내가 보내지 않은 메일의 반송메일을 받은 경우

지난번에 이메일과 스팸메일에 관한 오해 1 을 톨해 "자신이 수신자가 아닌데 수신한 메일" 에 대해서 이야기를 했었다. 이번엔 그와 유사한 경우인 "내가 보내지 않은 메일의 반송메일을 받은 경우"를 이야기하려고 한다. 사실 두가지 경우는 똑같은 경우다. 하지만 해당 메일의 실제 수신자가 나였느냐 발신자가 나였느냐라는 차이가 있을 뿐이다.

이해를 돕기 위해 본 포스팅을 처음 보는 사람들은 먼저 지난번 포스팅을 보고 다시 오기를 권장한다. (그래야 이해가 쉽다.) 앞서말한 바와같이 이 모든 혼란의 원인은 인터넷 이메일 전송 표준 규약인 SMTP(Simple Mail Transfer Protocol) 의 부실함이라 할 수 있다. 지난번 포스팅에서 Telnet 으로 SMTP Command 를 이용해 어떻게 메일을 주고 받는지 그리고 어떻게 수/발신자를 조작하는 지에 대해서 말했었다. (잘 모르겟다면 얼른 가서 다시 보고 와라. ^^) 스패머들이 혹은 호기심 많은 어느 학생이 자신이 메일을 보낸 것을 숨기기 위해 헤더에 장난을 치게 되면 이런 일이 발생하게 된다.

즉. 실제로는 자기가 메일을 보내면서 MAIL FROM 명령과 DATA 명령 후에 적는 From 헤더의 발신자 메일주소를 엉터리로 적었는데 그 것이 하필이면 자기 메일주소가 적힌 것이다 이말이지.

그렇다면 스패머는 왜 이런 짓을 할까?

우선 스패머는 자기 자신의 정보를 은폐하고 싶어 한다. 당연하지 자기 메일 주소를 솔직하게 적었다가는 다 들통나서 비록 솜방망이 처벌이긴 하나 처벌을 받긴 받을테니 말이야. 그러니 당연히 남의 메일 주소를 적을 수 밖에.. (사실 아무 정보도 적지 않아도 수신자 정보만 있어도 메일은 발송된다. 아무 조건없다. ㅡ.ㅡ)

두째로, 스패머가 돈을 주고 구매를 했건 웹에서 Crawl 을 했건 간에 아무튼 수집한 이메일 주소는 부정확한 경우도 많다. 그럴때 Mail From 에 적어둔 어떤 주소로 다시 반송이 될 것이므로, 자동으로 남의 메일 서버의 Bounce(반송메일)을 통해 스팸을 한번더 발송하는 효과를 볼 수 있다는 것이다. 손 안대고 코 푸는 격이라고나 할까?

이러한 Bounce 에 대해서 대비책들도 물론 다 나와있다. 하지만 전세계 이메일 시스템에 동시에 적용한다는 것이 일단 너무나 큰 무리이고 이메일이 그다지 중심 서비스로서 주목을 받지 못한다는 이유로 아직까지 이러한 솔루션들이 제대로 적용이 되지 못하고 있다. 암튼.. 이러한 기술들에 대해서 이 자리에서 다 설명하기엔 (내가 늘 하는 변명) 지면이 부족하므로 아래에 간단히 링크만 남긴다. ㅋㅋㅋ

• 야후! 도메인키
• VERP

그래도 IP 는 남는다.

여기까지 스패머들이 자신의 흔적을 남기지 않으려고 무단히 애를 썼지만, 그렇다고 해도 완전범죄란 있을 수 없다. 자신이 보내지 않은 메일의 회신을 받았다면, 먼저 해당 메일의 헤더정보를 확인해보기를 권장한다. 대부분의 웹메일 서비스나 아웃룩 등 어플리케이션에서 "전체 헤더보기" 또는 "메일원본보기" 등의 이름으로 헤더보기를 제공하고 있다.

헤더를 보면 갖가지 영어로된 내용들이 보일텐데 다 무시하고 오직.. 하나!!!! "Recieved From" 이란 헤더 하나만 보면 된다. 물론 메일이 어떤 경로를 거쳐 갔느냐에 따라 이 헤더가 여러개일 수도 있고 단 하나일 수도 있다. 이메일을 전달하는 서버들인 MTA(Mail Transfer Agent) 또는 MDA(Mail Delievery Agen) 들은 메일을 전송할때 절대 컨텐츠는 손대지 않는다. 다만 헤더에 자신이 이 메일을 보내거나 전달했다는 표시를 남길 뿐인데 그 표시가 바로 "Recieved From" 헤더이다.

이 헤더는 시간순서대로 아래에서 위로 적혀있다. 따라서 가장 먼저 이 메일을 전달한 서버나 당시의 정보를 보고자 한다면 Recieved From 헤더 중 가장 아래의 헤더를 보면 되겟다.

이 헤더에 남는 정보는 전달시간, 전달한 host 의 ip 와 hostname (쉽게 말해 IP주소와 도메인) 그외에 이 host 가 client 로 부터 smtp 접속을 통해 메일을 전달한 경우 각 서비스별로 자신들만의 형식으로 history 를 남긴다. (대부분 by 어쩌구 하면서 하나의 recieved from 헤더에 client 즉, 아웃룩 등으로 접속을 시도한 사용자의 최종 ip를 남긴다.)

예를 들어 이런 식이란 거지..

그렇다면 자신이 정상적으로 보낸 메일의 헤더는 어떻게 찍히는 지 어떻게 알 수 있을까? 당연히 그걸 알아야 비교해서 "아~ 내가 보낸메일이 아닌데 내가 반송을 받은 이유가 이거구나~~" 하구 알게 아닌가? ㅋㅋㅋ
정말 간단하게... 자기가 자기한테 메일을 한번 보내보라.. 그리고 그 메일을 열어서 헤더를 보면 알 수 있겠지?

암튼 어떠한 경우에도 흔적은 남는다는 것, 절대 완전범죄는 없다는 것... 그러니 왜 난 보내지도 않은 메일이 나에게 왔냐고 투정하거나 자신이 메일 서비스 고객센터에 따지기에 앞서.. 재미삼아 한번 이 내용을 확인해보면 좋겠다.

