이베이와 Paypal(미국에서 유명한 온라인 전자결제 서비스)에서 야후! 의 도메인키를 적용하기로 전격 결정했다는 소식이 현재 미국의 유력 사이트들로 부터 나오고 있다. 우선 아래의 링크들을 참고하기 바란다.

야후! 의 주요 경쟁사 중 하나인 구글이 지메일에서 "도메인키"를 적용하면서 도메인키의 기술적인 완성도는 이미 증명이 되었다고도 볼 수 있다. 그리고 올해초 "발신자 인증기술"들 중에서 유일하게 국제 표준으로 인증을 받은 것도 그러한 증거로 볼 수 있겠다. 도메인키(DKIM)는 현존하는 "발신자 인증기술" 중 가장 신뢰할 수 있고 가장 안전한 기술이다. 그리고 다시한번 강조하지만 유일한 표준이다.

국내 유수의 포털들과 신뢰도 높은 보안이 요구되는 수많은 서비스들(은행 및 금융권, 공공기관, 인터넷 쇼핑몰 등)에서도 하루빨리 도메인키를 적용하여 보안과 표준 그리고 무엇보다 고객만족을 실현할 수 있기를 바란다. 또한 이들에게 가장 영향력을 행사할 수 있는 한국정보보호진흥원(KISA) 에서 하루 빨리 이러한 정책을 수립하여 추진해주기를 촉구한다.

발신자 인증 기술에 관하여 본인이 이전에 올린 포스팅은 다음과 같다.

내가 보내지 않은 메일의 반송메일을 받은 경우

지난번에 이메일과 스팸메일에 관한 오해 1 을 톨해 "자신이 수신자가 아닌데 수신한 메일" 에 대해서 이야기를 했었다. 이번엔 그와 유사한 경우인 "내가 보내지 않은 메일의 반송메일을 받은 경우"를 이야기하려고 한다. 사실 두가지 경우는 똑같은 경우다. 하지만 해당 메일의 실제 수신자가 나였느냐 발신자가 나였느냐라는 차이가 있을 뿐이다.

이해를 돕기 위해 본 포스팅을 처음 보는 사람들은 먼저 지난번 포스팅을 보고 다시 오기를 권장한다. (그래야 이해가 쉽다.) 앞서말한 바와같이 이 모든 혼란의 원인은 인터넷 이메일 전송 표준 규약인 SMTP(Simple Mail Transfer Protocol) 의 부실함이라 할 수 있다. 지난번 포스팅에서 Telnet 으로 SMTP Command 를 이용해 어떻게 메일을 주고 받는지 그리고 어떻게 수/발신자를 조작하는 지에 대해서 말했었다. (잘 모르겟다면 얼른 가서 다시 보고 와라. ^^) 스패머들이 혹은 호기심 많은 어느 학생이 자신이 메일을 보낸 것을 숨기기 위해 헤더에 장난을 치게 되면 이런 일이 발생하게 된다.

즉. 실제로는 자기가 메일을 보내면서 MAIL FROM 명령과 DATA 명령 후에 적는 From 헤더의 발신자 메일주소를 엉터리로 적었는데 그 것이 하필이면 자기 메일주소가 적힌 것이다 이말이지.

그렇다면 스패머는 왜 이런 짓을 할까?

우선 스패머는 자기 자신의 정보를 은폐하고 싶어 한다. 당연하지 자기 메일 주소를 솔직하게 적었다가는 다 들통나서 비록 솜방망이 처벌이긴 하나 처벌을 받긴 받을테니 말이야. 그러니 당연히 남의 메일 주소를 적을 수 밖에.. (사실 아무 정보도 적지 않아도 수신자 정보만 있어도 메일은 발송된다. 아무 조건없다. ㅡ.ㅡ)

두째로, 스패머가 돈을 주고 구매를 했건 웹에서 Crawl 을 했건 간에 아무튼 수집한 이메일 주소는 부정확한 경우도 많다. 그럴때 Mail From 에 적어둔 어떤 주소로 다시 반송이 될 것이므로, 자동으로 남의 메일 서버의 Bounce(반송메일)을 통해 스팸을 한번더 발송하는 효과를 볼 수 있다는 것이다. 손 안대고 코 푸는 격이라고나 할까?

이러한 Bounce 에 대해서 대비책들도 물론 다 나와있다. 하지만 전세계 이메일 시스템에 동시에 적용한다는 것이 일단 너무나 큰 무리이고 이메일이 그다지 중심 서비스로서 주목을 받지 못한다는 이유로 아직까지 이러한 솔루션들이 제대로 적용이 되지 못하고 있다. 암튼.. 이러한 기술들에 대해서 이 자리에서 다 설명하기엔 (내가 늘 하는 변명) 지면이 부족하므로 아래에 간단히 링크만 남긴다. ㅋㅋㅋ

• 야후! 도메인키
• VERP

그래도 IP 는 남는다.

여기까지 스패머들이 자신의 흔적을 남기지 않으려고 무단히 애를 썼지만, 그렇다고 해도 완전범죄란 있을 수 없다. 자신이 보내지 않은 메일의 회신을 받았다면, 먼저 해당 메일의 헤더정보를 확인해보기를 권장한다. 대부분의 웹메일 서비스나 아웃룩 등 어플리케이션에서 "전체 헤더보기" 또는 "메일원본보기" 등의 이름으로 헤더보기를 제공하고 있다.

