이메일 스팸의 진화

이메일 스팸을 바라보는 방법은 두 가지가 있습니다.

1. 받은편지함에 들어오면 삭제를 누르면 되는데, 뭐가 그리 큰 문제일까요?

2. 여러분의 안전, 관심, 그리고 은행 계좌를 두고 거대 기술 기업, 정부 기관, 범죄 조직이 싸우는 가운데, 여러분의 받은편지함과 그 안에 들어오는 것이 최전선에 놓인 국제적인 숨바꼭질 게임입니다.

두 번째 관점은 다소 과장되게 들릴 수 있지만, 몇 가지 골칫거리와 어쩌면 돈까지 아껴줄 수 있다면 이해해 둘 가치가 있지 않을까요?

음… 모든 것은 통조림 고기 캔에 대한 농담에서 시작됩니다.

스팸 이메일이란 무엇이며, 왜 spam이라고 부를까요?

스팸에는 광고, 사기, 쓸모없는 뉴스레터 등 여러 가지가 있습니다. 끝이 없죠. 하지만 스팸이 아닌 한 가지는 바로 초대받았다는 점입니다. 여름이라는 말만 나와도 몰려드는 모기 떼처럼, 스팸은 거의 항상 대량으로 도착합니다. 원치 않았고, 반갑지 않으며, 정말 꽤 성가십니다.

그런데 왜 돼지 어깨살과 햄으로 만든 통조림 고기와 같은 이름을 갖게 되었을까요? 그 이유는 유명한 Monty Python 스케치에 있습니다. 그 스케치에서는 “spam”이라는 단어가 거의 광기에 이를 정도로 반복되었습니다. 이로써 “spam”은 끊임없고 원치 않는 것의 상징으로 굳어졌습니다. 1993년, 한 영리한 인터넷 사용자가 이 아이디어를 가져와 반복되는 게시물의 홍수를 spam이라고 표현했고, 짜잔, 그 이름이 그대로 굳어졌습니다.

하지만 그 독특한 기원에도 불구하고, 이 단어 자체는 스팸이 얼마나 해로울 수 있는지, 또는 그것을 없애기가 얼마나 어려운지를 제대로 담아내지 못합니다. 모기처럼 스팸 이메일은 종종 여러분의 기기에 큰 피해를 줄 수 있는 위험한 요소를 담고 있습니다. 수상한 광고로 받은편지함이 넘쳐날 때 개인 데이터가 위험해질 수 있다는 점은 말할 것도 없고, 그로 인해 생기는 두통도 무시할 수 없습니다. 하지만 역사를 이해하면 도움이 됩니다. 스팸이 어떻게 여러분의 받은편지함으로 들어오는지 이해할 수 있다면, 그것을 막아내는 일도 더 잘할 수 있을 것입니다.

최초의 스팸 이메일은 언제 보내졌을까요?

그렇다면 스팸 메일은 어디에서 오는 걸까요? 놀랍게도 최초의 스팸 이메일은 인터넷이 존재하기도 전에 보내졌습니다. 어떤 수상한 범죄 조직이 보낸 것이 아니라, 새로운 컴퓨터 제품군을 판매하려던 한 명의 마케터가 보낸 것이었고, 믿기 어렵겠지만 그 이메일은 수백만 달러를 벌어들였습니다.

1978년, 마케팅 매니저 Gary Thuerk는 인터넷 이전의 군사 네트워크였던 ARPANET을 통해 약 400명에게 이메일을 보냈습니다. 그의 메시지는 새로운 DECSYSTEM-20 컴퓨터 발표회에 대한 홍보였습니다. 그 이메일은 약 1,300만 달러의 매출을 올렸지만, 그것을 받은 거의 모든 사람을 짜증 나게 만들었습니다.

