혹시 자신의 이메일 주소에서 발송된 것처럼 위장된 스팸이나 협박 메일을 받아본 적이 있으신가요? 걱정하지 마세요, 당신만 겪는 일이 아닙니다. 이메일 주소를 조작하는 것을 ‘스푸핑’이라고 하는데, 안타깝게도 이 문제에 대해 개인이 할 수 있는 일은 제한적입니다.
스패머의 이메일 주소 스푸핑 방식
스푸핑은 발신자 주소를 조작하여 실제 발신자가 아닌 다른 사람으로부터 온 것처럼 보이게 만드는 행위입니다. 주로 은행이나 금융기관 등 신뢰할 수 있는 곳에서 보낸 것처럼 속여 개인정보를 탈취하거나 악성 링크를 클릭하도록 유도하는 데 사용됩니다.
놀랍게도 이메일 스푸핑은 매우 간단하게 이루어질 수 있습니다. 이메일 시스템은 ‘보낸 사람’ 필드에 입력된 주소가 실제로 발송자의 것인지 확인하는 보안 절차가 미흡한 경우가 많습니다. 이는 마치 우편물 봉투에 반송 주소를 적는 것과 유사합니다. 우체국에서 편지를 반송할 걱정이 없다면, 원하는 주소를 적을 수 있으며, 우체국은 그 주소가 실제 거주지와 일치하는지 확인할 방법이 없습니다.
이메일 스푸핑도 비슷한 방식으로 작동합니다. 일부 온라인 서비스(예: Outlook.com)는 이메일 발송 시 보낸 사람 주소를 검토하고 위조된 주소로 발송되는 것을 차단할 수 있습니다. 하지만 특정 도구를 이용하면 원하는 대로 ‘보낸 사람’ 주소를 설정할 수 있으며, 개인 이메일(SMTP) 서버를 구축하는 것조차 어렵지 않습니다. 스푸핑에 필요한 주소는 대규모 개인 정보 유출 사건에서 쉽게 구할 수 있습니다.
사기꾼이 주소를 스푸핑하는 이유
사기꾼들이 당신의 주소로 위장한 이메일을 보내는 이유는 크게 두 가지입니다. 첫째, 스팸 방지 필터를 우회하기 위해서입니다. 자신에게 이메일을 보내는 경우 중요한 내용을 기억하려는 의도일 가능성이 크고, 스팸으로 분류되는 것을 원하지 않을 것입니다. 따라서 사기꾼들은 당신의 주소를 이용하여 스팸 필터를 속여 메시지를 전달하려는 것입니다. 이메일 발신 도메인을 확인하는 방법도 있지만, 많은 이메일 서비스에서 이 기능을 제대로 구현하지 않고 있습니다.
둘째, 신뢰성을 확보하기 위해서입니다. 스푸핑된 이메일은 종종 당신의 계정이 해킹당했다는 메시지를 전달합니다. “당신이 자신에게 보낸 이메일”이라는 점을 해커의 침입 증거로 제시하고, 해킹된 데이터베이스에서 얻은 비밀번호나 전화번호를 덧붙여 신뢰도를 높이려 합니다.
또한, 사기꾼들은 당신이나 당신의 웹캠에서 촬영한 사진 등 민감한 정보를 가지고 있다고 주장하며 금전을 요구합니다. 돈을 지불하지 않으면 개인 정보를 지인들에게 공개하겠다고 협박합니다. 처음에는 이 주장이 믿을 만하게 들릴 수 있습니다. 결국, 그들은 당신의 이메일 계정에 접근한 것처럼 보이기 때문입니다. 하지만, 이것은 사기꾼이 증거를 조작한 결과입니다.
이메일 서비스가 스푸핑 문제를 해결하기 위해 하는 일
위 이메일은 개인 이메일 주소에서 온 것처럼 보이지만, 헤더 정보를 보면 간단한 속임수임을 알 수 있습니다.
누구나 쉽게 회신 주소를 위조할 수 있다는 것은 새로운 문제가 아닙니다. 이메일 제공업체는 스팸으로 인해 사용자에게 불편을 주는 것을 원하지 않기 때문에 이 문제를 해결하기 위한 몇 가지 방법을 개발했습니다.
