Spaceship 블로그

이메일 스팸의 진화

최초의 스팸 이메일은 1978년 Gary Thuerk가 약 400명에게 보낸 것이었습니다. 그 이메일에는 DECSYSTEM-20 컴퓨터 브로셔가 포함되어 있었습니다. 이는 엄청난 성공을 거두어 약 1,300만 달러의 매출을 올렸습니다. 또한 고객에게 도달하고 제품을 판매하는 새로운 채널로서 이메일의 가능성을 열었습니다.

이메일 스팸을 바라보는 방식은 두 가지가 있습니다.

  1. 받은편지함에 도착하면 삭제를 누르면 그만인데, 뭐가 그렇게 큰 문제일까요?

  2. 거대한 기술 기업, 정부 기관, 범죄 조직이 당신의 안전, 관심, 그리고 은행 계좌를 두고 싸우는 가운데, 당신의 받은편지함과 그 안에 들어오는 것들이 최전선에 놓이는 국제적인 고양이와 쥐의 게임입니다.

두 번째 관점은 다소 극적으로 들릴 수 있지만, 그것이 당신의 골칫거리를 조금 덜어주고 어쩌면 돈까지 아껴준다면 이해해둘 가치가 있겠죠?

음… 모든 것은 통조림 고기에 대한 농담에서 시작됩니다.

스팸 이메일이란 무엇이며, 왜 spam이라고 불리나요?

스팸은 광고, 사기, 쓸모없는 뉴스레터 등 여러 가지 형태가 있으며, 끝이 없습니다. 하지만 스팸이 아닌 한 가지는 바로 초대받았다는 점입니다. 여름이라는 말만 나오면 몰려드는 모기 떼처럼, 스팸은 거의 항상 대량으로 도착합니다. 원치 않았고, 반갑지 않으며, 정말 꽤 짜증스럽습니다.

그런데 왜 이것은 돼지 어깨살과 햄으로 만든 통조림 고기와 같은 이름을 공유할까요? 그 이유는 유명한 Monty Python 스케치에 있습니다. 그 스케치에서는 “spam”이라는 단어가 거의 광기에 이를 정도로 반복되었습니다. 이로써 “spam”은 끊임없고 원치 않는 것의 상징으로 굳어졌습니다. 1993년, 한 영리한 인터넷 사용자가 이 아이디어를 가져와 반복 게시물의 홍수를 spam이라고 묘사했고, 짜잔, 그 이름이 그대로 굳어졌습니다.

하지만 그 기묘한 기원에도 불구하고, 그 단어 자체는 스팸이 얼마나 해로울 수 있는지, 또는 그것을 없애기가 얼마나 어려운지를 담아내지 못합니다 – 또는. 모기처럼 스팸 이메일은 종종 위험한 내용을 담고 있어 당신의 기기에 큰 피해를 줄 수 있습니다. 수상한 광고로 받은편지함이 넘쳐날 때 개인 데이터에 대한 위험과 함께 찾아오는 두통은 말할 것도 없습니다. 하지만 역사를 이해하면 도움이 됩니다. 스팸이 어떻게 당신의 받은편지함으로 들어오는지 이해할 수 있다면, 그것을 막아내는 일도 더 잘할 수 있을 것입니다.

스팸 유형

예시

광고성 스팸

홍보 이메일

피싱

가짜 은행 로그인 이메일

멀웨어 스팸

악성 첨부파일

사기 이메일

가짜 복권 또는 유산 사기


최초의 스팸 이메일은 언제 발송되었나요?

그렇다면 스팸 메일은 어디에서 오는 걸까요? 놀랍게도 최초의 스팸 이메일은 인터넷이 존재하기도 전에 발송되었습니다. 어떤 수상한 범죄 조직이 보낸 것이 아니라, 새로운 컴퓨터 제품군을 판매하려던 한 명의 마케터가 보낸 것이었고, 믿기 어렵겠지만 수백만 달러를 벌어들였습니다.

