스팸 메일의 진화와 사용자 특성 분석

초록

본 논문은 2006년 1월부터 2007년 2월까지 14개월간 기업 메일 서버에서 수집한 40만 건의 스팸을 기반으로, 첨부 파일 유무에 따른 스팸 유형, 스패머가 사용하는 자동화 도구의 기능, 그리고 계정 연령과 사용량이 스팸 수신량에 미치는 영향을 정량적으로 분석한다. 결과는 첨부 파일이 포함된 스팸이 전용 소프트웨어에 의해 대량 전송되며, 오래된 고활동 계정이 신규 저활동 계정보다 스팸에 더 취약함을 보여준다.

상세 분석

이 연구는 기업 내부 메일 서버에 스팸 트랩을 설치하고, 기존의 베이즈, DNSBL, SPF, 그레이리스트 등 다중 필터링 시스템을 적용한 뒤, 400,000건 이상의 스팸 메일을 수집·분류한 점에서 의미가 크다. 먼저 스팸을 ‘첨부 파일 유무’라는 두 축으로 나누어, 첨부 파일이 있는 경우와 없는 경우가 전혀 다른 전송 메커니즘을 사용한다는 사실을 밝혀냈다. 첨부 파일이 포함된 스팸은 주로 이미지(.gif, .jpg)와 텍스트, 혹은 실행 파일(.exe) 형태로 전송되며, 이는 스팸 전용 메일러가 발신자 IP를 위장하고, 무작위 텍스트와 URL을 삽입해 필터 회피를 시도한다는 점을 시사한다. 특히 .exe 첨부 스팸은 바이러스·웜·트로이목을 포함해 DDoS 공격의 전초전 역할을 하며, 파일명에 이중 확장자를 사용해 사용자와 필터를 혼동시키는 전략을 사용한다는 점이 주목할 만하다.

반면 첨부 파일이 없는 스팸은 순수 텍스트와 URL 링크 형태로 구분되며, 크기는 2~3 KB 수준이다. 이들 중 사기성 텍스트 메일은 발신 주소가 대부분 존재하지 않거나 가짜 도메인을 사용하고, 주로 특정 국가(예: 아프리카)에서 발송되는 것으로 관찰되었다. 또한 약국·피부미용·금융 관련 광고가 다수를 차지했으며, 텍스트와 URL이 결합된 형태가 순수 텍스트보다 약 2배 높은 빈도로 발생한다.

스패머가 사용하는 자동화 도구는 ‘발신자 신원 은폐’, ‘무작위 텍스트/URL 삽입’, ‘오픈 릴레이 탐색’, ‘대량 메일 전송’, ‘전송 기간 정의’ 등 다섯 가지 핵심 기능을 제공한다. 특히 첨부 파일이 있는 스팸은 이러한 도구를 통해 대량 전송이 가능하지만, 첨부 파일이 없는 스팸은 별도의 도구 없이 수동 혹은 간단한 스크립트로 전송되는 경향이 있다.

계정 연령과 사용량에 대한 분석에서는 4년 이상 사용한 ‘고활동’ 계정이 ‘저활동’ 계정보다 평균 2~3배 이상의 스팸을 수신한다는 결과가 도출되었다. 반면 14개월 미만의 신규 계정은 일반 상황에서는 거의 스팸을 받지 않지만, DDoS 공격과 같은 특수 상황에서는 신규 계정도 스팸 표적이 될 수 있음을 확인했다. 이는 스패머가 과거에 수집한 주소록이나 자동화된 크롤링을 통해 오래된 고활동 계정을 우선적으로 타깃팅한다는 가설을 뒷받침한다.

전체적으로 이 논문은 스팸 트래픽이 단일 패턴이 아니라 첨부 파일 종류, 전송 도구, 목표 계정 특성에 따라 다층적으로 구성된다는 점을 강조한다. 이러한 다면적 특성을 고려한 방어 전략—예를 들어, 이미지 기반 스팸에 대한 OCR 기반 내용 분석, 실행 파일 첨부에 대한 샌드박스 검사, 고활동 계정에 대한 강화된 인증·필터링—이 기존의 단순 블랙리스트 방식보다 효과적일 것으로 제안한다.