스팸의 역사에서 이 이야기의 가장 흥미로운 부분은 이메일이 언제 보내졌는지가 아니라, 이메일 스팸 뒤에 놓인 양날의 검입니다. 한편으로는 수백 명, 수천 명, 심지어 수백만 명에게 보내는 광고로 막대한 돈을 벌 수 있습니다. 하지만 스팸은 분명히 성가십니다. 안타깝게도 이것이 바로 스팸의 격동적인 역사 내내 따라다닌 밀고 당기는 관계입니다.

스팸은 수십 년에 걸쳐 어떻게 진화해 왔을까요?

Google과 Microsoft의 보호 기능이 있는 시대에 자랄 만큼 운이 좋았다면, 받은편지함에서 스팸을 없애는 일이 훨씬 더 수작업에 가까웠던 인터넷 초창기를 기억하지 못할 수도 있습니다.

1980년대~1990년대: 이메일의 무법지대

1983년, George Orwell이 전체주의 초국가를 예견한 해의 1년 전, 전혀 다른 무언가가 모습을 갖추고 있었습니다. 처음으로 여러 독립 네트워크가 서로 연결될 수 있게 되었고, 이는 오늘날의 글로벌 네트워크들의 네트워크, 즉 우리가 인터넷이라고 부르는 것의 기반을 만들었습니다.

그다음 10년 동안 수백만 명의 신규 사용자가 온라인에 접속해 이메일 주소를 만들기 시작했습니다. “그렇게 하면 안 됩니다”라고 말할 중앙 권한은 없었고, 이메일은 사실상 무료 광고 채널 역할을 할 수 있었습니다. 거의 비용을 들이지 않고 하나의 메시지를 수천 명, 심지어 수백만 명에게 대량 발송할 수 있었던 것입니다.

그 결과는 무엇이었을까요? 1990년대에 스팸은 폭발적으로 늘어났고, 이를 통제하려는 노력도 함께 커졌습니다. 1994년, 변호사 Canter & Siegel은 수천 개의 Usenet 그룹에 악명 높은 “Green Card Lottery” 광고를 게시했는데, 이는 종종 최초의 대규모 상업적 스팸 캠페인으로 여겨집니다. 곧 방어책도 뒤따랐습니다. Mail Abuse Prevention System (MAPS)은 1996년에 최초의 Real-time Blackhole List를 도입해 알려진 스팸 서버에서 오는 메일을 차단했고, Spamhaus 같은 단체는 차단 목록을 구축하고 정보를 공유해 스패머를 막았습니다.

2000년대: 스팸이 어두워진 10년

2000년대는 밀레니엄의 끝을 알렸을지 모르지만, 많은 사람에게는 성가신 이메일이 받은편지함을 가득 메우기 시작한 진짜 출발점이었습니다. Google, Yahoo, Microsoft 모두 스팸 차단 대열에 합류했습니다. 하지만 더 이상 촌스러운 광고나 한탕주의 사기가 아니었습니다. 스팸은 더 어두운 방향으로 변하고 있었습니다. 스패머들은 감염된 컴퓨터 네트워크인 “botnets”를 사용해 대규모로 스팸을 발송하기 시작했습니다.

정부는 개입할 때가 되었다고 판단했습니다. 2003년 미국은 CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing)를 시행했습니다. 이 법은 스패머가 수신 거부 요청을 존중하고 오해를 불러일으키는 제목을 피하도록 강제했지만, 문제는 여전히 수신자가 직접 구독 해지를 해야 한다는 점이었습니다. 반면 유럽은 더 엄격하게 나갔습니다. EU는 이메일 마케팅에 대해 옵트인 시스템을 도입했고, 이는 기업이 먼저 허가를 받지 않고는 상업성 이메일을 보낼 수 없다는 뜻이었습니다.