1978년으로 거슬러 올라가면, 마케팅 매니저 Gary Thuerk는 인터넷 이전에 존재했던 군사 네트워크인 ARPANET을 통해 약 400명에게 이메일을 보냈습니다. 그의 메시지는 새로운 DECSYSTEM-20 컴퓨터 프레젠테이션에 대한 홍보였습니다. 이 이메일은 약 1,300만 달러의 매출을 올렸지만, 동시에 그것을 받은 거의 모든 사람을 짜증 나게 만들었습니다.

스팸의 역사에서 이 이야기의 가장 흥미로운 부분은 이메일이 언제 발송되었는지가 아니라, 이메일 스팸 뒤에 놓인 양날의 검입니다. 한편으로는 수백 명, 수천 명, 심지어 수백만 명에게 보내는 광고로 막대한 돈을 벌 수 있습니다. 하지만 스팸은 분명히 짜증스럽습니다. 안타깝게도 이것이 바로 스팸의 격동적인 역사 내내 따라다니는 밀고 당기는 관계입니다.

수십 년 동안 스팸은 어떻게 진화해 왔나요?

Google과 Microsoft의 보호 기능이 있는 시대에 자랄 만큼 운이 좋았다면, 받은편지함에서 스팸을 치우는 일이 훨씬 더 수동적인 작업이었던 인터넷 초창기를 기억하지 못할 수도 있습니다.

이메일 스팸 진화의 타임라인

연도

사건

1978

Gary Thuerk가 최초의 스팸 이메일 발송

1994

“Green Card Lottery” 스팸 캠페인

1996

MAPS, 블랙홀 리스트 출시

2003

CAN-SPAM Act 도입

2000년대

봇넷과 피싱이 폭증

2010년대

AI 필터링 향상

2020년대

AI 생성 피싱과 스팸 증가


1980년대–1990년대: 이메일의 무법지대

1983년, George Orwell이 전체주의 초국가를 예견한 시점보다 1년 전, 전혀 다른 무언가가 형태를 갖추고 있었습니다. 처음으로 여러 독립 네트워크가 서로 연결될 수 있게 되었고, 이는 오늘날 전 세계 네트워크들의 네트워크, 즉 우리가 인터넷이라고 부르는 것의 기반을 만들었습니다.

그다음 10년 동안 수백만 명의 신규 사용자가 온라인에 접속해 이메일 주소를 만들기 시작했습니다. “그렇게 하면 안 된다”라고 말할 중앙 권한은 없었고, 이메일은 사실상 무료 광고 채널 역할을 할 수 있었습니다. 거의 비용 없이 하나의 메시지를 수천 명, 심지어 수백만 명에게 대량 발송할 수 있었던 것입니다.

결과는 어땠을까요? 1990년대에 스팸은 폭발적으로 증가했고, 이를 통제하려는 노력도 함께 커졌습니다. 1994년 변호사 Canter & Siegel은 수천 개의 Usenet 그룹에 악명 높은 “Green Card Lottery” 광고를 게시했는데, 이는 종종 최초의 대규모 상업 스팸 캠페인으로 여겨집니다. 곧 방어책도 뒤따랐습니다. Mail Abuse Prevention System(MAPS)은 1996년에 최초의 실시간 블랙홀 리스트를 도입해 알려진 스팸 서버에서 오는 메일을 차단했고, Spamhaus 같은 단체는 차단 목록을 구축하고 정보를 공유해 스패머를 막았습니다.

2000년대: 스팸이 어두워진 10년

2000년대는 새 천년의 시작을 알렸을지 모르지만, 많은 사람에게는 성가신 이메일이 받은편지함을 범람시키기 시작한 진짜 출발점이었습니다. Google, Yahoo, Microsoft 모두 스팸 차단 대열에 합류했습니다. 하지만 더 이상 촌스러운 광고나 벼락부자 사기가 아니었습니다. 스팸은 더 어두운 방향으로 변하고 있었습니다. 스패머들은 이미 감염된 컴퓨터 네트워크인 “봇넷”을 사용해 대규모로 스팸을 발송하기 시작했습니다.

