방식을 통해 이메일을 발송한 이 사용자는 좀비일 가능성이 높고, 메일의 내용도 스팸일 가능성이 다분하다”고 설명했다.

 

3. 과거 활용되던 필터링 기술들은 버려라.

조지 워싱턴 대학교 로스쿨에서 정보 기술 부문을 책임지고 있는 마이클 브릭스는 과거의 기술인 키워드 기술 등은 버리고, 그레이리스팅과 같은 새로운 기술을 도입해야 한다고 주장했다.

 

동시에 그는 그레이리스팅 시스템의 활용에 대해 “매우 좋지 않은 아이디어”라고 비판했다. 발신인에게 발송되는 재 발송 요청 메일 자체가 스팸으로 처리되어 정작 발신인이 발견하지 못할 가능성이 존재하기 때문이라고 그는 설명했다.

 

실제로 스팸 메일들 중에 이와 같은 서식 및 내용을 악용하는 것들이 있어, 정상적인 재 발송 요청조차 스팸으로 처리될 여지가 충분하다는 것이다.

 

4. 화이트리스트를 동료들과 공유하라.

항상 우리는 새로운 사람 또는 기관들과 소통을 하거나 메일을 주고 받는 경우가 많다. 이 때문에 화이트리스트에 의존한 스팸 필터를 활용할 경우, 반드시 지속적으로 화이트리스트를 업데이트해 주어야 한다.

 

맥엘렌에 위치한 남텍사스 대학의 이메일 관리자로 재직 중인 루시오 곤잘레스는 동료 및 학교 직원들로부터 지속적으로 새로운 화이트리스트 추가 대상자들에 대한 정보들을 수집한다고 밝혔다.

 

그는 수집한 주소들을 화이트리스트에 포함시켜, 정상적인 메일이 스팸 처리되지 않도록 만전을 기울이고 있다고 밝혔다. 정기적으로 화이트리스트에 추가할 대상자들을 공유함으로써 모두의 시간과 비용이 절감될 수 있다.

 

반면 일방적으로 모든 이들의 화이트리스트를 통일시킬 필요는 없다는 입장도 대두되고 있다. 이메일 보안 기업 프루프포인트 제품 마케팅 부문 부회장 앤드류 로차트는 사용자들이 자체적으로 스팸 필터 수위를 조절할 수 있도록 배려하는 편이라고 밝혔다.

 

물론 남성 발기 부전 치료제나 온라인 약국 관련 광고를 받아 보고 싶어하는 사람은 드물지만, 델타 항공이나 허츠 등이 정기적으로 발송하는 안내 메일들을 받아보고 싶어하는 사람들은 충분히 있을 수 있다.

 

사용자의 화이트리스트 선택에 유연성을 부여함으로써 궁극적으로 관리자와 사용자 모두 혹시 발생할지도 모르는 긍정 오류를 사전에 방지할 수 있다는 것이다.

 

5. 블랙리스트와 신용도 리스트 선정 시 신중을 기하라.

만약 블랙리스트와 신용도 리스트를 스팸 필터로서 사용한다면, 리스트 선정에 특별한 주의를 기울여야 한다고 제닝스는 말했다. 상당 수의 필터 제품들은, 사용자들이 직접 자신의 블랙리스트를 사전에 확인할 수 있도록 허용하고 있다고 그는 설명했다.

 

블랙리스트를 선택할 때는 우선 그 선정 기준부터 면밀히 살펴 보아야 한다. 몇몇 리스트들의 경우 사용자들의 불평 불만만을 바탕으로 작성되기도 한다고 브릭스는 말했다. 이 경우 긍정 오류가 발생할 가능성이 매우 높다고 그는 지적했다.

 

어떤 리스트를 선택해야 할 지 잘 판단이 서지 않을 경우, 해당 보안 업체에게 적적한 리스트 추천을 부탁하라고 제닝스는 제안했다.

 

또 현재 사용 중인 블랙리스트와 신용도 리스트가 잘 유지, 업데이트 되고 있는 지 여부도 지속적으로 확인해야 한다. 적절한 예로 블랙리스트 중 하나였던 ORDB를 들 수 있는데, ORDB는 지난 2006년 서비스를 중단한 제품이다.

 

그러나 중단된 이후에도 ORDB에 대한 사용이 지속적으로 이루어졌고, 결국 전 ORDB 관리자들의 업무를 마비시킬 지경에까지 이른 적이 있다. 결국 의도된 것은 아니었지만, 중단된 ORDB 서비스에 대한 지속적인 이용이 서비스 거부 공격으로 변질되었던 것이다.

 

2008년 초, 사용자들의 지속적인 ORDB 사용으로 인한 부작용을 없애기 위해, 관리자들은 ORDB를 사용하는 모든 IP 주소들을 스팸 소스로 등록하기 시작했다. 이를 통해 이메일 관리자들로 하여금 ORDB 서비스가 중단되었다는 사실을 알리고자 한 것이다.

 

만약 ORDB를 사용했던 이메일 관리자들이 조금만 더 신경을 썼더라면, ORDB측이 굳이 이런 극단적인 방법을 사용하기 전에, 이미 ORDB가 서비스를 중단한다는 사실을 알고, 이를 대체할만한 다른 대안을 찾아 나섰을 것이다.