1. KISA 란? 정통부 산하단체로 한국말로 쓰자면 정보보호진흥원 이라고 하는 단체이다. (영어로는 Korea Information Security Agency?? Association?? 암튼 잘 모르겟다.ㅋ). 자세한 안내는 아래 링크를 참고하기 바란다.

2. KISA White Domain List 제도란? KISA 에서 주관하는 여러 사업중 하나로 쉽게 말해 블랙IP 리스트를 관리하는 RBL(Realtime Blackhole List) 의 반대개념으로 화이트IP 리스트를 관리하는 것을 말한다. 현재 국내에서 성업중인 모든 포털들이 거의 다 참여하고 있다. (MS, Google 만 제외) 이 제도에 참여한 도메인의 dns 에 등록된 IP 들은 모두 각 포털의 IP based 스팸필터에서 다른 IP 에 비해 좀더 나은 대접을 받는다고 생각하면 간단하다.

3. 그럼 왜 이 제도가 문제인가?
언뜻 보기에는 지금까지 대부분의 포털들이 각각 접수를 받고 별도로 데이터베이스를 관리해오던 IP 들을 정부에서 나서서 일일이 검증도 해주고 모니터링/업데이트를 해준다니 ESP 입장에서는 참으로 고마운 일인듯 보인다. 마찬가지로 대량메일발송자들도 10개나 되는 포털들에 일일이 각기 다른 방식으로 접수하던 것을 한번에 대행을 해준다고 하니 그야말로 희소식인 듯 보인다. 하지만 좀더 들여다 보면 과연 그럴까? 라는 생각이 든다.

1) SPF 적용강요
메일발송자가 제도에 참여하기 위해서는 먼저 SPF(Sender Policy Framework) 라는 기술을 적용해야 한다. 아니 좀더 정확히 말하자면, SPF 기술중의 일부를 적용해야 한다. (자세한 내용은 아래 2) 항에서 설명함) SPF 를 사실상 국내표준으로 만들겠다는 심산이 깔려있다고 볼 수 있다. 앞서 이미 한번 이야기한 적이 있지만 SPF 는 기술적으로 완성도가 떨어지는 기술이다. 표준화 되기에 앞서 이미 헛점들이 노출이 되어있는데, 단지 적용하기에 간편하다는 이유만으로 표준화 한다는 것은 옳지 않다고 생각한다. 더구나 국제적으로 DKIM 이 기술적으로도 인정을 받고 조만간 IETF 국제공인표준으로 채택이 될텐데, 아무래도 합리적이지 않다고 보여진다.

2) 실제 SPF 를 인증에 사용하지 않고 있음
이야기하기에 앞서 먼저 SPF 라는 기술을 간단히 살펴보면

1. 등록단계 : 어떤 도메인을 사용하여 메일을 발송하는 서버의 IP 를 DNS 서버(주어진 도메인을 어떤 IP 주소와 연결시켜 주는 서버)의 TXT 레코드라는 영역에 저장한다.
2. 검증단계 : 받는 메일 서버에서 메일에 포함된 발송 IP 를 1 에서 저장한 DNS 의 TXT 레코드에 등록된 IP 와 일치하는 지 비교한다.

이렇게 간단히 두 과정으로 이야기할 수 있는데, KISA 에서 말하는 SPF 란 과정 2 와는 아무런 관련이 없다는 것이다. 왜냐하면 정작 메일을 받아보는 ESP 의 MTA(메일서버)에서는 SPF 를 통한 검증을 하지 않고 있기때문이다. 실제로 확인은 하더라도 그 결과를 기준으로 메일을 반송하거나 차단하는 곳은 단 한곳도 없다. 즉, KISA White List 에서의 SPF 라는 것은 SPF 본래의 기능과는 그다지 상관이 없다는 것이다.

그렇다면 왜 KISA 에서는 SPF 를 강요하는 것인가? 그것은 현재로서 SPF 를 통하지 않고서는 어떤 서버에서 어떤 도메인을 통해 이메일이 발송되는지를 확인할 만한 기술이 없기때문이다. 언뜻 생각하면 KISA 의 생각이 옳은 것 같다. 하지만 KISA White Domain List 란 제도 자체가 모순이기 때문이 모순으로 비롯된 명제가 참이라고 한들 옳다고 볼 수 없으므로 합리적이지 않다.

3) White 가 진짜 whtie 인가?
같은 KISA 에서 운영하고 있는 KISA RBL 의 경우와 우선 비교를 해보면 RBL 은 굉장히 유용한 면이 많다. 일단 다른 것들은 다 차치하더라도 가정용 DHCP IP 들을 파악할 수 있다는 것 하나만으로도 그 의미는 대단히 크다. (왜 가정용 DHCP IP 들을 아는 것이 중요한지 궁금한가? 그럼 클릭^^) 하지만 White List 는 그 정확도가 매우 떨어져 ESP 입장에서는 사실 적용하기가 굉장히 난처한 경우가 많다. 실제로 모니터를 해보면 순도 100% 스팸메일이 발송되는 경우도 허다하며, 무엇보다 가장 큰 문제는 웹호스팅, 메일호스팅 업체들의 IP 가 섞여 잇다는 것이다. 원칙적으로 도메인의 txt 레코드에 ip 만 입력이 되어있으면 등록을 해주기때문에 받아 주지 않을 수도 없겠지만 같은 iP하나에 수십, 수백개의 도메인이 물린채로 업청난 트래픽을 발생시킬 수 있는 그러한 IP 들이 버젓히 white 로 등록이 된다는 것은 실로 심각한 일이 아닐 수 없다.

그리고 KISA 에서 나름대로 정확한 모니터링을 위해서 만전을 기하겟지만 각 수신서버들은 ESP 들 소속이고 그들의 네트워크에 속해있기때문에 KISA 에서 정확한 모니터링을 한다는 것은 굉장히 어렵다. 이건 정말 설명하기 어려운데, 간단하게 말해서 KISA White List 의 정확도가 너무나도 떨어진다는 것이다.

4) 시장의 영역을 침범했다.
함마디로 정부에서 해줘야 할 일들을 하라는 것이다. 이것은 업체들의 영역이다. 정부가 도울 수는 있지만 가장 시급한 문제는 아니다. 우리 ESP 들도 스팸을 줄이고 반대로 대량메일 발송자들이 선의의 피해를 입지 않도록 하기위해 최선을 다해왔고 지금도 그렇다. 안티스팸의 퀄리티가 떨어져서 스팸이 많이 들어오거나 혹은 선의의 피해가 늘어나면 그 직격탄을 맞는 것은 KISA 도 정통부도 아닌 바로 ESP 우리 자신이다. 그런데 왜 열심히 하지 않겠는가?