정부는 개입할 때가 되었다고 판단했습니다. 2003년 미국은 CAN-SPAM Act(Controlling the Assault of Non-Solicited Pornography and Marketing)를 시행했습니다. 이 법은 스패머가 수신 거부 요청을 존중하고 오해를 불러일으키는 제목을 피하도록 강제했지만, 문제는 여전히 수신자가 직접 구독 해지를 해야 하는 책임을 져야 했다는 점입니다. 반면 유럽은 더 엄격한 방식을 택했습니다. EU는 이메일 마케팅에 대해 옵트인 시스템을 도입했고, 이는 기업이 먼저 허가를 받지 않고는 상업성 이메일을 보낼 수 없다는 뜻이었습니다.

2000년대는 스팸을 정의하게 된 진정한 고양이와 쥐의 게임이 폭발적으로 전개된 시기였습니다. 스패머는 새로운 수법을 만들어내고, 방어하는 쪽은 그것에 대응할 방법을 찾아냈습니다. 예를 들어 베이지안 필터링은 이메일 속 단어를 스캔하고 확률을 계산해 그것이 정크인지 정상 메일인지 판단합니다. 이것이 처음 등장했을 때, 이메일 제공업체가 스팸을 단속하는 방식에 있어 획기적인 돌파구였습니다. 2004년 Bill Gates는 스팸 문제가 2년 안에 해결될 것이라고 예측하기도 했습니다. 하지만 늘 그렇듯 스패머들은 빠르게 적응했습니다.

실제로 벌어진 스팸 공방의 예시:

현대 시대: 스팸이 생각하는 법을 배웠을 때

Stephen Hawking은 언젠가 인간이 AI에게 인간에게 개가 그러하듯 존재가 될 수 있다고 경고한 적이 있는데, 이는 정신이 번쩍 드는 생각입니다. 다소 암울하게 들릴 수 있지만, AI의 부상이 증기기관의 발명만큼이나 변혁적일 수 있다고 해도 과장이 아닙니다. 그렇다면 AI가 스팸으로 이익을 얻으려는 이들과 이를 통제하려는 이들 사이의 전투를 형성하고 있다는 것도 놀라운 일은 아닙니다. 차이점은 전통적인 스팸 필터와 달리 AI는 학습하고 적응할 수 있다는 것입니다.

아이러니한 점은 사기꾼들이 대학생들이 시험을 통과하는 데 사용하는 것과 같은 도구를 이용해 스팸 이메일을 개선하고 있다는 것입니다. AI 도구가 등장하기 전에는 스팸 이메일에 오타, 문법 오류, 그리고 명백한 위험 신호가 가득했습니다. 이제는 대규모 언어 모델 덕분에 완벽한 문법, 현지화된 어조, 개인화된 미끼를 갖춘 스팸 이메일을 대량으로 보낼 수 있습니다. 똑같은 이메일 10’000통을 보내는 대신, 사기꾼들은 조금씩 다른 이메일 10’000통을 보내 검열을 피할 수 있습니다. 공격자들은 스팸 점수를 시뮬레이션하는 모델에 텍스트를 돌려 메시지가 “안전해” 보일 때까지 조정할 수 있습니다.

대형 이메일 업체들도 같은 일을 하고 있습니다. 이들은 AI와 머신러닝을 사용해 단순히 콘텐츠를 스캔하는 데 그치지 않고, 발신자 행동, 네트워크 신호, 심지어 메시지의 맥락까지 분석합니다. 예를 들어 Gmail은 이제 새 도메인에서 갑자기 이메일이 폭증하거나 알려진 피싱 미끼를 모방한 콘텐츠 같은 수상한 패턴을 포착하고, 새로운 스팸 캠페인을 차단하기 위해 실시간으로 적응할 수 있습니다.

스팸은 이메일과 비즈니스에 어떤 영향을 미쳤나요?