 

6. 당신이 발신한 메일이 스팸 처리되지 않도록 주의하라.

스팸 메일이 본의 아니게 당신의 메일 주소를 통해 발송되었을 경우, 당신의 이메일 또한 스팸 블랙리스트에 오를 가능성이 있다. 만약 이러한 스팸 메일 발송이 지속된다면, 이후 이메일 사용에 상당한 지장을 받을 수 있다고 제닝스는 경고했다.

 

아래는 신용도 하락을 방지할 수 있는 3가지 방법에 대한 설명이다.

 

우선, 웹 브라우징 과정에서 발생할 가능성이 있는 악성 코드 감염 및 기타 문제 등을 억제해야 한다고 보안 업체 바라쿠다 네트웍스 제품 관리 부문 부회장 스티븐 파오는 조언했다.

 

위험에 노출될 가능성이 높은 사이트에 방문할 경우 사용자의 컴퓨터에 맬웨어 등이 사용자 몰래 설치될 가능성이 있고, 이들 맬웨어들을 통해 스팸 메일들이 사용자의 주소를 통해 확산될 수 있다.

 

이러한 부작용을 방지하기 위해서는 우선 스스로 의심 갈만한 사이트에 방문하지 않기 위한 주의를 기울여야 하고, 웹센스나 소포스와 같은 믿을 만한 보안 업체의 웹 감시 및 필터링 소프트웨어를 사용하는 것이 좋다.

 

단, 기업의 경우 직원들의 웹사이트 방문 기록 등을 감시할 경우, 사생활 침해 문제와 직면할 가능성이 있기 때문에 항상 주의를 기울여야 하고, 필요할 경우 직원들의 동의를 사전에 반드시 구하여야 한다.

 

더불어 보안 패치와 바이러스 및 맬웨어 내역에 대한 업데이트를 잊지 않아야 한다고 파오는 말했다. 지속적인 업데이트를 통해 혹시 모를 최신 맬웨어 등의 공격에 대비해야 한다고 그는 덧붙였다.

 

마지막으로 제닝스는 외부 필터링 시스템을 한번 더 사용해, 혹시나 있을지 모르는 악성 코드들의 침입을 원천 봉쇄할 것으로 제안했다.

 

7. 자신의 신용도를 항상 확인하라.

만약 당신이 속한 기관 또는 기업이 블랙리스트에 올라와 있다면, 당신의 메일 또한 제대로 전송되지 않을 가능성이 높다. 이 때문에 스스로의 신용도를 항상 확인하는 습관이 중요하다고 로차트는 말했다.

 

그는 신용도 정보를 제공하고, 사람들의 온라인 신용도 관리를 돕는 업체들에 대한 정보를 제공하는 habeas.com와 같은 사이트를 활용해 볼 것을 제안했다.

 

또 그는 만약 당신이 근무하고 있는 기업이 블랙리스트에 올라 있다는 사실을 알게 되었다면, 즉시 관련 담당자를 찾아 이를 해결해 줄 것을 요청해야 한다고 말했다. 근거를 바탕으로 한 강력한 항의가 뒷받침되면, 블랙리스트 대상에서 충분히 해제될 수 있다고 그는 덧붙였다.

 

그는 블랙리스트가 항상 긍정 오류의 함정에 빠질 수 있다는 사실을 잊어서는 안 된다며, 더불어 우리 또한 자체 블랙리스트나 신용도 리스트를 고를 때 이와 같은 긍정 오류를 범하지 않도록 주의해야 한다고 강조했다.

 

8. “금칙어” 사용에 주의하라.

공항 보안 검색대를 통과할 때는 되도록이면, 폭탄, 무기, 또는 공중 납치 등과 같은 단어들을 입 밖으로 내뱉어서는 안 되는 것처럼, 이메일을 작성할 때도 스팸으로 오인 받을 가능성이 높은 단어들은 사용하지 않는 것이 좋다.

 

사실 키워드 스팸 필터링은 이제 거의 사양화된 기술이긴 하지만, 아직 사용하고 있는 이들도 있을 수 있기 때문에, 키워드 필터에 걸릴만한 직관적인 용어들은 웬만해서는 사용하지 않아야 한다.

 

곤잘레스는 예를 들어 “헤이”나 “헬로우”, “무료”, “확대”, “약국”, “비상”, 그리고 “학위” 등과 같은 단어들은 사용을 피해야 한다고 설명했다.

 

물론 위에서 예로든 단어들을 사용했다고 해서 무조건 스팸 메일로 취급되는 것은 아니지만, 혹시 모르는 위험에 대비하는 차원에서, 사용하지 않는 것이 좋다.

 

반대로, 수신인이 쉽게 무슨 내용인지 알아 볼 수 있는 단어들을 제목이나 내용에 포함시켜 보자. 프로젝트 이름이나 개인 신상 정보 등이 포함되어 있을 경우, 수신인 입장에서는 보다 더 정확한 메일 판별이 가능할 것이다. 즉, 스팸 메일로 취급될 가능성이 상대적으로 줄어드는 것이다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.