그렇게 열심히 하고 있음에도 뭔가 부족했던 것은 기술의 부족이나, 통제력의 부족 그런 것이 아니었다. 그런 것들 보다는 오히려 법제의 정비, 기술표준의 미비와 같은 업계에서 스스로 해결 할 수 없었던 문제들이 원인이었다.

그래도 다행인 것은 이러한 화이트 리스트 제도를 통해 문제제기도 충분히 이루어졌고 살짝 어긋나긴 하였으나 기술표준이라는 측면에서 대체로 표준에 대한 인식을 같이 할 수 있는 계기는 만들어졌다고 본다. 따라서 현 시점에서 이런 문제는 시장에 맡기고 업계에서 할 수 없었던 그리고 정부나 산하단체에서만 가능한 본연의 임무로 돌아가주기를 바란다.

4. 그렇다면 KISA 가 해야할 일은 무엇인가?
다시한번 강조한다. 기본적으로 정부가 나서서 하지 않으면 아무도 안하는 것들과 하고 싶어도 할 수 없는 것들을 우선 해야한다. 법제 정비, 단속, 오픈소스 지원, 미비한 이메일 관련 레퍼런스 연구 및 문서화와 같은 것들이 그것이라 하겠다.

그리고 KISA White Domain 리스트에 DKIM 을 mandatory option 으로 추가하라. 어차피 white ip list 를 만들기 위해 IP 는 받아야 하고 그 IP 와 도메인과의 과계 증명을 위한 방법은 현재로서는 SPF 외에는 없다. 하지만 이왕에 인증기술을 적용할 것이면, 확실하게 하는 것이 좋지 않은가? 그리고 DKIM 도 역시 dns 질의를 통해 간단하게 적용여부를 알 수 있다. 즉, SPF 로는 IP 를 확인하고 DKIM 으로 메일의 위/변조와 도메인(발송자)를 확인하자는 말이다. 그렇게 하면 KISA White List 의 정확성도 높일 수 있고 궁극적으로는 스팸도 줄일 수 있다. (광의의 의미에서의 스팸)

5. 앞으로 KISA White Domain List 에 참여하지 말아야하는가?
참으로 어려운 문제인데, 솔직히 본인도 현 시점에서 어떻게 행동해야할지 고민스럽다. 일단은 참여하고 보자는 게 내 생각이다. SPF 든 DKIM 이든 인증기술이 필요한 것은 사실이고 두가지 기술 모두 장점이 있고 상호보완도 가능하다. 그리고 현재의 KISA White List 를 운영하기 위해서는 SPF 는 필수이다.

결론은,

1. 일단은 참여하자.. (언젠가 없어지가나^^ 보다 나은 방향으로 발전할 것이다. 그러기위해 모든 이메일 담당자와 KISA 담당자가 노력하고 있다.)
2. 하지만 KISA White List 에 등록했다고 모든 것이 해결되었다는 생각은 하지말자.
3. KISA 에서도 받아주었으니 우리는 모든 참여 ESP 들의 고객이야 --> 라는 생각 절대 하지말자
4. KISA 에서는 DKIM 을 SPF 와 더불어 Korean Standard 로 지원하라.
5. 무엇보다 중요한 것은 수신자가 받기 싫은 메일을 보내지 않는 것이다. 이것이 전 세계 어디에서도 차단 당하지 않을 가장 확실한 방법이란 것을 명심하자~~!!!

끝으로, 소심모드로 돌아가서 본인이 KISA 에서 열심히 노력하시는 여러분들에게 누를 끼치지나 않을까 염려되는데, 그분들도 본인과 마찬가지로 자신의 맡은 분야에서 최선을 다하며 고생하시는 분들이다. 그 분들의 노고를 폄하하려는 의도는 전혀 없다. 다만 실무 담당자로서 보다 실무적인 관점에서 바라본 것을 허심탕회하게 적었을 뿐이다. 요컨대 잘해보자는 것이지 깽판을 내자는 것이 아님을 다시한번 강조하며, 그만 마칠까 한다.

1. 보이콧 마케팅의 정의

한메일을 사용하지 마세요. 네이버메일은 정상적인 수신을 하실 수 없습니다. 등의 대량메일 발송자들의 사이트에서  이메일입력 폼에 적혀있는 문구들. 위와 같은 화면 많이들 봐왔을 것이다. 이 것이 바로 "보이콧 마케팅"이다.(전문용어인지 모르겠다. 우리 메일쟁이들은 이렇게 말한다.)


2. 보이콧 마키팅의 발생원인

우선 이들이 왜 이런 행동을 하는지를 생각해보면, 한마디로 상대방이 맘에 안들기때문이다. 왜 이들 ESP(Email Service Provider:이메일서비스제공자)은 이들 눈밖에 났을까? 그건 바로  이들이 보내는 대량메일을 제대로 안받아줬기때문이다.  자기들이 회원들에게 보내는 이메일이 제대로 도착하지 않으니까 그 메일 주소를 사용하시면 우리가 보내는 메일을 못 받아볼 수 잇으니 사용하지 말라고 하는 것은 어찌보면 당연한 일이겠다. 그리고 한편으로는 "얼마나 답답하고 고생스러웠으면 그런 극단적인 방법을 사용했을까?" 라는 생각을 할 수도 있겠다.

"역지사지" 란 말이있다. 뜻을 이미 다 알테니 거두절미하고 이 경우에 한번 적용을 해보자. 그럼 도데체 네이버, 다음에서는 위 업체를 왜 막아서 저런 대접을 받았겠는가? 이유는 둘중 하나다. "우려할만한 수준이상의 스팸메일을 발송한 것"이 확인되었거나 "기준치 이상의 사용자들의 스팸신고"가 접수되었거나이다. 다시말해 다 그만한 이유가 있다는 것이다.

그럼 왜 이렇게 양쪽다 확실한 이유를 갖고 있는데 서로 타협하지 못하고 문제를 해결하지 못하는 걸까? 본인은 그 원인을 다음과 같이 생각해보았다.