헤더를 보면 갖가지 영어로된 내용들이 보일텐데 다 무시하고 오직.. 하나!!!! "Recieved From" 이란 헤더 하나만 보면 된다. 물론 메일이 어떤 경로를 거쳐 갔느냐에 따라 이 헤더가 여러개일 수도 있고 단 하나일 수도 있다. 이메일을 전달하는 서버들인 MTA(Mail Transfer Agent) 또는 MDA(Mail Delievery Agen) 들은 메일을 전송할때 절대 컨텐츠는 손대지 않는다. 다만 헤더에 자신이 이 메일을 보내거나 전달했다는 표시를 남길 뿐인데 그 표시가 바로 "Recieved From" 헤더이다.

이 헤더는 시간순서대로 아래에서 위로 적혀있다. 따라서 가장 먼저 이 메일을 전달한 서버나 당시의 정보를 보고자 한다면 Recieved From 헤더 중 가장 아래의 헤더를 보면 되겟다.

이 헤더에 남는 정보는 전달시간, 전달한 host 의 ip 와 hostname (쉽게 말해 IP주소와 도메인) 그외에 이 host 가 client 로 부터 smtp 접속을 통해 메일을 전달한 경우 각 서비스별로 자신들만의 형식으로 history 를 남긴다. (대부분 by 어쩌구 하면서 하나의 recieved from 헤더에 client 즉, 아웃룩 등으로 접속을 시도한 사용자의 최종 ip를 남긴다.)

예를 들어 이런 식이란 거지..

그렇다면 자신이 정상적으로 보낸 메일의 헤더는 어떻게 찍히는 지 어떻게 알 수 있을까? 당연히 그걸 알아야 비교해서 "아~ 내가 보낸메일이 아닌데 내가 반송을 받은 이유가 이거구나~~" 하구 알게 아닌가? ㅋㅋㅋ
정말 간단하게... 자기가 자기한테 메일을 한번 보내보라.. 그리고 그 메일을 열어서 헤더를 보면 알 수 있겠지?

암튼 어떠한 경우에도 흔적은 남는다는 것, 절대 완전범죄는 없다는 것... 그러니 왜 난 보내지도 않은 메일이 나에게 왔냐고 투정하거나 자신이 메일 서비스 고객센터에 따지기에 앞서.. 재미삼아 한번 이 내용을 확인해보면 좋겠다.

누군가가 메일로 알려줘서 알게되었는데 공유한다. (혹시 이미 알고있다면 패스~~ 부탁함 ^^) 실은 메일 받은지 한참 지났는데 어떤 계기로 이제서야 확인하게 됨. ㅋㅋㅋ

각 메일 서비스마다 다들 이런 Antispam 용 URLdb 가 있을 것이다. 시스템에 따라서 설계야 조금씩 다르겠지만 어떤 식으로든 메일컨텐츠내의 URL 들을 별도로 수집 관리하고는 있을 것이다. 굳이 메일 서비스만 그런 것이 아니라 블로그의 트랙백 스팸이나 카페나 뉴스의 댓글 스팸등 활용할 방법은 얼마든지 있겠지. 다들 이미 잘 알고 있는 바와 같이 IPdb 처럼 말이다.

이 놈의 용도는 spam, phishing 등에 사용되는 bad url 들을 기록했다가 (물론 경우에 다라서 white 도 쓸 수 있겠고.) 이놈을 이용해서 static 한 스팸필터도 만들 수 있고.. 또는 machine learning 에 활용할 수도 있다.

오늘 소개할 것은 바로 이러한 URL db 의 정보를 외부에서도 사용할 수 있도록 구글에서 공개한 "Google Safe Browsing API" 이다. 구글이 다소 이중적이긴 하지만 이럴때보면 참 공유하나는 잘 하는 것 같다는 생각이 든다. 그리고 항상 남들이 생각지 못한 구석진 곳까지 놓치지 않는다는 거... "사람많고 돈많으니까 그렇겠지" 라고 생각할 수도 있겠지만, 우리나라에도 그런 회사 있잖아.. 근데 글케 하는 거 봤어? 흉내만 내지 아무도 그렇게 안하자나...

관심있으신 분은 아래 링크로 가서 참고하시길...

http://code.google.com/apis/safebrowsing/developers_guide.html

이메일 및 안티스팸과 관련하여 좋은 Conference 가 열리기에 정보를 공유한다.

사실 개인적인 소견으로는 국내 세미나나 컨퍼런스들은 상업적인 것들과 결부되었거나 시류에 편승하여 알맹이 없는 전형적인 전시행정들이기 일수였다. 최근의 Web2.0 류의 갖가지 행사들을 보면 잘 알 수 있지. 뭐 생각은 사람마다 다를 수 있으니 이견이 있을 수 있겠지만... 어쨋거나 확실한건 이메일, 그 중에서도 안티스팸만을 위한 컨퍼런스나 세미나는 솔직히 지금껏 한번도 본적이 없다는 것이다.

누군가 서점가의 신간 서적들을 분석해보면 현재 기술들의 트랜드를 알 수 있다고 했다. 예컨대 요즘 서점가에서 기술서적들 중 가장 인기를 끄는 내용은 단연 "Web2.0", "Ajax" 이다. 2~3 년전에는 "EJB" 나 "Java" 등이었을테고. 한때 "PHP" 도 꽤나 인기를 끌었던 적이 있었다.. 하지만 이메일관련 서적은 인기를 논할 가치도 없다. 왜냐하면 대한민국에 한글로 인쇄된 이메일 관련 기술서적은 아래의 단 한권뿐이기 때문이다. ^^ (오직 하나뿐인 그대~~ ㅋㅋ)

- 교보문고 상세정보보기

상황이 이러하니 이메일 관련 컨퍼런스, 세미나 따위가 대한민국땅에서 개최될 리가 없다하겠다.

