- 이글은 아래
글들의 트랙백으로 작성되었습니다.
우리가 받는 스팸메일 중 자신이 보내지도 않은 메일의 회신 또는 반송메일 형식으로 들어오는 경우가 종종있다. 이 문제는 이미 다른분들이 언급한 바와같이 SMTP 의 허술한 구조탓에 mail from 이나 reply to 등 여러 정보들을 손쉽게 조작할 수 있기때문이다.
그렇다면 이런 많은 문제점들이 있음을 뻔히 알고 있으면서 고치지 않느냐고 반문할 수 있다. 물론
이런 헛점을 보완하기 위한 기술들은 이미 많이 나와있다. 절대 없어서 못하는 게 아니다. 그리고 적지않은 업체에서 이미 이런 기술들을 적용하고 있으나 인터넷이 많이 발전했다고는 하나 아직까지는 질풍노도의 시기이다보니^^ 미진한 점이 있다. 이런 기술들이 적용되지 못하는 많은 이유들이 있지만 가장 큰 두가지 이유를 들자면,
첫째, 이메일은 현재 과도기에 있다. 인터넷이라는 것이 강력한 법이나 중앙 통제기구에의해서 통제되는 것이 아니라 각기 자발적으로 참여한 기업들이나 개인들 그리고 단체들이 운영하고 있기때문이다. 새로운 기술이 나왔다고 하여 그 헤아릴 수 없이 많은 업체, 단체, 개인들이 동시에 적용할 수 없기때문에 이런 프로토콜 변경과 같은 문제는 엄청나게 오랜 시간을 필요로 하게 된다. 그 동안은 어쩔 수 없이 변화속에서 혼란을 겪을 수 밖에 없는 운명인데 지금이 바로 그 시기라는 것이다.
둘째, 하나의 표준으로 통일하기에는 의사 결정권자가 너무나 많다. 인터넷의 아니 범위를 더 좁혀서 월드와이드웹 그리고 이메일의 처음시작은 잘 알다시피 전 세계의 무수한 많은 기업과 단체와 개인들을 위한 것이 아니었다. 적어도 생각은 그렇게 했을지몰라도 이메일이 생기기까지 참여한 사람이나 단체는 몇몇 과학자와 단체 또는 기업이 전부였을 것이다. 따라서 오로지 한가지 표준으로 통일하는데 많은 시간이 걸리지 않았다. 하지만 지금은 수많은 공룡같은 기업, 단체들과 흩어져 있을땐 별 거 아닌것 같지만 뭉치면 어마어마한 파워를 발휘하는 네티즌들이 있다. 그리고 그들이 쏟아내는 수많은 기술들과 그 기술들에 얽히고 섥힌 이익들, 정치적인 목적들이 있기때문에 어떤 기술도 우위를 점하지 못하고 표류하고 있는 실정이다.
2-1. 경쟁중인 기술들 : 발송자 인증 기술 말 나온 김에 이러한 기술들 중 몇가지를 살펴보면,
1) 우선 이메일 발신자를 추적, 검증하는 기술이 있다. 바로
SPF(Sender Policy Framwork),
SenderID,
Domainkeys,
DKIM(DomainKey Identified Mail) 과 같은 것들인데 일일이 자세히 설명할 수는 없겠지만(다음에 기회를 봐서 좀더 자세히
설명해 보겠다.), 일단
SPF와 SenderID 그리고
Domainkeys와 DKIM 이 두 그룹은 각각 사실상 같은 기술이라고 보면 되겠다. 이유는 각가 뒤에 언급된 기술들이 앞서 언급된 기술을 모태로 하고 있기때문이다.
- 잘 알려진바와 같이 SenderID 는 Microsoft 에서 제안한 기술표준이고
- Domainkeys 는 야후! 에서 제안한 기술표준이다.
- 그리고 DKIM 은 Domainkeys 와 네트워크 장비로 유명한 Cisco 의 IIM(Identified Internet Mail)의 합작품이라고 생각하면 되겠다.
이중 현재 DKIM 이 유일하게 IETF(국제 기술표준 기구)에서 Proposal standard로 채택되어 조만간 공식 국제표준으로 채택이 유력시 되고 있다.
2-2. 국내 상황
하지만 현재 국내에서는 이러한 국제 흐름과는 별도로 KISA (한국정보보호진흥원:정통부산하단체)주도로 KISA White IP 등록제란 제도를 시행하면서 SPF 를 한국표준인양 몰아가고 있는 실정이다. (이 제도의 허와 실에 대해 꼭 한번 이야기하겠다.) SPF 가 왜 DKIM 에 비해 일찍 제안되었음에도 그리고 MS라는 든든한 지원군이 있음에도 국제적으로 인정을 못받고 있는가? 그 이유는 근본적으로 IP based 검증 방식에 문제가 있는 것인데 이와 관련해서는 아래 참고문서를 참고하기 바란다.
2-3. 가변회신주소 (VERP)
또 한가지 이러한 잘못 반송되는 스팸들을 막기위한 좋은 방법이 있으니 그것은 "가변회신주소(VERPs: Varable Envelope Return Paths)라는 개념이다. 이와 관련해서도 아래에 참고링크를 참고하기 바란다. 잠깐 설명하자면 앞서말한 mail from 과 reply to 등의 이메일 주소가 위조되는 경우를 구분하기 위해 해당 주소를 dsn 이라는 방식을 사용하는 것인데,
- 일반인이 보기에 다소 복잡할 수 있다.
- 그리고 위의 발신자 검증 방식도 마찬가지이겠지만 스스로 본인의 이메일 도메인과 서버등을 구현하고 운영하지 않는 이상 이 모든 것들을 적용하기란 사실상 불가능하다.
3. 결론
- 즉, 이메일 업계에 종사하는 여러분들이 다 같이 새로운 기술표준을 적용하고 공부하는데 주저함이 없어야 하고
- 적극 참여해야만 이런 문제들이 해결될 수 있다.
- 그리고 이메일과 웹기술이 하나의 표준으로 또는 굳이 하나의 표준이 아니더라도 단점을 보완할 수 있는 수준에서 하루 빨리 정착이 되도록 하는데에는 법제정비 등의 국가적인 지원이 필요하다.
이에 정통부, 국회, KISA 등 유관단체에서는 화이트ip제도 같은 실무자들의 영역에서 활동하면서 혼란하게 만들지 말고 실무자들이 필드에서 할 수 없는, 자기들만이 할 수 있는 영역에서 그들만의 소임을 다해 줄 것을 강력히 촉구한다.
이메일 스팸, 피싱, 스캠을 막기 위한 기술들
트랙백 주소 :: http://gooranet.tistory.com/trackback/56
이올린에 북마크하기
이올린에 추천하기
댓글을 달아 주세요
ㅋ 여기서 뵙게 되네요.
요즘 루신에 푹 빠져있어서 찾게 된 다음 까페에 낯이 익은 이름이 있어서 혹시나하고 봤더니 맞나봅니다. - 0 -;;;; 일지매 다녀갑니다~
ㅎ 반갑습니다. 근데 누구신지요? ㅋㅋ
님 블로그에 가보긴 했으나 시간이 여의치 않아 누구신지 확인을 못했네요. ㅋ 일지매라니...