1) 일단 기본적으로 대량메일 발송자들의 그릇된 논리와 왜곡된 사회인식이 문제다. 이메일 업계에서 보이콧 마케팅의 시발점은 "온라인우표제" 로 보고있다. 물론 그 이전에도 간헐적으로 있었을지 모르나 그 이전에는 감히 인터넷의 공룡과 같은 포털사에 대항할만한 중소 업체는 많지 않았다. 하지만 지금은 관공서, 동네학원 동호회 홈페이지 어디든 막말로 지나개나 다 한다. 이메일서비스는 동네북이다. 내가 보기에 이들의 주장이 가끔 옳을 때도 있지만 시간이 가면갈수록 점점 억지스럽다. 마치 "효순이 미순이 추모 촛불시위" 이후에 정말 지나개나 다 하고 있는 "촛불시위" 처럼 말이다.

자기들이 유리할 것이 하나도 없고 논리적으로도 전혀 맞지 않은데도 뻔뻔스럽게 이런 행위를 할 수 있는 이유는 한마디로 2) ESP들이 만만하기 때문이다. 온라인우표제 반대운동 당시에 보여준 막강한 네티즌들의 힘을 기억하고 있기때문에 ESP 들은 그동안 여러가지 손해를 감수하고서라도 이들의 억지땡깡을 대부분 받아주었다. 한명의 유저라도 잡아두기 위한 포석이었던 것이다. 처음에는 다음과 같은 1위 업체들을 겨냥한 것이었지만 이제는 메일서비스를 하고 있는 모든 포털들이 다 공격대상이다. 그리고 과거에는 시장점유율이 높은 업체들은 다소 강경대응을 해보기도 했었지만 이제는 어느 누구도 그렇게하지 못하고 있다.


3. 보이콧 마케팅이 미치는 악영향

한마디로 대량메일을 보내는 쪽과 받는 쪽의 감정싸움 또는 힘겨루기를 하고 있다는 말인데, 이 것이 왜 문제일지 한번 생각해보자. 이런 과정을 통해 결국 피해를 입는 것은 ESP 도 대량메일발송업체도 아닌 바로 이메일 사용자다. 대량메일 발송업체들이 보내는 여러가지 메일들을 못 받아볼 경우도 있을 수 있고 그 반대로 받기싫은 대량메일 발송 업체들의 메일을 받아야할 수도 있고, 또 한편으로는 어떤 사이트에 가입할 때나 누군가와 연락하기 위해 이메일을 알려줘야 할때, 자기가 사용하고 싶은 이메일을 선택할 수 없는 상황이 생길 수도 있다. 이러한 불편은 결국 사용자로 하여금 이메일에 대한 불신을 키우게 할 것이고 결국은 이메일을 떠나게 될 것이 자명하다. 그런데 아무도 이런 생각을 하고있는 것 같지가 않다. 정말 잘못하고 있는데 아무도 관심도 없다.


4. 이메일에 대한 잘못된 인식

사람들의 이러한 그릇된 인식을 갖고있는데에는 그 근간을 이루는 이메일에 대한 잘못된 상식, 오해들이 있다. 그 중에서도 가장 큰 잘못된 생각은 바로 1) "이메일 서비스는 공짜" 라는 생각이다. 절대로 이메일은 공짜가 아니다. 이메일이라는 통신수단이 동작하고 그것을 운영하기 위해서 수많은 사람들과 업체들이 피같은 돈을 쓰고 있고 땀을 흘리고 있다. 풀론 이메일 서비스를 무료로 제공한 것은 애초에 ESP 들이었으므로 그점에대해서는 할말은 없다. 그치만 그렇게 무료 서비스를 제공한 이유는 고객들에게 말 그대로 서비스를 한 것이고, ESP 들은 당연히 그 서비스를 제공한 것만큼 혹은 그 이상의 이익을 기대할 수 있다. 그런 의미에서 이메일 서비스의 사용자는 그 ESP 의 고객인 것이고 ESP는 해당 메일 서비스 제공의 댓가로 사용자들에게 돈과 같은 직접재이든 광고나 기타 마케팅자료등의 간접재이든 댓가를 요구할 수 있는 것이다.

대량메일 발송업체들과 ESP는 어떤관계인가? 한참 비약을 하자면 아무런 관계가 없다. 대량메일 발송업체들은 ESP에게 어떠한 요구도 할 권리가 없는 사람들이다. 그런데 이들은 마치 2) 자신들이 ESP 의 고객인양 행동하고 있다. 보이콧 마케팅과 같은 휑포는 물론이거니와 전화, 이메일, 각종 공문등으로 협박성 메세지를 수시로 보내오고 암튼 안하무인이란 말이 딱 들어맞는다. 다시 한번 강조하지만 "이메일 서비스의 고객은 이메일 사용자이지 대량메일 발송자가 아니다."

혹자는 이메일을 우편서비스에 빗대어 이야기하며 정당한 메일 발송에 대한 전송실패는 마치 우체국에서 우편업무 파업을 한 것과 같다는 식으로 말하곤 한다. 즉 3) 이메일과 일반우편 업무를 동일시 하고 있는데, 실제로는 전혀 그렇지가 않다. 우체국은 일단 정부가 공익을 목적으로 운영하는 것이고 그나마 그 공익이란 꼬리표를 달고있음에도 우편물 한건당 또는 무게당 얼마씩 비용들 받는 "유료" 서비스이다. 즉, 우편물이 늘어갈 수록 수입도 늘어가고 그 늘어난 수입으로 부족한 인력이나 인프라를 보충할 수가 있다. 하지만 이메일은 전혀 그렇지 않다. 메일 송수신량이 늘어나면 비용은 증가하고 더불어 적자도 증가한다.

내가 이런 말을 하면 또다시 "4) 그럼 애초에 이메일 서비스를 무료로 하지 말았어야지 이제와서 그러는 것 역시 말이 안된다."라고 반박할 수 있겠다. 하지만 이 것 역시 오해에서 비롯된 것이다. 왜냐하면 앞서도 말했지만 이메일 서비스는 고객들 즉 이메일 사용자들에게 무료라는 말이지 대량메일 발송자들에게 무료라는 의미는 절대 아니다. 이렇게까지 이야기를 해도 또 "5) 그럼 유저들이 그 대량메일을 받아보고 싶은 대량메일을 ESP가 임의로 차단한 경우도 있을 수 있지 않냐" 라는 최후의 질문을 던질 수가 있을 것이다. ^^ 물론 가능한 일이다. 하지만 통계적으로 봤을때 그럴 확률은 굉장히 지극히 절대적으로 낮다. 그 이유는 아래에 좀더 부연하겠다. 그리고 설령 그런 경우가 있다손 치더라도 그 사용자한테는 미안한 말이지만 우리나라는 민주주의국가가 아니겠는가? 민주주의를 대표하는 기본원리는  "다수결"이다. 본인이 원했더라도 같은 메일 서비스를 사용하는 다른 사용자들의 다수결로 결정된 사항이니 따르라는 말밖에는 할수가 없다.