대한민국 시장이 좁고, 그 중에서도 특히 이메일 서비스나 관련 기술이 보편화된 대중적인 기술이 아닌 탓이겠지만, 그래도 이메일로 밥먹고 사는 사람들이 한둘이 아닐텐데, 이런정도의 기술공유나 연구가 없다는 사실이 안타깝다하겠다.

솔직히 미국등 해외에서 벌어지는 행사들을 참석해 본적이 없어서 한국에서 봐왔던 행사들과 어떤 차이가 있는지 전혀 모른다. 그렇지만, 같은 업계 종사하는 실무자로서 이메일과 안티스팸과 관련해서 이런 정도의 행사가 있다는 사실만으로도 부럽고 흥분이 되는게 사실이다.

솔직히, 국내 메일시장의 공룡 "한메일"이나 국내 안티스팸의 리더이길 자처하는 "KISA" 에서 이런데에 관심 좀 가져줘야 하는게 아닌가 싶기도 하다. ㅋㅋㅋ

- 이글은 http://blog.naver.com/eight23/50016329420 글의 트랙백으로 작성된 글입니다.

1. "Heuristic" 의 정의

안티스팸의 여러가지 필터링 기술 중에 "heuristic" 이라는 필터링 기술이 있다. 물론 이메일에서만 사용하는 용어나 기술은 아니고 machine learning 에서 나온 개념으로 인공지능의 한 분야인데, 우선 이메일 스팸이라는 관점에서 한번 생각해 봤다.

먼저 "heuristic" 의 정의를 사전에서 찾아본 결과, 귀납적인 방법을 사용하는 필터라고 일단 짐작이 된다. 그렇다면 "귀납법" 은 정확히 어떤 것인가? 그리고 그 반대의 개념이라고 알고 있는 "연역법" 과의 차이는 어떤 것일까?


2. 귀납법과 연역법

우선 귀납법과 연역법에 대해서 지식인에서 한번 찾아보았다.

일반적으로 삼단 논법에 의한 연역적 방법은

1. 일반적, 보편적 사실
2. 구체적 사실
3. 일반적 사실을 구체적 사실에 적용

으로 진행됩니다. 가장 잘 알려진 예를 들면

1. 사람은 죽는다. (보편적 사실)
2. 소크라테스는 사람이다.(구체적 사실)
3. 그러므로 소크라테스는 죽는다.(보편적 사실의 적용)

두괄식이라는 것은 보편적 사실이 이 글의 중심 역할을 한다는 말입니다. 보편적 사실을 중심으로 구체적인 사실을 추론하는 것입니다. 즉, 연역적 추론은 일반화에서 구체적 사실로 귀납적 추론은 구체적 사실에서 일반화의 단계를 거치죠.
귀납적 추론의 경우에는 여러가지 구체적 사실로부터 보편적인 진실을 이끌어내므로 중심적인 내용이 결론 부분에 존재하게 됩니다.

< 출처 : 네이버 지식인 답변 >

이해가 좀 되는지 모르겠다. 어쨋든 이상의 내용을 토대로 어떤 이메일을 스팸인지 아닌지를 판단하는 방식을 정리해보면,


3. 안티스팸에 적용하면

이메일에서 heuristic 필터는 static 필터들을 말한다. 가령 예에서와 같이 어떤 한가지 특징을 기준으로 스팸인지 아닌지를 판단한다면, 이 필터는 heuristic 이다. 물론 여러가지 heuristic rule 이 있을 수 있다. "특정 ip 에서 온 메일", "특정 도메인으로부터 온 메일", "특정 단어를 포함한 메일" 등과 같은 것들이 있을 수 있겠다. 우선 아래 예를 한번 보도록 하자.

1) 연역적 추론 :

1. 모든 black list ip 에서 발송된 메일은 스팸이다.
2. 이 이메일은 black list ip 에서 온 메일이다.
3. 그러므로 이 이메일은 스팸이다.

일반적으로 스팸인지 아닌지를 판단하는 과정을 이렇게 적어보았다. 일반적으로 안티스팸은 어떤 조건(전제)를 만족시키는 지 여부에 따라 스팸인지 아닌지를 판단한다. 따라서 안티스팸은 다분히 연역적이라고 하겠다. 그렇다면 안티스팸은 연역적인 추론에 해당이 된다는 말인데, 귀납적 추론, 즉 heuristic 은 뭐란 말인가?

2) 귀납적 추론(heuristic) :

1. 대출안내 메일은 스팸메일이다. (구체적인 사실)
2. 모든 대출안내 메일에는 "대출" 이라는 단어가 들어간다. (구체적인 사실)
3. 메일 컨텐츠에 "대출" 이라는 단어가 있으면 스팸이다. (보편적 사실)

우리가 앞서 말한 일반적인 안티스팸 즉, 어떤 메일이 스팸인지 아닌지를 판단하는 작업에서 그 판단 기준이 되는 내용, 위의 예에서는 "black list ip 에서 온 메일은 스팸이다" 라는 가정을 추론해내는 과정이 바로 귀납적 추론이고, 이렇게 해서 만들어진 것이 heuristic filter 라 하겠다.


4. 결론

즉 안티스팸은 귀납적 추론에 의해 만들어진 판단 기준을 전제로 어떤 메일이 스팸인가? 라는 명제를 판단하는 연역적 추론을 하고 있다는 것이다. (내가 쓰면서도 잘 이해가 안된다. ㅎㅎㅎ 예가 적절한 건지 잘 모르겠지만 어쨋든 그렇다. ^^)

같은 듯 다른 개념... 어렵다. 그치?

1. KISA 란? 정통부 산하단체로 한국말로 쓰자면 정보보호진흥원 이라고 하는 단체이다. (영어로는 Korea Information Security Agency?? Association?? 암튼 잘 모르겟다.ㅋ). 자세한 안내는 아래 링크를 참고하기 바란다.

