최근 전화가 오면 끊어져 버리도록 해 실제 존재하는 번호를 알아내는 방식과 같이, 스팸메일을 보내 어떤 이메일 계정이 살아있는지 살펴보는 방식이 극성을 부리고 있다.
스팸메일이 증가하면서 이러한 스팸메일을 보는 사람들은 내 개인정보가 어디에서 계속 새고 있는지 두려움이 앞선다.
 |
| ▲ [사진=픽사베이 제공] |
스팸메일은 1970년대 ‘몬티 파이튼의 비행 서커스(Monty Python’s Flying Circus)‘라는 영국 TV코미디 시리즈에서 번(Bun)씨 부부가 카페에서 음식을 주문하자 모든 메뉴에 “스팸”이 들어가 있었고 옆자리에 있던 고객들도 “스팸(Spam)”이라는 노래를 반복하는 데서 유래했다. 이후 싫은 물건이나 일이 계속해서 반복되어 어쩔 수 없이 이를 받아드려야 하는 현실을 ‘스팸’이라고 부르게 됐다.
스팸메일은 옵트인 방식과 옵트아웃 방식이 있다. 옵트인(Opt-in)은 수신자의 승낙을 사전에 받아야만 메일을 보낼 수 있지만 옵트아웃(Opt-out)은 발신자 편익을 위해 일단 발송하고 계속 수신할지 결정하도록 하는 것을 의미한다.
스팸메일의 내용을 살펴보면, 성인사이트와 성인데이트서비스, 악성코드, 대출 광고, 대리운전, 사기성 메일과 피싱, 도박 사이트 등의 내용이 대부분인데 고객은 이들에게 이와 같은 스팸메일을 보낼 권리를 준 적이 없다.
스펨메일이 발송되는 과정을 살펴보면 매우 위협적이라는 것을 알게 된다.
먼저 해커는 금전적 이익을 노리는 대상에 필요한 데이터베이스 해킹을 계획한다. 이어 그러한 정보가 있는 IT 시스템의 취약점을 파악하고 네트워크 시스템의 관리자 계정을 얻어내거나 해킹을 통해 목표대상인 수신자에게 악성코드를 포함한 이메일을 발송하게 된다.
수신자는 착오이든 고의이든 악성코드가 첨부된 이메일을 열고 첨부된 파일을 다운로드받으면 악성코드가 실행되고 이용자의 컴퓨터를 통하여 목표기관의 네트워크가 악성코드에 의해 감염된다. 이렇게 되면 해당 PC는 해커의 통제에 놓이게 된다.
정보통신망법 제50조의8(불법행위를 위한 광고성 정보 전송금지)은 누구든지 정보통신망을 이용하여 이 법 또는 다른 법률에서 금지하는 재화 또는 서비스에 대한 광고성 정보를 전송하여서는 아니 된다고 규정하고 있다.
실제 스팸메일의 응답률은 매우 낮으므로 그 피해가 미미하다고 주장할 수도 있지만 해커는 감염된 네트워크를 통해 절취한 데이터베이스를 사이버 범죄 지하시장에 몇 차례 판매한다. 이후 수신자는 업무를 방해받는 수준으로 스팸메일을 꾸준히 받게 되는 것이다.
피해는 여기서 그치지 않는다. 기업이나 기관의 고객데이터베이스는 내부 직원의 불법적인 협조로 유출되는 경우가 많고, 해커는 자신이 개발한 좀비 시스템을 이용해 원격 명령으로 스팸메일 발송, 컴퓨터 바이러스나 악성코드 유포, 피해자 컴퓨터의 인터넷 통신량 제한 또는 방해, 분산서비스거부 공격 등 네트워크를 오염시키고 있다.
인터넷진흥원의 통계에 따르면 휴대전화 문자스팸 발송의 경우 대량문자발송서비스, 휴대전화 서비스, 유선인터넷전화 서비스, 웹메시징에서 발신하는 것이 대부분이고, 광고 유형은 불법도박, 불법대출과 주식정보, 대리운전, 성인광고 순이다.
휴대전화 음성스팸의 경우 발송경로는 인터넷전화 서비스, 유선전화 서비스, 휴대전화서비스이고, 광고 유형별로는 불법대출, 통신가입, 금융, 성인광고 순으로 나타났다. 이메일 스팸은 국내 발송보다 해외 발송이 더 많은데 해외는 미국, 중국, 대만 순이라고 한다.
이같은 음성스팸을 줄이기 위해 스팸 전송자의 이력정보를 공유하여 유선전화서비스의 신규가입을 제한하고, 스팸 전송자가 수시로 유선전화번호를 바꾸지 못하도록 시내전화 및 인터넷전화서비스의 전화번호 변경횟수를 제한하는 방식을 쓰고 있다.
또한 발신번호 변작 방지를 위해 동일한 이용자 명의로 각각 가입한 시내전화 및 인터넷전화간 발신번호를 변경하여 표시하는 경우 ’통신서비스 이용 증명원‘에 워터마크 표기 등 발신번호 변경절차를 개선하는 방안도 강구하고 있다.
스팸메일 한번 받은 것이 무슨 그렇게 피해냐고 할 수도 있지만 스팸메일에 대한 강력한 대처의 필요는 산업보안에도 큰 위협이 되기 때문이다.
발송행위나 악성코드를 심는 행위부터 이런 것이 의심되는 메일발송 전반에 걸쳐 정보통신망사업자가 제재해 줄 필요가 있는데 이는 국가의 형벌체계로만은 사후약방문이다.
현재는 정보통신망사업자 등이 해당 역무의 제공을 거부하는 등의 필요한 조치를 해야 함에도 이를 제대로 취하지 않은 경우 과태료를 내게 하고 있다. 그러나 과태료는 중소기업 등에는 상당한 행위규제가 될 수 있지만 대기업 등에는 그다지 실효성을 제공하지 못한다.
그러므로 스팸메일과 관련하여 정보통신만법 제50조의 8의 요건을 과정 전반으로 확대하고 종사자와 대표에 대한 강력한 양벌 체계가 요구된다.
[박정인 단국대 연구교수·법학박사]
[ⓒ 메가경제. 무단전재-재배포 금지]