5. 재주는 ESP가 넘고, 돈은 누가벌지?

결론적으로 대량메일 발송업체들은 이메일을 발송에 합당한 비용을 지불해야한다. 앞서 주장한 무료서비스의 대상범위문제는 차치하더라도 그들은 자기 잇속만 챙기는 음휸한 늑대들이기 때문이다. 자신들의 메일을 받아보기를 원하는 수신자들의 권익을 대변하는 양 행동하지만 실제로는 전혀 그렇지가 않다.

한 예로 이메일 청구서가 있다. 이메일 청구서 서비스의 수혜자는 사용자도 ESP도 아닌 대량메일 발송자(업체)들이다. 지금과 같이 적자만 계속되는 가운데 이메일 사용자나 사용량이 늘어난다고 해서 ESP 는 전혀 달가울리가 없다. 사용자는 귀찮은 쓰레기라도 줄어드니 조금 이익은 있을지 모르지만 10원 20원 더 할인되는 이메일 청구서를 받아봐야 실제 체감되는 이익은 거의 없다고 봐도 무방하다. 하지만 이메일 청구서를 발송하는 업체들은 이메일 청구서를 발송하면서 얻는 이익은 매우 크다. 간단히 생각해봐도

1. 종이값
2. 청구서봉투 포장인력
3. 인쇄비
4. 우편물 발송비용 등 이루 헤아릴 수 없이 많은 비용을 절감(이익)

하지만 이로인해 나가는 지출이라고는

1. 메일서버 초기세팅때만 들어가는 한두대 정도의 서버장비비와
2. 약간의 IDC 비용 솔루션 구매비 정도 하지만 이 것도 대행업체와 계약을 맺을 경우 단돈 몇푼에 끝나는 일이다.
3. 아 깜빡할뻔 했는데 그들의 고객에게 할인해주는 한통당 몇십원 정도의 같잖은 비용도 있겠다.

6. 정말 수신동의한 사람에게만 보낸다고?

그리고 앞서 예고했던대로 수신거부의 문제점이 있다. 일전에 다른 포스트를 통해 한번 이야기했던 내용이지만 한번 더 쓰겠다. 그들이 유일하게 주장할 수 있는 합리적인 타당한 이유라면 "유저들이 원하는 메일을 보냈으니 받아라" 라는 주장이다. 그 근거로 들 수 있는 역시 유일한 증거는 "옵트인" 즉 수신동의 라는 것인데, 내 주장은 그 수신동의라는 것이 애시당초 말도 안되는 수신동의이기때문에 그들의 유일한 주장역시 엉터리라는 것이다.

며칠전 이런일이 있었다. 옆자리에 일하는 박모대리의 체험담이다. 박모대리가 자신의 메일로 모 유명 백화점의 광고메일이 들어와서 수신차단을 하려고 수신차단 버튼을 누르고 들어갔더니 그 백화점의 사이트로 가서 로그인을 한후에 회원정보 변경 페이지에서 메일 수신동의를 해제하라고 했다는 것이다. 정말 귀찮았지만 너무나 받기 싫었기에 한번 가봤단다. 근데 놀라운 것은 이미 수신거부가 되어있더라는 것이다. 내가 말하려고 하는 것이 바로 이 것이다.

본인도 이런 경우 종종 겪었다. 이때 그 백화점 고객센터에 전화해서 항의하면 예상되는 답변들은 대략 "고객님께서 수신거부하신 메일과 저희가 보내들니 메일은 서로 셩격이 다른 메일입니다." "같은 백화점 메일이지만 발송 부서가 달라서..." 이런 식일 것이다.

그 외에도 수많은 예가 있지만 일단 자제하고^^ 어쨋든 유저들은 발송업체들이 주장하는 것 처럼 그들의 메일 수신을 동의한 적이 없다는 것이고 대부분의 사용자들은 그들이 제공하는 수신거부를 사용하지 않고 ESP 가 제공하는 스팸신고, 수신차단 등의 기능을 이용한다는 것이다.

수신거부의 이유로 ESP에서 대량메일 발송업체들의 메일을 차단하면 그들은 "수신거부(스팸신고)한 사용자의 리스트를 알려달라" 또는 "수신거부(스팸신고)한 사용자들에게 가는 메일만 차단하면 되지 왜 서버 전체를 차단하느냐" 라는 말들을 하는데, 우선 수신거부한 내역은 개인의 프라이버시 영역에 해당한다. 그리고 알려준다고 해도 어차피 삭제한다는 보장이 없으므로 합리적이지도 않다.(위의 박모대리의 백화점 메일 사건^^ 참고하라) 또한 왜 서버전체를 차단하느냐... 그 건 한마디로 ESP 마음이다. 앞서도 말했지만 대량메일 발송업체는 ESP의 고객이 아니다. 그들의 불편사항까지 챙기기위해 돈을 쓸 이유는 없지 않은가? 그것도 다수의 유저들이 스팸이라고 투표한 메일을 받기위해서 말이다.. 그리고 보이콧 마케팅을 하는 것이 그들의 자유인 것 처럼 차단하는 것은 ESP의 자유다.


7. 보이콧 마케팅은 이메일 시장 전체를 죽이는 자폭행위

이미 수많은 사용자들이 이메일을 떠났고 지금도 떠나고 있다. 더이상 업무적인 용도, 또는 개인 자료함 이외에 커뮤니케이션 수단으로서의 이메일은 점점 기능을 상실하고 있다. (대단히 효과적이고 유용한 도구임에도 불구하고 말이다.) 이렇게 된 까닭은 내가 누누히 강조하는 것이지만 모두의 책임이다. 어느 누구만의 잘못이 아니다.

