스팸은 “해결”되지 않았다. 아니, 사실은 공격자들이 끊임없이 대응책에 맞서 고(高) 가치의 타깃으로 그들의 초점을 수정함에 따라 재앙은 더욱 심각해지고 있다.

스팸과의 전쟁은 종결되지 않았다. 지난 2004년 빌 게이츠가 2년 내로 스팸이 “해결”될 것이라고 공언한 이후에도 이 문제는 계속해서 더욱 나빠져 빛이 없는 터널 속에 놓인 상태다.

모든 전쟁에서와 마찬가지로 여기에서 중요한 것은 이것이 어떻게, 왜 시작되었는지, 어떻게 싸워왔으며 우리가 기대할 수 있는 것은 무엇인지를 이해하는 것이다.

스팸은 본래 마케팅의 한 방법으로 시작되었다. 수집한 리스트로 이메일을 발송하는 것은 메시지를 내보내는데 있어 가장 비용 효율적인 방법이다. 이러한 메일 대량 발송에 대한 응답률이 매우 낮다 하더라도 그것만으로도 충분한 이익이 되기 때문이다.

그러나 스팸이 악의적인 페이로드를 운반하는데 사용되기까지는 오랜 시간이 걸리지 않았다. 멜리사(Melissa)부터 ‘I Love You’, 마이둠(MyDoom)을 거쳐 가장 최근의 스톰(Storm)에 이르기까지 이메일 공격은 계속되고 있다. 이유는 매우 분명하다. 공격 메커니즘이 그 어느 때보다 이익이 되기 때문이다.

교묘한 스패머들은 새로운 행동으로 혁신을 시도하고 반응을 살피며 프로그램을 재정비한다. 2006년 말 PDF 스팸의 증가가 그 대표적인 예라 할 수 있다. 이메일 보안 툴에 의한 탐지를 피하기 위해 고안된 PDF 스팸은 그러나 다른 기술과 같은 반응을 얻지 못 했기 때문에 나타났을 때만큼이나 빠르게 사라졌다.

그렇기 때문에 악당들은 플레인 텍스트나 HTML 포맷의 메시지와 같은 보다 더 전통적인 방법 쪽으로 관심을 돌렸다고 이메일 보안 서비스 제공업체 MessageLabs의 CTO 마크 서너(Mark Sunner)는 설명했다. 그들은 여전히 PDF 스팸으로 더욱 효과적으로 수익을 창출하고자 더 많은 반향을 일으킬만한 제안과 제목을 조정하는 등 끊임없이 새로운 방법을 시도하고 있다.

이것은 수십억 달러 상당의 사업으로 빠르게 성장하고 있으며, 따라서 조직화된 범죄가 개입되어있다는 사실은 놀랄만한 일이 아니다. 그들은 신원 탈취와 그것으로 수익을 창출하는데 초점을 맞추는 네트워크에 상당한 투자를 하고 있다.

일진일퇴

초기의 스팸 방어는 실제로 우리가 나쁜 것으로 알고 있는 메시지들과 매치시키는 것이었다. 공격 시그니처를 매치하던 전통적인 안티바이러스 탐지와 상당히 유사하다고 할 수 있다.

이 전투는 악당들이 시그니처 탐지를 방해할 임의의 스트링과 텍스트를 추가하여 그들의 메시지를 변이시키기 시작하면서 차츰 확대되었다. 보안 연구자들은 베이지안 필터(Bayesian filter)와 이처럼 빈번하게 변화하는 스팸을 보다 효과적으로 잡아내기 위한 기타 발견적 탐지 기술을 개발함으로써 이에 맞섰다. 지금보다 2,3년 앞선 2003년, 또는 2004년경 이러한 기술들은 “칵테일(cocktail)”이라는 스팸으로 최대로 활용되었는데 이것은 효율성을 극대화하기 위해 이러한 탐지 메커니즘 관련 적재를 결정하는 것이다.

그리고 2005년, 안티스팸 업체들이 IP 주소를 기반으로 발송자의 목적의 가능성을 결정할 수 있으리라는 것을 깨닫기 시작하면서 신뢰도 기반(reputation-based) 탐지가 탄생했다. 알려진 스패머들이 빠르게 차단되었고 메일 인박스에 메시지를 넣기가 상당히 어려워졌다.

그러자 이제 악당들은 그들의 진짜 정체와 목적을 감추기 위해 점점 더 봇을 사용하고 있다. 봇은 작성자 불명이며 “나쁜” 신뢰도를 갖고 있지 않는 경향이 있기 때문에 단기간에 매우 효과를 볼 수 있다.

<글·마이크 로스만(Mike Rothman) >

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 96호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>