2. KISA White Domain List 제도란? KISA 에서 주관하는 여러 사업중 하나로 쉽게 말해 블랙IP 리스트를 관리하는 RBL(Realtime Blackhole List) 의 반대개념으로 화이트IP 리스트를 관리하는 것을 말한다. 현재 국내에서 성업중인 모든 포털들이 거의 다 참여하고 있다. (MS, Google 만 제외) 이 제도에 참여한 도메인의 dns 에 등록된 IP 들은 모두 각 포털의 IP based 스팸필터에서 다른 IP 에 비해 좀더 나은 대접을 받는다고 생각하면 간단하다.

3. 그럼 왜 이 제도가 문제인가?
언뜻 보기에는 지금까지 대부분의 포털들이 각각 접수를 받고 별도로 데이터베이스를 관리해오던 IP 들을 정부에서 나서서 일일이 검증도 해주고 모니터링/업데이트를 해준다니 ESP 입장에서는 참으로 고마운 일인듯 보인다. 마찬가지로 대량메일발송자들도 10개나 되는 포털들에 일일이 각기 다른 방식으로 접수하던 것을 한번에 대행을 해준다고 하니 그야말로 희소식인 듯 보인다. 하지만 좀더 들여다 보면 과연 그럴까? 라는 생각이 든다.

1) SPF 적용강요
메일발송자가 제도에 참여하기 위해서는 먼저 SPF(Sender Policy Framework) 라는 기술을 적용해야 한다. 아니 좀더 정확히 말하자면, SPF 기술중의 일부를 적용해야 한다. (자세한 내용은 아래 2) 항에서 설명함) SPF 를 사실상 국내표준으로 만들겠다는 심산이 깔려있다고 볼 수 있다. 앞서 이미 한번 이야기한 적이 있지만 SPF 는 기술적으로 완성도가 떨어지는 기술이다. 표준화 되기에 앞서 이미 헛점들이 노출이 되어있는데, 단지 적용하기에 간편하다는 이유만으로 표준화 한다는 것은 옳지 않다고 생각한다. 더구나 국제적으로 DKIM 이 기술적으로도 인정을 받고 조만간 IETF 국제공인표준으로 채택이 될텐데, 아무래도 합리적이지 않다고 보여진다.

2) 실제 SPF 를 인증에 사용하지 않고 있음
이야기하기에 앞서 먼저 SPF 라는 기술을 간단히 살펴보면

1. 등록단계 : 어떤 도메인을 사용하여 메일을 발송하는 서버의 IP 를 DNS 서버(주어진 도메인을 어떤 IP 주소와 연결시켜 주는 서버)의 TXT 레코드라는 영역에 저장한다.
2. 검증단계 : 받는 메일 서버에서 메일에 포함된 발송 IP 를 1 에서 저장한 DNS 의 TXT 레코드에 등록된 IP 와 일치하는 지 비교한다.

이렇게 간단히 두 과정으로 이야기할 수 있는데, KISA 에서 말하는 SPF 란 과정 2 와는 아무런 관련이 없다는 것이다. 왜냐하면 정작 메일을 받아보는 ESP 의 MTA(메일서버)에서는 SPF 를 통한 검증을 하지 않고 있기때문이다. 실제로 확인은 하더라도 그 결과를 기준으로 메일을 반송하거나 차단하는 곳은 단 한곳도 없다. 즉, KISA White List 에서의 SPF 라는 것은 SPF 본래의 기능과는 그다지 상관이 없다는 것이다.

그렇다면 왜 KISA 에서는 SPF 를 강요하는 것인가? 그것은 현재로서 SPF 를 통하지 않고서는 어떤 서버에서 어떤 도메인을 통해 이메일이 발송되는지를 확인할 만한 기술이 없기때문이다. 언뜻 생각하면 KISA 의 생각이 옳은 것 같다. 하지만 KISA White Domain List 란 제도 자체가 모순이기 때문이 모순으로 비롯된 명제가 참이라고 한들 옳다고 볼 수 없으므로 합리적이지 않다.

3) White 가 진짜 whtie 인가?
같은 KISA 에서 운영하고 있는 KISA RBL 의 경우와 우선 비교를 해보면 RBL 은 굉장히 유용한 면이 많다. 일단 다른 것들은 다 차치하더라도 가정용 DHCP IP 들을 파악할 수 있다는 것 하나만으로도 그 의미는 대단히 크다. (왜 가정용 DHCP IP 들을 아는 것이 중요한지 궁금한가? 그럼 클릭^^) 하지만 White List 는 그 정확도가 매우 떨어져 ESP 입장에서는 사실 적용하기가 굉장히 난처한 경우가 많다. 실제로 모니터를 해보면 순도 100% 스팸메일이 발송되는 경우도 허다하며, 무엇보다 가장 큰 문제는 웹호스팅, 메일호스팅 업체들의 IP 가 섞여 잇다는 것이다. 원칙적으로 도메인의 txt 레코드에 ip 만 입력이 되어있으면 등록을 해주기때문에 받아 주지 않을 수도 없겠지만 같은 iP하나에 수십, 수백개의 도메인이 물린채로 업청난 트래픽을 발생시킬 수 있는 그러한 IP 들이 버젓히 white 로 등록이 된다는 것은 실로 심각한 일이 아닐 수 없다.

그리고 KISA 에서 나름대로 정확한 모니터링을 위해서 만전을 기하겟지만 각 수신서버들은 ESP 들 소속이고 그들의 네트워크에 속해있기때문에 KISA 에서 정확한 모니터링을 한다는 것은 굉장히 어렵다. 이건 정말 설명하기 어려운데, 간단하게 말해서 KISA White List 의 정확도가 너무나도 떨어진다는 것이다.