만에하나라도 지금 이러한 대량메일 발송업체들의 이런 휑포에 맞서서 ESP 들이 담합을 해서 보복조치를 취한다고 가정해보자(충분히 가능한 일이다.) 몇몇 군소업체들은 아마 더이상 이메일 마케팅이란 것을 하지 못하고 포기해야 할 것이다.  몇몇 대기업들은 포털사들 못지 않게 영향력을 갖고 있으므로 (그리고 포털사들의 이메일이 아닌 다른 사업분야에서는 파트너이자 고객이기도 할 것이므로) 계속 그들이 원하는 지위(고객인체 행세하는)를 누릴 수 있을지도 모른다. 하지만 과연 그 것이 올바른 길인가? 서로 보이콧 마케팅과 그에대한 보복조치로 헐뜯고 싸우는 모습을 보며 사용자들은 정말 그나마 남아있던 정마저도 다 떨어질 것이고 실제로 메일 서비스는 정상적인 운영이 힘들 것이다.


8. 해결 방안

이쯤에서 상황이 더 악화되기전에 이 문제를 해결할 수 있는 또는 중재를 해줄 수 있는 기관이나 법제가 절실히 필요하다고 본다. 필요하다면 담합을 통해서라도 이 문제를 수면위로 끌어올려야 한다. (보복을 위한 담합을 말하는 것이 아니다.) 그리고 서로 손해보지 않는 적정선에서 타협하고 대안을 마련해야 한다. 또한 그렇게 만들어진 규칙을 준수하지 않을때에는 강력한 처벌을 동반한 댓가를 기꺼이 지불하도록 법제가 정비되어야 한다. 하지만 불행하게도 그런 일은 ESP나 네티즌들이 할 수 있는 이이 아니다. 바로 정부가 나서서해야할 일이라 하겠다. 마침 스팸에 관심이 많은 정통부에서 KISA 라는 단체를 만들어 운영하고 있으니 그들이 바로 적임자라고 생각이 든다. 추후에 다시한번 이야길 하겠지만 KISA 에서는 스팸 못지 않게 골치아픈 문제 중 하나인 이 대량메일 관련 문제를 풀어갈 묘안을 만들어주기 바란다. 지금 시행하고 있는 KISA White Domain 등록제는 정답이 아니니 더이상 애먼데에 힘빼지 말고 말이다.(역시 다음에 한번 이야길 하겠다.)

끝으로 또 하나의 중요한 문제를 지적하고 싶다. ESP 이자 여느 대량메일업체들과 똑같이 수준 낮은 수신동의에 의해 대량메일을 발송하는 포털들도 자성이 필요하다는 것이다. 이메일 서비스에서는 피해자 일지 모르나 같은 이름으로 하고 있는 다른 서비스를 통해 똑같이 가해를 하고 있으니 이 얼마나 모순인가? 이 모순 가득한 문제를 해결하기 위해서는 반드시 포털들 부터 솔선수범하는 모습을 보여줘야 할 것이다.

1. 이유

우리가 받는 스팸메일 중 자신이 보내지도 않은 메일의 회신 또는 반송메일 형식으로 들어오는 경우가 종종있다. 이 문제는 이미 다른분들이 언급한 바와같이 SMTP 의 허술한 구조탓에 mail from 이나 reply to 등 여러 정보들을 손쉽게 조작할 수 있기때문이다.

그렇다면 이런 많은 문제점들이 있음을 뻔히 알고 있으면서 고치지 않느냐고 반문할 수 있다. 물론 이런 헛점을 보완하기 위한 기술들은 이미 많이 나와있다. 절대 없어서 못하는 게 아니다. 그리고 적지않은 업체에서 이미 이런 기술들을 적용하고 있으나 인터넷이 많이 발전했다고는 하나 아직까지는 질풍노도의 시기이다보니^^ 미진한 점이 있다. 이런 기술들이 적용되지 못하는 많은 이유들이 있지만 가장 큰 두가지 이유를 들자면,

첫째, 이메일은 현재 과도기에 있다. 인터넷이라는 것이 강력한 법이나 중앙 통제기구에의해서 통제되는 것이 아니라 각기 자발적으로 참여한 기업들이나 개인들 그리고 단체들이 운영하고 있기때문이다. 새로운 기술이 나왔다고 하여 그 헤아릴 수 없이 많은 업체, 단체, 개인들이 동시에 적용할 수 없기때문에 이런 프로토콜 변경과 같은 문제는 엄청나게 오랜 시간을 필요로 하게 된다. 그 동안은 어쩔 수 없이 변화속에서 혼란을 겪을 수 밖에 없는 운명인데 지금이 바로 그 시기라는 것이다.

둘째, 하나의 표준으로 통일하기에는 의사 결정권자가 너무나 많다. 인터넷의 아니 범위를 더 좁혀서 월드와이드웹 그리고 이메일의 처음시작은 잘 알다시피 전 세계의 무수한 많은 기업과 단체와 개인들을 위한 것이 아니었다. 적어도 생각은 그렇게 했을지몰라도 이메일이 생기기까지 참여한 사람이나 단체는 몇몇 과학자와 단체 또는 기업이 전부였을 것이다. 따라서 오로지 한가지 표준으로 통일하는데 많은 시간이 걸리지 않았다. 하지만 지금은 수많은 공룡같은 기업, 단체들과 흩어져 있을땐 별 거 아닌것 같지만 뭉치면 어마어마한 파워를 발휘하는 네티즌들이 있다. 그리고 그들이 쏟아내는 수많은 기술들과 그 기술들에 얽히고 섥힌 이익들, 정치적인 목적들이 있기때문에 어떤 기술도 우위를 점하지 못하고 표류하고 있는 실정이다.


2-1. 경쟁중인 기술들 : 발송자 인증 기술

말 나온 김에 이러한 기술들 중 몇가지를 살펴보면,

1) 우선 이메일 발신자를 추적, 검증하는 기술이 있다. 바로 SPF(Sender Policy Framwork), SenderID, Domainkeys, DKIM(DomainKey Identified Mail)  과 같은 것들인데 일일이 자세히 설명할 수는 없겠지만(다음에 기회를 봐서 좀더 자세히 설명해 보겠다.), 일단 SPF와 SenderID 그리고 Domainkeys와 DKIM  이 두 그룹은 각각 사실상 같은 기술이라고 보면 되겠다. 이유는 각가 뒤에 언급된 기술들이 앞서 언급된 기술을 모태로 하고 있기때문이다.

