스팸 메일 발송자들을 차단할 방법을 찾아낼 때까지는 아웃룩 사용만 중단해도 최악의 스팸 메일은 피할 수 있다.
빨리 부자가 되고, 정력을 강화시키며 2년간 4곳의 대학을 중퇴하느라 받아 본 적이 없는 골칫거리 학위를 받아보고 싶은 마음은 간절하지만 원치도 않는 이메일을 받고 물건을 사 본 적은 단 한 번도 없다. 사실 대부분의 스팸 메일은 근본적으로 사기성을 띠고 있다.
이런 메일은 친구나 은행에서 보낸 것처럼 위장하면서 가짜 의약품 같은 불법적이거나 사기성 높은 제품들을 판다. 그렇다면 왜 이런 메일 발송자를 고소하지 못하는 걸까?
과중한 업무에 치인 사이버 경찰과 지역 검사들은 온라인상에서 신분을 드러내지 않기 위해 온갖 수단을 이용하는 스팸 발송자들을 추적해 식별해낼 만한 장비를 제대로 갖추지 못하고 있기 때문이다. 중요한 문제는 사법당국에서 스팸 메일 문제의 심각성을 제대로 인식하지 못하고 있다는 점이다.
이 때문에 스팸 메일 차단 작업에 자원한 수많은 사람들이 교묘한 스팸 발송자들을 오랜 시간 동안 추적하면서 좌절감을 느끼게 된다.
스팸 해결책 한가지 대안
스탠포드대 교수이자 사이버 공간의 자유로운 문화와 규정, 기타 법률들 같은 기념비적 저서의 저자이기도 한 로렌스 레시그는 한 가지 해결책은 제안했다. 즉, 스팸 메일 발송자로부터 징수한 벌금을 이를 적발한 사람에게 지급하는 방법이다. “가상 공간 공동체내에는 이를 파괴하려는 사람을 근절시킬 만한 에너지와 재능을 갖춘 인재들이 있습니다”라고 레시그는 말한다.
캘리포니아주 의원인 조 로프그렌은 레시그의 계획을 지지하는 법안을 제출했지만 효과적인 공동체 기반의 스팸 방지 조치가 필요하다는 점을 국회에 설득시키기가 쉽지만은 않다. 우편함 비우는 걸 대수롭지 않게 여기기 때문이다.
사안의 중대성에 비해 너무 안이하게 대처하고 있는 셈이다. 스팸 방지는 단순히 가짜 비아그라 광고 차단 차원의 일이 아니다. 우편함에 쌓이는 일상적인 제목의 메일들 대부분이 사실은 웜과 바이러스, 트로얀, 또는 악의적인 소프트웨어 확산의 주범이다.
이런 “악성 프로그램”은 윈도우즈와 아웃룩의 취약점을 이용해 은밀하게 설치된 뒤 다른 PC들을 공격하거나 사용자의 민감한 자료를 훔쳐내기도 하고, 일반인의 PC를 이용해 또다른 스팸을 발송하기도 하는데 이 때문에 스팸의 원 발송자를 추적하기가 어렵다. 스팸 메일의 50퍼센트가 소위 좀비 PC라는 것들을 경유하기 때문이다.
10년 전 마이크로소프트가 자사 제품의 기술 설계시 저지른 중대한 실수로 인해 응용프로그램과 바이러스의 구성 코드인 실행 지시문이 텍스트 문서나 사진처럼 데이터 형식의 문서 내에 숨어 있을 경우에도 실행되게 되었다. 거의 대부분의 보안 전문가들이 이를 잘못된 결정이었다고 생각한다. 그 결과 PC 사용자가 보통 파일처럼 보이는 WMA 오디오나 파워포인트 파일을 열면 바이러스와 다른 악성 소프트웨어들이 실행된다.
해커들의 표적은 아웃룩
실행 코드와 데이터가 확실하게 분리만 된다면, 위험한 파일을 조사할 검사 프로그램만 있으면 컴퓨터는 위험성이 없는 평범한 기존 문서들을 잘 처리할 수 있다. 하지만 이런 구분이 명확하지 않기 때문에 마이크로소프트사의 운영체제와 응용프로그램들은 사실상 안전을 담보하기 어려운 것이다. “마이크로소프트에는 두 가지 문제가 있습니다”라고 기술 보안 분야의 성서로 여겨지는 응용 암호학의 저자이자 사이버공간 보안 전문가인 브루스 슈나이어가 말한다.
“첫째, 마이크로소프트는 보안업계보다 한 발 앞선 제품들을 설계해 왔습니다. 그리고 두 번째는 이 회사의 독점적 지위 때문에 이 업계에서 가장 좋은 표적이 된 것이죠. 제가 범죄자나 해커라면 당연히 아웃룩을 표적으로 할 겁니다.”
그러므로 모든 스팸 발송자들을 처벌하기 전까지는 마이크로소프트의 제품을 사용하지 않는 것만이 최상의 보호책이다. 가장 안전한 방법은 맥이나 GNU/리눅스 운영체제로 바꾸는 것이지만 너무 급작스럽다는 생각이 든다면 최소한 윈도우즈 내의 아웃룩이나 익스플로러 사용을 중단하는 게 좋다. 대신 비영리 모질라 재단(mozilla.org)이 제공하는 이메일 클라이언트 겸 브라우저인 썬더버드와 파이어폭스를 사용해 볼 수 있다.
이 재단은 보안이 잘 된 무료 프로그램의 제작과 보급을 감시하는 일이 주업무이다. 두 프로그램 모두 사실상 어떤 형태의 사이버 공격에도 안전하고, 새로운 바이러스가 발견되는 즉시 업데이트 되며, 윈도우즈와 리눅스, 맥 OS X용 버전이 모두 나와 있다.
이런 응용프로그램들은 데이터와 코드를 뒤섞어 버리는 마이크로소프트사의 오류를 보정해 줄 뿐만 아니라 소위 “공개 소스”라는 “무료 프로그램”이기 때문에 누구든 이 프로그램들을 연구하고 개선할 수 있다. 슈네이어 같은 전문가들의 말처럼 한 제품의 보안성을 시험해보기에 가장 좋은 방법은 소스를 가급적 많은 외부 전문가들에게 공개해 개선이나 수정의 여지를 찾아내도록 하는 것이다.
하지만 이익을 우선시 해 코드를 비밀로 유지하려 하는 마이크로소프트사로부터 이런 공개를 기대하기는 어려울 것 같다.
아무리 복잡한 생태계에도 기생 식물은 있게 마련이지만 모든 것을 다 지배할 필요는 없다.
적절한 요소들만 잘 결합하면 독점으로 인한 폐해에도 불구하고 기껏해야 썰렁한 농담 정도 밖에는 들어 올 수 없는 안전한 이메일 시스템을 만들어낼 수 있으리라 확신한다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