4) 시장의 영역을 침범했다.
함마디로 정부에서 해줘야 할 일들을 하라는 것이다. 이것은 업체들의 영역이다. 정부가 도울 수는 있지만 가장 시급한 문제는 아니다. 우리 ESP 들도 스팸을 줄이고 반대로 대량메일 발송자들이 선의의 피해를 입지 않도록 하기위해 최선을 다해왔고 지금도 그렇다. 안티스팸의 퀄리티가 떨어져서 스팸이 많이 들어오거나 혹은 선의의 피해가 늘어나면 그 직격탄을 맞는 것은 KISA 도 정통부도 아닌 바로 ESP 우리 자신이다. 그런데 왜 열심히 하지 않겠는가?

그렇게 열심히 하고 있음에도 뭔가 부족했던 것은 기술의 부족이나, 통제력의 부족 그런 것이 아니었다. 그런 것들 보다는 오히려 법제의 정비, 기술표준의 미비와 같은 업계에서 스스로 해결 할 수 없었던 문제들이 원인이었다.

그래도 다행인 것은 이러한 화이트 리스트 제도를 통해 문제제기도 충분히 이루어졌고 살짝 어긋나긴 하였으나 기술표준이라는 측면에서 대체로 표준에 대한 인식을 같이 할 수 있는 계기는 만들어졌다고 본다. 따라서 현 시점에서 이런 문제는 시장에 맡기고 업계에서 할 수 없었던 그리고 정부나 산하단체에서만 가능한 본연의 임무로 돌아가주기를 바란다.

4. 그렇다면 KISA 가 해야할 일은 무엇인가?
다시한번 강조한다. 기본적으로 정부가 나서서 하지 않으면 아무도 안하는 것들과 하고 싶어도 할 수 없는 것들을 우선 해야한다. 법제 정비, 단속, 오픈소스 지원, 미비한 이메일 관련 레퍼런스 연구 및 문서화와 같은 것들이 그것이라 하겠다.

그리고 KISA White Domain 리스트에 DKIM 을 mandatory option 으로 추가하라. 어차피 white ip list 를 만들기 위해 IP 는 받아야 하고 그 IP 와 도메인과의 과계 증명을 위한 방법은 현재로서는 SPF 외에는 없다. 하지만 이왕에 인증기술을 적용할 것이면, 확실하게 하는 것이 좋지 않은가? 그리고 DKIM 도 역시 dns 질의를 통해 간단하게 적용여부를 알 수 있다. 즉, SPF 로는 IP 를 확인하고 DKIM 으로 메일의 위/변조와 도메인(발송자)를 확인하자는 말이다. 그렇게 하면 KISA White List 의 정확성도 높일 수 있고 궁극적으로는 스팸도 줄일 수 있다. (광의의 의미에서의 스팸)

5. 앞으로 KISA White Domain List 에 참여하지 말아야하는가?
참으로 어려운 문제인데, 솔직히 본인도 현 시점에서 어떻게 행동해야할지 고민스럽다. 일단은 참여하고 보자는 게 내 생각이다. SPF 든 DKIM 이든 인증기술이 필요한 것은 사실이고 두가지 기술 모두 장점이 있고 상호보완도 가능하다. 그리고 현재의 KISA White List 를 운영하기 위해서는 SPF 는 필수이다.

결론은,

1. 일단은 참여하자.. (언젠가 없어지가나^^ 보다 나은 방향으로 발전할 것이다. 그러기위해 모든 이메일 담당자와 KISA 담당자가 노력하고 있다.)
2. 하지만 KISA White List 에 등록했다고 모든 것이 해결되었다는 생각은 하지말자.
3. KISA 에서도 받아주었으니 우리는 모든 참여 ESP 들의 고객이야 --> 라는 생각 절대 하지말자
4. KISA 에서는 DKIM 을 SPF 와 더불어 Korean Standard 로 지원하라.
5. 무엇보다 중요한 것은 수신자가 받기 싫은 메일을 보내지 않는 것이다. 이것이 전 세계 어디에서도 차단 당하지 않을 가장 확실한 방법이란 것을 명심하자~~!!!

끝으로, 소심모드로 돌아가서 본인이 KISA 에서 열심히 노력하시는 여러분들에게 누를 끼치지나 않을까 염려되는데, 그분들도 본인과 마찬가지로 자신의 맡은 분야에서 최선을 다하며 고생하시는 분들이다. 그 분들의 노고를 폄하하려는 의도는 전혀 없다. 다만 실무 담당자로서 보다 실무적인 관점에서 바라본 것을 허심탕회하게 적었을 뿐이다. 요컨대 잘해보자는 것이지 깽판을 내자는 것이 아님을 다시한번 강조하며, 그만 마칠까 한다.

1. 보이콧 마케팅의 정의

한메일을 사용하지 마세요. 네이버메일은 정상적인 수신을 하실 수 없습니다. 등의 대량메일 발송자들의 사이트에서  이메일입력 폼에 적혀있는 문구들. 위와 같은 화면 많이들 봐왔을 것이다. 이 것이 바로 "보이콧 마케팅"이다.(전문용어인지 모르겠다. 우리 메일쟁이들은 이렇게 말한다.)