스팸 메일의 기원 이야기와 그 이름의 유래인 Monty Python으로 돌아가 보면, 주제는 단순했습니다. 바로 짜증스러움이었습니다. 당시에는 대부분의 스팸이 정확히 그렇게 여겨졌습니다. 하지만 그 후 수십 년 동안 스팸은 훨씬 더 위험해졌습니다. 잘못된 링크를 클릭하는 것은 이제 바이러스 감염이나 심각한 금전적 손실을 의미할 수 있습니다.

그리고 위험에 처한 것은 개인만이 아닙니다. 2000년대 이후 사기꾼들은 더 큰 표적을 노리는 정교한 방법을 고안해 왔습니다. 이러한 수법 중 많은 것들은 그 결과가 얼마나 심각할 수 있는지를 가볍게 보이게 만드는 그럴듯한 별명까지 가지고 있습니다.

기업을 겨냥한 스팸의 예시:

대량 스팸과 사기 – 대량 이메일은 오늘날에도 여전히 성가신 광고부터 가짜 복권이나 “나이지리아 왕자” 사기까지 매일 받은편지함을 범람시킵니다. 수준은 낮지만 받은편지함을 어지럽히고 여전히 직원들을 속일 수 있습니다.

피싱 이메일 – 신뢰받는 브랜드를 사칭해 사용자를 가짜 사이트로 유인합니다. 한때는 어설펐던 이러한 피싱 이메일은 이제 세련되고 자동화되었으며, 진짜와 구별하기 어려워졌습니다.

스피어 피싱과 웨일링 – 실제 이름이나 프로젝트를 이용해 특정 직원을 속이는 표적형 공격입니다. 경영진을 겨냥할 경우 이를 “웨일링”이라고 하며, 그 대가는 엄청날 수 있습니다.Business Email Compromise (BEC) – 범죄자들이 CEO, 공급업체 또는 HR 담당자로 가장해 직원이 돈을 송금하거나 데이터를 보내도록 속입니다.

멀웨어와 랜섬웨어 – 스팸에는 종종 악성 첨부파일이나 링크가 포함됩니다. 한 번의 클릭으로 바이러스나 랜섬웨어가 퍼져 전체 시스템을 잠그고 기업에 수백만 달러의 피해를 입힐 수 있습니다.

하지만 진짜 위험은 그 결과의 규모에 있습니다. 스팸은 엄청난 수준으로 시간을 낭비하게 만듭니다. 직원들은 이메일을 다시 의심하고, 관리자들은 오탐을 조사합니다. 이 모든 것이 생산성을 조금씩 갉아먹습니다.

스팸의 실제 비용

FBI는 Business Email Compromise만으로도 2013년부터 2022년 사이 500억 달러 이상이 빠져나갔다고 추산합니다. 그래서 스팸과의 싸움은 계속 진화하고 있습니다. 이제 필터는 키워드만 보는 것이 아니라 패턴, 첨부파일, 심지어 발신자 행동까지 스캔합니다. CAN-SPAM 및 GDPR 같은 법률은 동의와 투명성에 관한 규칙을 정합니다. 그리고 이메일 제공업체는 SPF, DKIM, DMARC 같은 보호 기능을 추가해 공격자가 다른 사람인 척하기를 훨씬 더 어렵게 만들었습니다.

오늘날 우리는 어떻게 스팸에 맞서고 있나요?

현대의 스팸 필터는 AI와 머신러닝으로 구동됩니다. 이들은 발신자 행동과 메시지의 맥락을 분석한 뒤 실시간으로 적응할 수 있습니다.

하지만 인식 제고는 여전히 중요합니다. 최고의 스팸 필터가 있더라도, 직원 교육은 스팸 차단의 핵심 요소가 되어야 합니다.

스팸 이메일로부터 자신을 보호하는 방법

요즘 기업들은 사람들이 서두르지 않고 위험 신호를 알아차리거나, 행동하기 전에 요청을 확인하도록 가르치는 정기적인 인식 제고 프로그램을 운영합니다. 여기에는 다음과 같은 것들이 포함됩니다.

