새로운 스팸의 유형 – 이미지 스팸

Spam Doubles, Finding New Ways to Deliver Itself

뉴욕타임즈의 기사에서 언급하고 있는, 스팸이 자신을 배달하기 위해 찾은 새로운 방법은 바로 이미지 스팸입니다.

대개의 스팸은 텍스트로 구성이 되어있으며, 목적을 달성하기 위해 하이퍼링크를 삽입하게 됩니다. 이런 스팸의 유형은 이제 고전에 속할 정도로 보편화되어, 이에 대응하는 각종 컨텍스트 필터링(베이시언 필터 같은) 기법이 등장, 발전하여 이제 텍스트만으로 이루어진 스팸에 대해서는 방어가 충분히 가능한 정도의 기술적 수준을 확보하였습니다.

이에 대응(?)하여, 스패머들은 새로운 기법을 도입(?)했습니다. 바로 텍스트가 아닌 이미지인 것이죠. 그러나, 이 방법도 결국 이미지를 삽입하기 위해서 HTML의 IMG 태그를 사용해야하고, 스패머가 특정 계정에 파일을 올려놔야한다는 맹점이 있습니다. 메일 원문 내 존재하는 http:// 문자열을 검색해내서 필터링하는 UBL(URI Black List)라는 대응책이 있으니까 말이죠.

자, 스패머는 여기서 한번 더 진화했습니다. 바로 아웃룩 익스프레스, 썬더버드 등 메일 클라이언트 프로그램에서 지원하는 본문내 이미지 첨부 방법입니다. 이렇게 붙으면 본문내 IMG 태그는 http:// 프로토콜을 참조하는 것이 아닌, CID:를 참조합니다. 이미지는 메일에 첨부파일로 붙으면서 Content-ID를 부여받습니다.

이러자, 안티스팸쪽에서는 본문에 아무런 일반 문자열이 없는 경우에 대해서 필터링을 합니다. 그러니까 스패머쪽에서는 이미지 아래쪽에 의미없는 문자열을 삽입합니다. 이 문자열을 아무렇게나 넣으면 베이시언 필터 등 컨텍스트 필터에 의해 필터링될 수 있기 때문에, 컨텍스트 필터, 특히 베이시언 필터를 우회할 수 있도록 어디선가 따온 몇개의 문단을 그대로 복사해서 붙여넣거나, 많이 쓰이는 보편적인 단어로 이루어져 필터를 회피할 수 있으나 아무런 의미를 가지지 않는 단어의 조합으로 이루어진 문자열을 삽입합니다.

이미지 아래의 내용은 다음과 같습니다.

Make uses described below addition library, facilities. Becky howard david, benklers wealth networks! Assign transfer rights should provision. Competent name signature title, signer date contact phone return.
Login register post comments delicious.
Archive contents own computers they. Share hard or copies derived directly indirectly from. Validity governed, laws, excluding body dealing conflict.
Collects respsonses chris, mooneys many more.
Becomes aware takes all steps terminate activity.
Thanks nice already tried similar project guides charles bazermans. Listen carefully reviewers among editors rewarding rightdave savvy voter.
Production costs high especially when, factor what chuck likes.
Commons ebook free lowcost.
Microfilm editions, archival, customer.
Fight there republican war science been glassbead youll.
Developed national, commission new works, contu text which.
Developed national commission new works contu text. Shall effective unless writing assign transfer rights should, provision. Images exact, pages printouts database, provided digital form outside.
Writing assign transfer rights should, provision void remaining.
Us office circular employees!
Held contrary stated such without.
Guests trademarks, owned, respective, owners graphics.
Sites campuses campus, but! John holbo editor working together while how might? Hereto supersedes prior oral written.
Source, code whether plain ascii tagged expressly.

딱 봐도 아무런 뜻이 아니라는 것을 알 수 있을 정도로 여기저기에서 따온 것들로 가득 채워놨습니다. 결국 저 스팸 메일에서 하고 싶은 말은 이미지(아래 이미지)에 있고, 나머지는 아무런 뜻도 없는 것들이죠.

시알리스와 비아그라를 패키지로 판다는 스팸메일이군요. 그래도 예로 든 메일은 CLICK HERE!라는 내용이 있고, 이미지 자체에 하이퍼링크가 박혀있기 때문에 UBL로 필터링할 수 있습니다. 그런데 아래 유형의 스팸을 보시죠.

이미지 자체에 하이퍼링크도 없고, 본문(?) 아래 부분에서 “클릭하지 말고 주소 표시줄에 www.abcMEDS.org를 입력하고 엔터를 치라”라고 얘기합니다. 이 유형의 스팸은 도저히 컨텍스트 필터링을 할 수가 없습니다. 위에 언급한 것처럼 컨텍스트 필터링을 우회하기 위해서 의미없는 문장들을 잔뜩 복사해서 붙여놨기 때문입니다.