2. 보이콧 마키팅의 발생원인

우선 이들이 왜 이런 행동을 하는지를 생각해보면, 한마디로 상대방이 맘에 안들기때문이다. 왜 이들 ESP(Email Service Provider:이메일서비스제공자)은 이들 눈밖에 났을까? 그건 바로  이들이 보내는 대량메일을 제대로 안받아줬기때문이다.  자기들이 회원들에게 보내는 이메일이 제대로 도착하지 않으니까 그 메일 주소를 사용하시면 우리가 보내는 메일을 못 받아볼 수 잇으니 사용하지 말라고 하는 것은 어찌보면 당연한 일이겠다. 그리고 한편으로는 "얼마나 답답하고 고생스러웠으면 그런 극단적인 방법을 사용했을까?" 라는 생각을 할 수도 있겠다.

"역지사지" 란 말이있다. 뜻을 이미 다 알테니 거두절미하고 이 경우에 한번 적용을 해보자. 그럼 도데체 네이버, 다음에서는 위 업체를 왜 막아서 저런 대접을 받았겠는가? 이유는 둘중 하나다. "우려할만한 수준이상의 스팸메일을 발송한 것"이 확인되었거나 "기준치 이상의 사용자들의 스팸신고"가 접수되었거나이다. 다시말해 다 그만한 이유가 있다는 것이다.

그럼 왜 이렇게 양쪽다 확실한 이유를 갖고 있는데 서로 타협하지 못하고 문제를 해결하지 못하는 걸까? 본인은 그 원인을 다음과 같이 생각해보았다.

1) 일단 기본적으로 대량메일 발송자들의 그릇된 논리와 왜곡된 사회인식이 문제다. 이메일 업계에서 보이콧 마케팅의 시발점은 "온라인우표제" 로 보고있다. 물론 그 이전에도 간헐적으로 있었을지 모르나 그 이전에는 감히 인터넷의 공룡과 같은 포털사에 대항할만한 중소 업체는 많지 않았다. 하지만 지금은 관공서, 동네학원 동호회 홈페이지 어디든 막말로 지나개나 다 한다. 이메일서비스는 동네북이다. 내가 보기에 이들의 주장이 가끔 옳을 때도 있지만 시간이 가면갈수록 점점 억지스럽다. 마치 "효순이 미순이 추모 촛불시위" 이후에 정말 지나개나 다 하고 있는 "촛불시위" 처럼 말이다.

자기들이 유리할 것이 하나도 없고 논리적으로도 전혀 맞지 않은데도 뻔뻔스럽게 이런 행위를 할 수 있는 이유는 한마디로 2) ESP들이 만만하기 때문이다. 온라인우표제 반대운동 당시에 보여준 막강한 네티즌들의 힘을 기억하고 있기때문에 ESP 들은 그동안 여러가지 손해를 감수하고서라도 이들의 억지땡깡을 대부분 받아주었다. 한명의 유저라도 잡아두기 위한 포석이었던 것이다. 처음에는 다음과 같은 1위 업체들을 겨냥한 것이었지만 이제는 메일서비스를 하고 있는 모든 포털들이 다 공격대상이다. 그리고 과거에는 시장점유율이 높은 업체들은 다소 강경대응을 해보기도 했었지만 이제는 어느 누구도 그렇게하지 못하고 있다.


3. 보이콧 마케팅이 미치는 악영향

한마디로 대량메일을 보내는 쪽과 받는 쪽의 감정싸움 또는 힘겨루기를 하고 있다는 말인데, 이 것이 왜 문제일지 한번 생각해보자. 이런 과정을 통해 결국 피해를 입는 것은 ESP 도 대량메일발송업체도 아닌 바로 이메일 사용자다. 대량메일 발송업체들이 보내는 여러가지 메일들을 못 받아볼 경우도 있을 수 있고 그 반대로 받기싫은 대량메일 발송 업체들의 메일을 받아야할 수도 있고, 또 한편으로는 어떤 사이트에 가입할 때나 누군가와 연락하기 위해 이메일을 알려줘야 할때, 자기가 사용하고 싶은 이메일을 선택할 수 없는 상황이 생길 수도 있다. 이러한 불편은 결국 사용자로 하여금 이메일에 대한 불신을 키우게 할 것이고 결국은 이메일을 떠나게 될 것이 자명하다. 그런데 아무도 이런 생각을 하고있는 것 같지가 않다. 정말 잘못하고 있는데 아무도 관심도 없다.


4. 이메일에 대한 잘못된 인식

사람들의 이러한 그릇된 인식을 갖고있는데에는 그 근간을 이루는 이메일에 대한 잘못된 상식, 오해들이 있다. 그 중에서도 가장 큰 잘못된 생각은 바로 1) "이메일 서비스는 공짜" 라는 생각이다. 절대로 이메일은 공짜가 아니다. 이메일이라는 통신수단이 동작하고 그것을 운영하기 위해서 수많은 사람들과 업체들이 피같은 돈을 쓰고 있고 땀을 흘리고 있다. 풀론 이메일 서비스를 무료로 제공한 것은 애초에 ESP 들이었으므로 그점에대해서는 할말은 없다. 그치만 그렇게 무료 서비스를 제공한 이유는 고객들에게 말 그대로 서비스를 한 것이고, ESP 들은 당연히 그 서비스를 제공한 것만큼 혹은 그 이상의 이익을 기대할 수 있다. 그런 의미에서 이메일 서비스의 사용자는 그 ESP 의 고객인 것이고 ESP는 해당 메일 서비스 제공의 댓가로 사용자들에게 돈과 같은 직접재이든 광고나 기타 마케팅자료등의 간접재이든 댓가를 요구할 수 있는 것이다.