가장 기본적인 방법은 발신자 정책 프레임워크 (SPF)입니다. 모든 이메일 도메인은 DNS(Domain Name System) 레코드를 가지고 있으며, 이 레코드는 올바른 호스팅 서버나 컴퓨터로 트래픽을 전송하는 데 사용됩니다. SPF 레코드는 DNS 레코드와 함께 작동합니다. 이메일을 보내면, 수신 서비스는 이메일에 포함된 도메인 주소(@gmail.com)를 발신 IP 및 SPF 레코드와 비교하여 일치하는지 확인합니다. 예를 들어, Gmail 주소에서 보낸 이메일은 Gmail이 제어하는 서버에서 발송되어야 합니다.
하지만 SPF만으로는 모든 문제를 해결할 수 없습니다. 모든 도메인에서 SPF 레코드를 올바르게 유지해야 하지만, 실제로는 그렇지 않은 경우가 많습니다. 사기꾼이 이 문제를 우회하는 방법도 간단합니다. 이메일을 수신할 때, 이름만 표시되고 주소는 표시되지 않을 수 있습니다. 스패머는 실제 이름에는 이메일 주소를 입력하고, SPF 레코드와 일치하는 발신 주소에는 다른 주소를 입력합니다. 이렇게 하면 스팸으로 표시되지 않고 SPF 검사도 통과할 수 있습니다.
또한, 기업은 SPF 검사 결과에 대한 처리 방침을 결정해야 합니다. 대부분의 경우, 중요한 메시지를 놓칠 위험을 감수하기보다는 이메일을 통과시키는 것을 선호합니다. SPF는 검사 결과를 제공할 뿐, 해당 정보를 어떻게 처리해야 하는지에 대한 규칙을 제공하지는 않습니다.
이러한 문제를 해결하기 위해 Microsoft, Google 등은 도메인 기반 메시지 인증, 보고 및 적합성 (DMARC) 검증 시스템을 개발했습니다. DMARC는 SPF와 함께 작동하여 스팸으로 분류될 가능성이 있는 이메일을 처리하는 규칙을 만듭니다. DMARC는 먼저 SPF 검사를 수행합니다. SPF 검사에 실패하면, 관리자가 설정을 변경하지 않는 한 이메일은 전송되지 않습니다. SPF 검사를 통과하더라도, DMARC는 ‘보낸 사람:’ 필드에 표시된 이메일 주소가 실제 발송 도메인과 일치하는지 확인합니다. 이 과정을 ‘정렬’이라고 합니다.
Microsoft, Facebook, Google의 지원에도 불구하고 DMARC는 아직 널리 사용되지 않습니다. Outlook.com 또는 Gmail.com 주소를 사용하는 경우 DMARC의 혜택을 누릴 수 있지만, 2017년 말 기준, Fortune 500대 기업 중 39개 기업만이 DMARC를 구현했습니다.
스푸핑된 스팸에 대한 개인적인 대처 방법
위 이메일은 개인 이메일 주소에서 온 것처럼 보였습니다. 다행히도 스팸 메일함으로 바로 이동했습니다.
안타깝게도 스패머가 당신의 주소를 스푸핑하는 것을 완전히 막을 수 있는 방법은 없습니다. 사용하는 이메일 시스템이 SPF와 DMARC를 모두 구현하고, 스푸핑된 이메일이 스팸 메일함으로 자동으로 분류되기를 바라는 수밖에 없습니다. 이메일 계정에서 스팸 필터 설정을 강화하여 스팸 메일을 걸러낼 수 있지만, 정상적인 메시지도 스팸함으로 분류될 수 있으므로 스팸함을 자주 확인하는 것이 좋습니다.
만약 자신의 주소에서 발송된 스푸핑 메시지를 받았다면, 무시하십시오. 첨부 파일을 열거나 링크를 클릭하지 말고, 요구하는 돈을 지불하지 마십시오. 스팸이나 피싱으로 신고하거나 삭제하면 됩니다. 계정이 해킹당한 것 같다는 걱정이 든다면, 안전을 위해 계정을 잠그십시오. 비밀번호를 재사용하고 있다면, 현재 비밀번호를 사용하는 모든 서비스에서 비밀번호를 재설정하고 각 서비스마다 고유한 비밀번호를 사용하십시오. 너무 많은 비밀번호를 기억하기 어렵다면, 비밀번호 관리자를 사용하는 것이 좋습니다.
만약 지인으로부터 스푸핑된 이메일을 받는 것이 걱정된다면, 이메일 헤더 정보를 읽는 방법을 배워두는 것이 도움이 될 수 있습니다.