결국 이런 유형의 스팸을 차단하기 위해서는 발송 서버를 차단하던지, 메일 주소(도메인)를 차단해야합니다. 컨텍스트 필터링이 무력화되어 전혀 사용할 수 없기 때문입니다. 이렇게 되면 스팸이 도달하기 전 사전 차단은 거의 불가능한 상태에 이르게 되고, 결국 근래 스팸이 폭증하고 있는 주된 원인입니다.

스패머가 스팸을 보내는 서버를 사전에 알 수 있다면야, 사전에 서버를 차단한다던지 하는 식의 대비책을 세울 수 있겠지만(그렇게 되면 컨텍스트 필터는 필요성이 뚝 떨어지죠), 현실은 마이너리티 리포트나 백투터퓨처가 아닌 이상, 한계가 있을 수 밖에 없습니다. 서버 관리자들이 조금만 더 어뷰징에 대해 신경을 쓰면 되는데, 그런 서버 관리자가 생각보다 많지 않고요.

스팸과 스팸 필터의 관계는 어쩌면 바이러스/웜과 안티 바이러스 백신의 관계와 비슷할지 모릅니다. 그러나 바이러스/웜은 사용자가 조심만 하면 거의 방지가 가능한데 반해, 스팸은 사용자가 조심한다 하더라도 어쩔 수 없는 면이 있습니다. 그 어쩔 수 없는 면, 허점의 방어를 위해 저와 같은 필터링 시스템 관리/운영자들이 존재하는 것인데, 이거야 일본으로 휴가 가서도 노트북 붙잡고 일하는 지경에 이르러도 해결점을 찾기가 어려우니 이젠 도대체 어떻게 해야할지 모르겠습니다. 지금도 몇천개의 IP를 막았지만, 내일 오전에 회사 출근하면 또 그만큼 신고가 들어와있겠죠.

문득 세상이 멸망할 때까지 살아남는 존재는 바퀴벌레 뿐 아니라 스패머도 해당된다는 생각이 드는 군요. 어떤 의미로는 정말 대단한 존재들입니다.

언제쯤 이 전쟁을 끝낼 수 있을런지. ⓣ

16 댓글

  1. 얼마전부터 업무용 메일로 이것들이 미친듯이 날아들고 있어요 T_T 얼른 대책이 마련되길 비는중 ㅠㅠ

    1. 이런 유형이 전세계적으로 퍼지는 중이라 대책 마련이 빠르게 되진 않을 듯 하지만 여러가지로 고심해봐야겠습니다.

    1. 구글도 아직까진 이러한 패턴은 막지 못합니다.
      이미지 스팸의 또 다른 특징은 픽셀단위로 하나씩 보정을 한다는 것이지요.사람눈에는 안보이지만, 룰에는 충분히 벗어날 수 있도록 말이죠..ㅎㅎ
      이에 대해선 작년 말쯤 부터 발생해서..올해 초부터 준비 중에 있었는데, 정확하게 막을 수 있는 방법에 대해선 더 고민중에 있긴 합니다.

  2. 어쨌든 좋은 필터라는게 결국엔 스팸을 왕창 받고 나서야 만들 수 있는 것이니… 문제네요 참.

    1. 나름 사용자들이 신고한 껀들이 많아서 그걸 기반으로 필터링 시스템을 구축하고 있는 것이지만.. 새로운 유형이 끊임없이 발견되어 계속 물고 물리는 상태가 유지되고 있습니다.

      받는 분들도 기분 안 좋지만 모든 신고건수를 일일히 다 분석해봐야하는 저 같은 사람들은 뭐라 말할 수 없지요. ;ㅁ;

  3. 마치 항생제를 강하게 쓸수록 세균의 내성이 더 강해지는 것 같군요.
    막는 쪽에서도 노력하겠지만, 스팸의 투자 비용이 거의 0이고 상품 구매자가 적어도 한명 이상은 계속 나오기 때문에
    스패머들의 노력 또한 계속 될 것 같습니다.

  4. 저런 것은 막기 어렵죠.. 이미지 자체가 조금씩 바뀌면서 들어오니까요. 차라리 저걸 보낸 링크 소유주에게 수십억 손해배상을 하는게 좋을련만.. 소유주도 바지사장이겠지요..
    이미지만 전문적으로 문자 검색하는 기법이 나와야 가능할듯..

    1. 그 소유주 찾는 것도 쉽지 않은데다가, 말씀하신 것처럼 바지사장인 경우가 비일비재한 경우라 “클라이언트 처벌”이 어렵습니다.;;

      무언가 방법이 있을 법도 하지만… 아직까진 여러가지로 어렵네요. ^^

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.