클릭하기 전에 생각하세요

오랫동안 검증된 조언은 여기서도 여전히 유효합니다. 예상하지 못한 이메일을 받았고 발신자를 모른다면, 무작위 링크를 클릭하지 마세요. 데스크톱에서는 링크 위에 마우스를 올리고, 모바일에서는 길게 눌러 실제 목적지를 먼저 미리 볼 수 있습니다. 링크 주소와 실제 주소가 다르다면, 그것은 위험 신호입니다.

이메일 링크를 클릭하기로 했다면, URL 옆의 자물쇠 아이콘에 속지 마세요. 이것이 사이트가 안전하다는 뜻은 아닙니다. 자물쇠는 누군가가 연결을 암호화했다는 것만 확인해 줍니다. 안타깝게도 피싱 사이트도 정상 사이트만큼 쉽게 SSL 인증서를 받을 수 있습니다.

발신자를 확인하세요 

이메일에 표시되는 이름이 항상 발신자의 실제 신원을 뜻하는 것은 아닙니다. 누구나 그것을 완전히 다른 것으로 바꿀 수 있기 때문입니다. 실제 신원을 확인하려면 이메일이 정확히 어떤 이메일 주소에서 왔는지 확인해야 합니다.

때로는 이것이 분명합니다. 예를 들어 이메일이 싸고 일회용인 무료 이메일에서 온 경우가 그렇습니다. 하지만 항상 그렇게 쉬운 것은 아닙니다. 공격자들은 종종 @p4ypal.com처럼 몇 글자만 바꿔 이메일을 위장합니다. 이메일이 진짜인지 확신이 서지 않는다면, 공식 커뮤니케이션 채널을 통해 확인하는 것이 가장 좋습니다.

SPF, DKIM, DMARC를 갖춘 제공업체를 선택하세요

스팸과 관련해 SPF, DKIM, and DMARC는 이메일 인증의 황금 표준입니다. 이는 당신의 도메인에서 발송된 이메일이 정말 당신이 보낸 것인지, 아니면 사칭자가 보낸 것인지를 구별하는 가장 좋은 방법입니다. SPF는 이메일이 당신을 대신해 발송할 수 있도록 허용된 서버에서 왔는지 확인합니다. DKIM은 위변조 방지 서명을 추가해 메시지가 전달 중에 몰래 변경되지 않도록 합니다. DMARC는 이 둘을 연결하고 메시지가 검사를 통과하지 못했을 때 수신 서버가 무엇을 해야 하는지 알려줍니다.

좋은 소식은 이 모든 것을 직접 손으로 설정할 필요가 없다는 점입니다. 좋은 이메일 제공업체라면 이를 대신 처리해 주어야 합니다. 따라서 이메일을 어디에 호스팅할지 선택할 때는 SPF, DKIM, DMARC를 기본으로 지원하는 곳을 찾으세요.

2FA 사용

2FA는 계정에 두 번째 보안 계층을 추가합니다. 이는 two-factor authentication의 약자로, 기본적으로 하나가 아니라 두 가지로 본인임을 증명하는 것을 의미합니다. 첫 번째는 비밀번호이고, 두 번째는 휴대전화, 인증 앱, 지문 또는 보안 키일 수 있습니다.

이는 비밀번호가 도난당하더라도 공격자가 두 번째 인증 수단 없이는 계정에 접근할 수 없다는 뜻입니다. 어떤 2FA든 없는 것보다는 낫습니다. 이를 제공하는 이메일 제공업체를 찾고, 가능한 모든 곳에서 활성화하세요. 이메일부터 시작해서요.

첨부파일에 주의하세요

인간은 호기심이 많고, 공격자들은 이를 악용합니다. 자신을 보호하는 가장 좋은 방법은 예상하지 못한 이메일 첨부파일을 열지 않는 것입니다. 아는 사람이 보낸 것처럼 보여도 마찬가지입니다. 계정이 자주 탈취되고 발신자가 스푸핑되기 때문입니다.

PDF, Word 및 Excel 문서, ZIP 및 RAR 압축 파일, HTML 파일, ISO 디스크 이미지, 특히 .exe 파일은 항상 각별히 주의해서 다루세요. 확신이 서지 않으면 무엇이든 열기 전에 별도의 채널을 통해 발신자에게 확인하세요.