1. 잘 알려진바와 같이 SenderID 는 Microsoft 에서 제안한 기술표준이고
2. Domainkeys 는 야후! 에서 제안한 기술표준이다.
3. 그리고 DKIM 은 Domainkeys 와 네트워크 장비로 유명한 Cisco 의 IIM(Identified Internet Mail)의 합작품이라고 생각하면 되겠다.

이중 현재 DKIM 이 유일하게 IETF(국제 기술표준 기구)에서 Proposal standard로 채택되어 조만간 공식 국제표준으로 채택이 유력시 되고 있다.


2-2. 국내 상황

하지만 현재 국내에서는 이러한 국제 흐름과는 별도로 KISA (한국정보보호진흥원:정통부산하단체)주도로 KISA White IP 등록제란 제도를 시행하면서 SPF 를 한국표준인양 몰아가고 있는 실정이다. (이 제도의 허와 실에 대해 꼭 한번 이야기하겠다.) SPF 가 왜 DKIM 에 비해 일찍 제안되었음에도 그리고 MS라는 든든한 지원군이 있음에도 국제적으로 인정을 못받고 있는가? 그 이유는 근본적으로 IP based 검증 방식에 문제가 있는 것인데 이와 관련해서는 아래 참고문서를 참고하기 바란다.


2-3. 가변회신주소 (VERP)

또 한가지 이러한 잘못 반송되는 스팸들을 막기위한 좋은 방법이 있으니 그것은 "가변회신주소(VERPs: Varable Envelope Return Paths)라는 개념이다. 이와 관련해서도 아래에 참고링크를 참고하기 바란다. 잠깐 설명하자면 앞서말한 mail from 과 reply to 등의 이메일 주소가 위조되는 경우를 구분하기 위해 해당 주소를 dsn 이라는 방식을 사용하는 것인데,

1. 일반인이 보기에 다소 복잡할 수 있다.
2. 그리고 위의 발신자 검증 방식도 마찬가지이겠지만 스스로 본인의 이메일 도메인과 서버등을 구현하고 운영하지 않는 이상 이 모든 것들을 적용하기란 사실상 불가능하다.

3. 결론

1. 즉, 이메일 업계에 종사하는 여러분들이 다 같이 새로운 기술표준을 적용하고 공부하는데 주저함이 없어야 하고
2. 적극 참여해야만 이런 문제들이 해결될 수 있다.
3. 그리고 이메일과 웹기술이 하나의 표준으로 또는 굳이 하나의 표준이 아니더라도 단점을 보완할 수 있는 수준에서 하루 빨리 정착이 되도록 하는데에는 법제정비 등의 국가적인 지원이 필요하다.

이에 정통부, 국회, KISA 등 유관단체에서는 화이트ip제도 같은 실무자들의 영역에서 활동하면서 혼란하게 만들지 말고 실무자들이 필드에서 할 수 없는, 자기들만이 할 수 있는 영역에서 그들만의 소임을 다해 줄 것을 강력히 촉구한다.

- DKIM / Domainkeys 참고
- 가변회신주소(VERPs: Varable Envelope Return Paths) 참고

요즘 참 바쁘게 시간을 보내는 것 같다. 나 혼자 바쁜거지만 그래도 왠지 시간을 알차게 보내고 있는 것 같아 뿌듯하기도 하고 눈코뜰새 없이 바쁘니 시간도 잘가고 좋다. 지난 목요일에 korea Antispam Discussion Group 의 첫번째 정모가 강남역 토즈에서 있었다. 각자 생업에 바쁜 나날들을 보내고 있는 가운데 모인 10명의 안타스팸 전사들.. ㅋㅋㅋ

이번 모임의 목적은 발음이 좀 이상하지만 "발기인" 모임 정도의 개념으로 여러가지 현안들을 다루어봤다. 자세한 내용은 우리끼리 다 공유했으므로 생략하고 그 "우리" 가 되고픈 사람들은 조금만 기다려주시길 바란다. 아직 우리 모임이 정착이 안된 시기라 새로운 회원을 받기 보다는 내실을 다질 필요가 있어보여서..

사실 아직 이 모임이 얼마나 지속이 될지 내가 원하는 내가 생각했던 그런 역할을 그런 기능을 할 수 있을지 확신이 없다. 그냥 열심히 힘 닿는데 까지 내가 할수 있는 것을 하는 것.. 그것이 지금 내가 갖고 있는 유일한 생각이다. 다만, "안티스팸" "스팸메일" 이런 것에 사람들이 별 관심이 없다는 게 좀 안타까울 따름이다. (본 블로그에도 현재 하루평균 100여명 가까운 사람이 드나들지만 리퍼러나 키워들 뒤져봐도 "이메일", "안티스팸" 이런 건 하나도 없다.) 이것이 우리 이메일의 현주소요 당면과제요 숙명이라고 생각한다.

자 말 그만하고 구경한번 해볼까요?

토즈에서 회의 시작전 기념 촬영입니다. 반갑습니다. 다들..


강남역 등나무집인가요? 암튼 밥도 먹고 술도 한잔 했습죠...


사이 좋아보이네요.. ^^

본 글은 "스팸메일과 안티스팸"이란 주제로 아래의 목차와 같이 연재될 예정입니다.



4. 대량메일 발송자들에게 고함

과연 스팸을 줄이기 위해서는 어떻게 해야할까라는 생각을 하다보면 정말 수많은 생각이 들고 또 그 생각들은 생각을 하면 할 수록 더욱 가혹해진다. 하지만 그런 가혹한 방법은 현실로 옮길 수가 없다는 것... 바로 생각의 한계라 하겠다. 보통 사람들이 어떤 복잡한 문제에 봉착했을때 가장 좋은 해결방법은 그 문제를 가능한한 단순화하는 것이다. 이 스팸이란 문제를 마찬가지로 단순화한 후 내가 할 수 잇는 일과 할 수 없는 일로 구분하여, 내가 할 수 없는 일은 제외하고 할 수 있는 일만 열심히 하기로 마음 먹었다. 이른바 "선택과 집중"이란 개념을 내 일에도 적용시켜본 것이었다. 어차피 스패머들을 제대로 막아낼 수 없다면 거기에 낭비할 리소스들을 나름대로 건전한 대량메일 발송자들에게 집중하는 것이 보다 효과적이지 않을까 하는 생각이다.