대량메일 발송업체들과 ESP는 어떤관계인가? 한참 비약을 하자면 아무런 관계가 없다. 대량메일 발송업체들은 ESP에게 어떠한 요구도 할 권리가 없는 사람들이다. 그런데 이들은 마치 2) 자신들이 ESP 의 고객인양 행동하고 있다. 보이콧 마케팅과 같은 휑포는 물론이거니와 전화, 이메일, 각종 공문등으로 협박성 메세지를 수시로 보내오고 암튼 안하무인이란 말이 딱 들어맞는다. 다시 한번 강조하지만 "이메일 서비스의 고객은 이메일 사용자이지 대량메일 발송자가 아니다."

혹자는 이메일을 우편서비스에 빗대어 이야기하며 정당한 메일 발송에 대한 전송실패는 마치 우체국에서 우편업무 파업을 한 것과 같다는 식으로 말하곤 한다. 즉 3) 이메일과 일반우편 업무를 동일시 하고 있는데, 실제로는 전혀 그렇지가 않다. 우체국은 일단 정부가 공익을 목적으로 운영하는 것이고 그나마 그 공익이란 꼬리표를 달고있음에도 우편물 한건당 또는 무게당 얼마씩 비용들 받는 "유료" 서비스이다. 즉, 우편물이 늘어갈 수록 수입도 늘어가고 그 늘어난 수입으로 부족한 인력이나 인프라를 보충할 수가 있다. 하지만 이메일은 전혀 그렇지 않다. 메일 송수신량이 늘어나면 비용은 증가하고 더불어 적자도 증가한다.

내가 이런 말을 하면 또다시 "4) 그럼 애초에 이메일 서비스를 무료로 하지 말았어야지 이제와서 그러는 것 역시 말이 안된다."라고 반박할 수 있겠다. 하지만 이 것 역시 오해에서 비롯된 것이다. 왜냐하면 앞서도 말했지만 이메일 서비스는 고객들 즉 이메일 사용자들에게 무료라는 말이지 대량메일 발송자들에게 무료라는 의미는 절대 아니다. 이렇게까지 이야기를 해도 또 "5) 그럼 유저들이 그 대량메일을 받아보고 싶은 대량메일을 ESP가 임의로 차단한 경우도 있을 수 있지 않냐" 라는 최후의 질문을 던질 수가 있을 것이다. ^^ 물론 가능한 일이다. 하지만 통계적으로 봤을때 그럴 확률은 굉장히 지극히 절대적으로 낮다. 그 이유는 아래에 좀더 부연하겠다. 그리고 설령 그런 경우가 있다손 치더라도 그 사용자한테는 미안한 말이지만 우리나라는 민주주의국가가 아니겠는가? 민주주의를 대표하는 기본원리는  "다수결"이다. 본인이 원했더라도 같은 메일 서비스를 사용하는 다른 사용자들의 다수결로 결정된 사항이니 따르라는 말밖에는 할수가 없다.


5. 재주는 ESP가 넘고, 돈은 누가벌지?

결론적으로 대량메일 발송업체들은 이메일을 발송에 합당한 비용을 지불해야한다. 앞서 주장한 무료서비스의 대상범위문제는 차치하더라도 그들은 자기 잇속만 챙기는 음휸한 늑대들이기 때문이다. 자신들의 메일을 받아보기를 원하는 수신자들의 권익을 대변하는 양 행동하지만 실제로는 전혀 그렇지가 않다.

한 예로 이메일 청구서가 있다. 이메일 청구서 서비스의 수혜자는 사용자도 ESP도 아닌 대량메일 발송자(업체)들이다. 지금과 같이 적자만 계속되는 가운데 이메일 사용자나 사용량이 늘어난다고 해서 ESP 는 전혀 달가울리가 없다. 사용자는 귀찮은 쓰레기라도 줄어드니 조금 이익은 있을지 모르지만 10원 20원 더 할인되는 이메일 청구서를 받아봐야 실제 체감되는 이익은 거의 없다고 봐도 무방하다. 하지만 이메일 청구서를 발송하는 업체들은 이메일 청구서를 발송하면서 얻는 이익은 매우 크다. 간단히 생각해봐도

1. 종이값
2. 청구서봉투 포장인력
3. 인쇄비
4. 우편물 발송비용 등 이루 헤아릴 수 없이 많은 비용을 절감(이익)

하지만 이로인해 나가는 지출이라고는

1. 메일서버 초기세팅때만 들어가는 한두대 정도의 서버장비비와
2. 약간의 IDC 비용 솔루션 구매비 정도 하지만 이 것도 대행업체와 계약을 맺을 경우 단돈 몇푼에 끝나는 일이다.
3. 아 깜빡할뻔 했는데 그들의 고객에게 할인해주는 한통당 몇십원 정도의 같잖은 비용도 있겠다.

6. 정말 수신동의한 사람에게만 보낸다고?

그리고 앞서 예고했던대로 수신거부의 문제점이 있다. 일전에 다른 포스트를 통해 한번 이야기했던 내용이지만 한번 더 쓰겠다. 그들이 유일하게 주장할 수 있는 합리적인 타당한 이유라면 "유저들이 원하는 메일을 보냈으니 받아라" 라는 주장이다. 그 근거로 들 수 있는 역시 유일한 증거는 "옵트인" 즉 수신동의 라는 것인데, 내 주장은 그 수신동의라는 것이 애시당초 말도 안되는 수신동의이기때문에 그들의 유일한 주장역시 엉터리라는 것이다.

며칠전 이런일이 있었다. 옆자리에 일하는 박모대리의 체험담이다. 박모대리가 자신의 메일로 모 유명 백화점의 광고메일이 들어와서 수신차단을 하려고 수신차단 버튼을 누르고 들어갔더니 그 백화점의 사이트로 가서 로그인을 한후에 회원정보 변경 페이지에서 메일 수신동의를 해제하라고 했다는 것이다. 정말 귀찮았지만 너무나 받기 싫었기에 한번 가봤단다. 근데 놀라운 것은 이미 수신거부가 되어있더라는 것이다. 내가 말하려고 하는 것이 바로 이 것이다.