2000년대는 스팸을 규정하게 된 숨바꼭질 게임이 본격적으로 폭발한 시기였습니다. 스패머는 새로운 수법을 만들어냈고, 방어하는 쪽은 그것에 대응할 방법을 찾아냈습니다. 예를 들어 베이즈 필터링은 이메일 속 단어를 스캔하고 확률을 계산해 그것이 정크 메일인지 정상 메일인지 판단합니다. 이것이 처음 등장했을 때, 이메일 제공업체가 스팸을 단속하는 방식에 큰 돌파구가 되었습니다. 2004년에는 Bill Gates조차 스팸 문제가 2년 안에 해결될 것이라고 예측했습니다. 하지만 늘 그렇듯 스패머들은 빠르게 적응했습니다.

실제로 벌어진 스팸 공방의 예:

현대 시대: 스팸이 생각하는 법을 배웠을 때

Stephen Hawking은 언젠가 인간이 AI에게 인간에게 개가 그러하듯 존재가 될 수 있다고 경고한 적이 있습니다. 생각만 해도 정신이 번쩍 드는 이야기입니다. 다소 암울하게 들릴 수 있지만, AI의 부상이 증기기관의 발명만큼이나 변혁적일 수 있다는 말은 결코 과장이 아닙니다. 그렇다면 AI가 스팸으로 이익을 얻으려는 사람들과 이를 통제하려는 사람들 사이의 싸움을 형성하고 있다는 것도 놀라운 일은 아닙니다. 차이점은 전통적인 스팸 필터와 달리 AI는 학습하고 적응할 수 있다는 점입니다.

아이러니한 점은 사기꾼들이 대학생들이 시험을 통과하기 위해 사용하는 것과 같은 도구를 이용해 스팸 이메일을 개선하고 있다는 것입니다. AI 도구가 등장하기 전에는 스팸 이메일에 오타, 문법 오류, 그리고 뻔한 위험 신호가 가득했습니다. 이제는 대규모 언어 모델 덕분에 완벽한 문법, 현지화된 어조, 개인화된 유인 요소를 갖춘 스팸 이메일을 대량으로 보낼 수 있습니다. 똑같은 이메일 10’000통을 보내는 대신, 사기꾼들은 조금씩 다른 이메일 10’000통을 보내 검열을 피할 수 있습니다. 스팸 점수를 시뮬레이션하는 모델에 텍스트를 통과시킴으로써 공격자는 메시지가 “안전해” 보일 때까지 조정할 수 있습니다.

대형 이메일 서비스도 같은 일을 하고 있습니다. 이들은 단순히 콘텐츠를 스캔하는 데 그치지 않고, 발신자 행동, 네트워크 신호, 심지어 메시지의 맥락까지 분석하기 위해 AI와 머신 러닝을 사용합니다. 예를 들어 Gmail은 이제 새 도메인에서 갑자기 이메일이 폭증하거나 알려진 피싱 유인책을 모방한 콘텐츠 같은 의심스러운 패턴을 포착하고, 새로운 스팸 캠페인을 차단하기 위해 실시간으로 적응할 수 있습니다.

스팸은 이메일과 기업에 어떤 영향을 미쳤을까요?

스팸 메일의 기원 이야기와 그 이름의 유래인 Monty Python으로 돌아가 보면, 주제는 단순했습니다. 바로 성가심이었죠. 당시에는 대부분의 스팸이 정확히 그렇게 여겨졌습니다. 하지만 그 후 수십 년 동안 스팸은 훨씬 더 위험해졌습니다. 이제는 잘못된 링크를 클릭하는 것만으로도 바이러스 감염이나 심각한 금전적 손실로 이어질 수 있습니다.

그리고 위험에 처한 것은 개인만이 아닙니다. 2000년대 이후 사기꾼들은 더 큰 표적을 노리는 정교한 방법들을 만들어냈습니다. 이런 수법들 중 많은 것에는 그 결과가 얼마나 심각할 수 있는지를 오히려 가볍게 보이게 만드는 그럴듯한 별명까지 붙어 있습니다.