4-1. 25번 포트 차단

잠깐 이야길 하자면, 스패머들의 작업을 어느정도 무력화 시킬수 있는 좋은 방법이 있다. 가정용 인터넷 망들의 outbound 25번 포트의 접속을 완전 차단하는 것이다. 가정용 인터넷 회선에서 25번 포트를 제한하지 못할 이유가 전혀 없다. 외부 smtp 서버 접속을 고려하더라도 587번 포트를 이용하면 전혀 문제될 것이 없다. (이와 관련해서도 역시 시간이 허락한다면 좀더 자세히 다루어보겠다.) 이렇게 25번포트가 정리가 되면 botnet에 의한 스팸발송을 차단함으로써 스패머들의 발송비용을 증가시키게 되고 결국 스팸을 억제할 수 있을 것이다. 하지만 현재  이런 간단한 방법조차 전혀 시도조차 하고 있지 않으며, 일개 월급쟁이일 뿐인 본인으로서는 어찌할 방법이 없다.

그럼 오늘의 본론으로 돌아가서, 광의의 스팸메일 범주에 포함되는 대량멩일들은 어떤 문제점을 갖고 있으며, 또 어떻게 개선이 되어야 할까? 라는 것을 생각해보자. 이미 앞서 이에 관해 몇가지 이야기를 한바 있다. 전혀 옵트인 답지 않은 옵트인(본인의 지인중 같은 안티스팸에 종사하는 김모대리님이 이에 대해 "수준 낮은 수신동의" 라는 멋진 표현을 알려주셨다.), 있으나 마나한 "수신거부" 가 바로 그것인데, 이 외에도 이들의 "합법" 주장에는 수많은 모순들이 깔려있다.


4-2. 대량메일의 마케팅 효과

굳이 안티스팸이란 관점에서 보지 않더라도 정말 대량메일 발송이 마케팅에 도움이 되는지를 한번 파악해볼 필요가 있다고 본다. 대량메일 중에 실제로 사용자가 확인해보는 메일은 5% 미만이라는 것이 중론이다. 불과 5% 밖에 되지 매우 열악한 확률에도 열심히 메일 컨텐츠를 만들고 발송하는 이유는 무엇일까? 그것은 바로 저렴한 발송 비용 때문이다.  이 세상에 그 어떤 마케팅 수단도 이메일만큼 싸지 않다. 동시에 수십, 수백만 심지어 천만이 넘는 회원에게 메일을 보내는데 넉넉잡아 단 며칠이면 충분하다. 그리고 그 비용은 장비구매비와 약간의 인건비, 전기세 기타등등을 다 고려해도 이 세상에서 제일 쌀 것이다. (앞서도 누누히 말했지만 바로 이 발송비용을 높여야 한다. 그래야 대량메일 발송자들은 다른 대안을 생각할 것이고 스팸은 줄어들 것이다. 긔리고 온라인 우표제가 바로 이러한 발송비용을 높인다는 측면에서 안티스팸에도 기여할 여지가 있었다는 것이다.) 

돈이 적게 든다고  효과도 없는 마케팅을 멈추지 않는 행위는 당장은 보이지 않지만 지금도 진행중인 사람들의 이메일 불신을 야기시켜 결국은 이메일 사용자들을 다 떠나게 만들 수 있는 중요한 악재 중 하나이다. 이들은 이렇게 값싸고 좋은 마케팅 수단을 무위로 만드는데 1등 공신으로 나서고 있는 것이니 이 얼마나 한심한 행위인가? 지금이라도 정확한 타케팅을 기반으로 스스로 정화하는 것이 이메일도 살고 그들도 손쉬운 마케팅 수단을 잃어버리지 않는 좋은 방법일 것이다.


4-3. 대량메일 발송 프로그램

한편 이렇게 대량메일이 손쉽게 유통되는 데에 한몫을 하고 있는 또다른 무리가 잇으니 그들은 바로 대량메일 발송 프로그램 제작사들이다. 이들의 목적은 1초라도 빨리 1통이라도 더 많이 보내는 것이겠지만, 결국 그러기 위해노력하다보면 전문스패머들과 별반 다를 바 없이 되는 경우가 종종 있다. 이메일의 여러가지 헛점을 파고들어 스팸필터를 뚫어야 할 것이고 포털 안티스팸 담당자와 싸워서 자신들이 원하는 것을 얻어야 할 것이다. 특히 소규모 업체들이 선호하는 PC 설치형 프로그램들이 훨씬 심각하다. 반송로그나 smtp 에러코드 등 대부분의 표준들은 무시되고 오로지 메일 발송만을 목적으로 수신측 서버에 스패머 수준의 트래픽을 발생시키는가 하면 발송 장애 처리가 제대로 안될 경우 보이콧도 불사하며 물을 흐려놓고 있다.

이제는 더 이상 이런 자폭행위는 그만두자는 것이 내가 하고싶은 말이다. 그들이 그렇게 해서 지금 당장 돈을 좀 더 벌더라도 스팸으로 인해 사용자들이 이메일을 떠나게 되면 결국 그들도 ESP, 대량메일발송업체 들고 마찬가지로 좋은 시장 하나를 잃는 것이 되기때문이다.


4-4. 결론

안티스팸이란 것은 이메일이란 서비스의 특성상 그리고 커뮤니케이션이란 기능의 특성상 어느 한쪽에서 컨트롤 할 수 없는 부분이 많다. 사용자, ESP, 대량메일 발송자, 추가로 프로그램개발자들까지 어느 누구할 것없이 모두 노력해야만 진정한 안티스팸은 이루어질 것이라고 생각한다. 그리고 그러한 노력들이 있어야 비로소 이메일 본래의 순기능들이 살아나게 될 것이며, 결과적으로 모두가 궁극적으로 지향해야 할 바라고 생각한다.

스팸메일에 대해서 참 할말이 많았는데 기획된 연재의 마자막까지 왔음에도 왠지 무언가 덜 개워낸듯 속이 답답하다. "스팸메일과 안티스팸" 연재는 마치지만 앞으로도 이메일과 안티스팸에 관한 여러가지 연구들을 본 블로그를 통해 지속해 나갈 예정이다. 본인을 비롯하여 전체 IT 종사자들 중에 극히 일부에 지나지 않지만 음지에서 피땀흘려 일하는 우리 안티스팸 엔지니어들을 위하여 많은 격력와 박수를 부탁하며 연재를 마감한다.