팀 교육을 유지하세요

궁극적으로 공격에 있어 인간은 마지막 방어선입니다. 필터, 인증, 첨부파일 스캔이 많은 것을 막아주지만, 이를 통과한 메시지는 사람을 속이도록 설계되어 있습니다.

바로 여기서 교육이 큰 차이를 만들 수 있습니다. 무엇보다 기업은 어제의 공격이 아니라 오늘의 공격에 대비해 교육해야 합니다. 즉, 오타 없는 AI 작성 미끼, 딥페이크 음성 및 영상, 그리고 이메일뿐 아니라 SMS, QR 코드, MFA 프롬프트 전반에 걸친 사기에 대비해야 한다는 뜻입니다. 

자주 묻는 질문

최초의 스팸 이메일은 인터넷의 전신인 ARPANET에서 1978년에 전송되었습니다. Gary Thuerk라는 마케터가 신형 컴퓨터를 홍보하는 내용의 이메일을 400명에게 보냈습니다. 이 이메일은 수백만 달러의 매출을 올렸지만 많은 사람들을 짜증 나게 했습니다.

스팸 이메일은 이메일을 통해 한 번에 많은 사람들에게 광고하는 저렴한 방법으로 시작되었습니다. 초기 인터넷에는 규칙이 많지 않았고, 거의 비용을 들이지 않고도 수천 개의 받은편지함에 도달하기가 쉬웠습니다.

이 이름은 “spam”이라는 단어가 끝없이 반복되던 Monty Python의 한 스케치에서 유래했습니다. 초기 인터넷 사용자들은 원치 않는 메시지에서 나타나는 같은 종류의 반복을 설명하기 위해 이 용어를 차용했습니다.

스팸은 광고와 연쇄 편지로 시작해 피싱, 멀웨어, 대규모 사기로 발전했습니다. 오늘날 AI는 스패머가 매끄럽고 개인화된 메시지를 작성하도록 돕기 때문에, 필터도 이에 발맞추기 위해 더 고도화되어야 했습니다.

2000년대 초반에는 스팸이 전 세계 이메일 트래픽의 거의 절반을 차지했습니다. 각국 정부는 CAN-SPAM Act와 같은 법률로 대응했고, Yahoo, Microsoft, Google 같은 주요 제공업체들은 더 강력한 방어 체계를 구축했습니다.

현대의 스팸 필터는 키워드만이 아니라 그 이상을 검사하기 위해 AI와 머신 러닝을 사용합니다. 발신자 행동, 네트워크 신호, 새 도메인에서 갑자기 대량의 이메일이 발송되거나 알려진 피싱 미끼를 모방한 콘텐츠 같은 메시지 패턴을 살펴본 다음, 새로운 스팸 캠페인을 차단하기 위해 실시간으로 적응합니다. 

피싱 스팸은 신뢰하는 브랜드나 연락처를 사칭해 악성 링크를 클릭하게 하거나 민감한 정보를 공유하도록 속입니다. 예전의 피싱 이메일은 오타와 명백한 위험 신호로 가득했지만, 이제는 정교해져서 알아차리기 어렵습니다.

스팸은 광고, 정크 뉴스레터, 가짜 복권 제안처럼 원치 않는 대량 이메일 전반을 뜻합니다. 피싱은 신뢰하는 사람인 척해 당신의 데이터나 돈을 훔치도록 설계된 스팸의 한 유형입니다. 모든 피싱은 스팸이지만, 모든 스팸이 피싱인 것은 아닙니다.


추천 기사

귀하의 의견을 공유하세요

10자 이상 필요합니다.
공개 표시를 위한 귀하의 신원.
이메일 주소 제공은 선택 사항입니다. 제3자와 공유되지 않습니다.

우리 블로그를 개선하는 데 도움을 주세요

빠른 2분 설문조사에 의견을 공유하세요.

유효한 이메일이 필요합니다