기업을 겨냥한 스팸의 예:

대량 스팸과 사기 – 대량 이메일은 여전히 매일 받은편지함을 넘쳐나게 합니다. 성가신 광고부터 가짜 복권, “나이지리아 왕자” 사기까지 다양합니다. 수준은 낮지만 받은편지함을 어지럽히고 여전히 직원들을 속일 수 있습니다.

피싱 이메일 – 신뢰받는 브랜드를 사칭해 사용자를 가짜 사이트로 유인합니다. 한때는 어설펐지만, 이제 이런 피싱 이메일은 정교하고 자동화되어 진짜와 구별하기 어려워졌습니다.

스피어 피싱과 웨일링 – 실제 이름이나 프로젝트를 이용한 표적 공격으로 특정 직원을 속입니다. 경영진을 노릴 경우 “whaling”이라고 부르며, 그 대가는 엄청날 수 있습니다.Business Email Compromise (BEC) – 범죄자들이 CEO, 공급업체 또는 HR을 사칭해 직원이 송금하거나 데이터를 보내도록 속입니다.

멀웨어와 랜섬웨어 – 스팸에는 종종 악성 첨부파일이나 링크가 포함됩니다. 한 번의 클릭으로 바이러스나 랜섬웨어가 퍼져 전체 시스템이 잠기고 기업에 수백만 달러의 피해를 줄 수 있습니다.

하지만 진짜 위험은 그 결과의 규모에 있습니다. 스팸은 엄청난 수준으로 시간을 낭비하게 만듭니다. 직원들은 이메일을 두고 재차 의심하고, 관리자는 오경보를 조사합니다. 이 모든 것이 생산성을 조금씩 갉아먹습니다.

스팸의 실제 비용

FBI는 Business Email Compromise만으로도 2013년부터 2022년 사이 500억 달러 이상이 빠져나갔다고 추산합니다. 그래서 스팸과의 싸움은 계속 진화하고 있습니다. 이제 필터는 키워드만 보는 것이 아니라 패턴, 첨부파일, 심지어 발신자 행동까지 스캔합니다. CAN-SPAM 및 GDPR 같은 법률은 동의와 투명성에 관한 규칙을 정합니다. 그리고 이메일 제공업체는 SPF, DKIM, DMARC 같은 보호 장치를 추가해 공격자가 다른 사람인 척하기를 훨씬 더 어렵게 만들었습니다.

오늘날 우리는 스팸에 어떻게 맞서고 있을까요?

현대의 스팸 필터는 AI와 머신 러닝으로 구동됩니다. 이들은 발신자 행동과 메시지의 맥락을 분석한 뒤 실시간으로 적응할 수 있습니다.

하지만 인식 제고는 여전히 중요합니다. 최고의 스팸 필터가 있더라도 직원 교육은 스팸 차단의 핵심 요소가 되어야 합니다. 요즘 기업들은 사람들이 서두르지 않고 위험 신호를 알아차리거나, 행동하기 전에 요청을 확인하도록 가르치는 정기적인 인식 제고 프로그램을 운영합니다. 여기에는 다음과 같은 것들이 포함됩니다.

어디서 시작할까

그렇다면 수십 년간 이어진 숨바꼭질에서 얻을 교훈은 무엇일까요? 간단히 말해, 스패머는 언제나 적응할 것이고 스팸은 결코 완전히 사라지지 않으며 그저 진화할 뿐이라는 점입니다. 따라서 여러분의 방어 체계도 똑같이 진화하도록 하는 것이 최선의 선택입니다. 경계심이 핵심입니다. 고급 필터링 및 인증 도구를 갖춘 이메일 제공업체를 이용하면 더 좋습니다. 궁극적으로 여러 해결책을 겹겹이 적용할 수 있다면 받은편지함을 지키기에 가장 유리한 위치에 서게 됩니다. 그리고 다시 떠올릴 필요가 있다면, Monty Python이면 충분합니다.