본인도 이런 경우 종종 겪었다. 이때 그 백화점 고객센터에 전화해서 항의하면 예상되는 답변들은 대략 "고객님께서 수신거부하신 메일과 저희가 보내들니 메일은 서로 셩격이 다른 메일입니다." "같은 백화점 메일이지만 발송 부서가 달라서..." 이런 식일 것이다.

그 외에도 수많은 예가 있지만 일단 자제하고^^ 어쨋든 유저들은 발송업체들이 주장하는 것 처럼 그들의 메일 수신을 동의한 적이 없다는 것이고 대부분의 사용자들은 그들이 제공하는 수신거부를 사용하지 않고 ESP 가 제공하는 스팸신고, 수신차단 등의 기능을 이용한다는 것이다.

수신거부의 이유로 ESP에서 대량메일 발송업체들의 메일을 차단하면 그들은 "수신거부(스팸신고)한 사용자의 리스트를 알려달라" 또는 "수신거부(스팸신고)한 사용자들에게 가는 메일만 차단하면 되지 왜 서버 전체를 차단하느냐" 라는 말들을 하는데, 우선 수신거부한 내역은 개인의 프라이버시 영역에 해당한다. 그리고 알려준다고 해도 어차피 삭제한다는 보장이 없으므로 합리적이지도 않다.(위의 박모대리의 백화점 메일 사건^^ 참고하라) 또한 왜 서버전체를 차단하느냐... 그 건 한마디로 ESP 마음이다. 앞서도 말했지만 대량메일 발송업체는 ESP의 고객이 아니다. 그들의 불편사항까지 챙기기위해 돈을 쓸 이유는 없지 않은가? 그것도 다수의 유저들이 스팸이라고 투표한 메일을 받기위해서 말이다.. 그리고 보이콧 마케팅을 하는 것이 그들의 자유인 것 처럼 차단하는 것은 ESP의 자유다.


7. 보이콧 마케팅은 이메일 시장 전체를 죽이는 자폭행위

이미 수많은 사용자들이 이메일을 떠났고 지금도 떠나고 있다. 더이상 업무적인 용도, 또는 개인 자료함 이외에 커뮤니케이션 수단으로서의 이메일은 점점 기능을 상실하고 있다. (대단히 효과적이고 유용한 도구임에도 불구하고 말이다.) 이렇게 된 까닭은 내가 누누히 강조하는 것이지만 모두의 책임이다. 어느 누구만의 잘못이 아니다.

만에하나라도 지금 이러한 대량메일 발송업체들의 이런 휑포에 맞서서 ESP 들이 담합을 해서 보복조치를 취한다고 가정해보자(충분히 가능한 일이다.) 몇몇 군소업체들은 아마 더이상 이메일 마케팅이란 것을 하지 못하고 포기해야 할 것이다.  몇몇 대기업들은 포털사들 못지 않게 영향력을 갖고 있으므로 (그리고 포털사들의 이메일이 아닌 다른 사업분야에서는 파트너이자 고객이기도 할 것이므로) 계속 그들이 원하는 지위(고객인체 행세하는)를 누릴 수 있을지도 모른다. 하지만 과연 그 것이 올바른 길인가? 서로 보이콧 마케팅과 그에대한 보복조치로 헐뜯고 싸우는 모습을 보며 사용자들은 정말 그나마 남아있던 정마저도 다 떨어질 것이고 실제로 메일 서비스는 정상적인 운영이 힘들 것이다.


8. 해결 방안

이쯤에서 상황이 더 악화되기전에 이 문제를 해결할 수 있는 또는 중재를 해줄 수 있는 기관이나 법제가 절실히 필요하다고 본다. 필요하다면 담합을 통해서라도 이 문제를 수면위로 끌어올려야 한다. (보복을 위한 담합을 말하는 것이 아니다.) 그리고 서로 손해보지 않는 적정선에서 타협하고 대안을 마련해야 한다. 또한 그렇게 만들어진 규칙을 준수하지 않을때에는 강력한 처벌을 동반한 댓가를 기꺼이 지불하도록 법제가 정비되어야 한다. 하지만 불행하게도 그런 일은 ESP나 네티즌들이 할 수 있는 이이 아니다. 바로 정부가 나서서해야할 일이라 하겠다. 마침 스팸에 관심이 많은 정통부에서 KISA 라는 단체를 만들어 운영하고 있으니 그들이 바로 적임자라고 생각이 든다. 추후에 다시한번 이야길 하겠지만 KISA 에서는 스팸 못지 않게 골치아픈 문제 중 하나인 이 대량메일 관련 문제를 풀어갈 묘안을 만들어주기 바란다. 지금 시행하고 있는 KISA White Domain 등록제는 정답이 아니니 더이상 애먼데에 힘빼지 말고 말이다.(역시 다음에 한번 이야길 하겠다.)

끝으로 또 하나의 중요한 문제를 지적하고 싶다. ESP 이자 여느 대량메일업체들과 똑같이 수준 낮은 수신동의에 의해 대량메일을 발송하는 포털들도 자성이 필요하다는 것이다. 이메일 서비스에서는 피해자 일지 모르나 같은 이름으로 하고 있는 다른 서비스를 통해 똑같이 가해를 하고 있으니 이 얼마나 모순인가? 이 모순 가득한 문제를 해결하기 위해서는 반드시 포털들 부터 솔선수범하는 모습을 보여줘야 할 것이다.