Vulnerabilities
야후 웹메일 취약점
IE 6.0 DoS 취약점
[HL2003-124]Microsoft Messenger 서비스 버퍼오버플로우 취약점
[HL2003-122]HP HP-UX dtprintinfo DISPLAY 환경변수 버퍼오버플로우 취약점
[HL2003-121]Sun Solaris aspppls의 임시화일 생성오류
Section Stories
머피의 법칙 그 유래를 찾아서 4부작 2편
지구상에서 가장 빠른 사나이(2편) 우리가 이제껏 알고 있는 머피에 법칙에 관한 모든 것은 잘못된 것이다. ...
얼음렌즈로 불 붙이기
호수나 샘에서 깨끗한 물을 퍼 온다. 물 속 가스가 제거되도록 약 10 분 간 끓인다. 그런 뒤 은박지 호일을 접어 약 5cm 정도 깊이의 접시를 만들어 물을 담고 천천히 얼린다. 아니면, 판매하 ...
머피의 법칙, 그 유래를 찾아서 4부작 1편
"세상에 어떻게 이럴 수가... 나는 도대체 되는 일이 하나 없는지..." 머피의 법칙이 뭔지는 알면서도 막상 그 유래에 관해서는 여러가지 설이 분분합니다. 희귀한 연구 결과를 주로 싣는 핫에어 사이트에 "머피의 ...
[2003/03/24] 스팸 보고서


수백만명의 사람들이 매일같이 스팸이라 불리는 광고성 이메일을 수십통 받는다. 사람들은 스팸을 성가시게 여긴다. 심지어 스팸을 받지 않기 위해 이메일 주소를 바꿔야겠다고 생각하는 사람도 있다. 그러면서 사람들은 의문을 갖는다. 이 작자들이 도대체 내 이메일 주소를 어떻게 알았을까?

CDT는 2002년 여름 스팸의 근원지를 추적하는 프로젝트를 시작했다. 프로젝트를 위해 먼저 수백개의 이메일 계정을 만들어 이 주소들을 각각 한가지 목적에만 사용했다. 그러고 난 뒤 6개월간 이 주소들로 어떤 종류의 이메일이 오는가를 조사했다. 의심할 바 없이 이 주소들로 스팸이 날아들었다. 각 이메일 주소가 스팸을 얼마만큼 어떻게 끌여들였는지에 대한 방식은 매우 흥미로웠다. 받은 스팸의 양은 이메일 주소가 어디에 사용되었는가에 따라 큰 차이가 있었다. 온라인상에서 인터넷 사용자의 어떤 행동이 스팸을 자초하는 것일까.

연구 결과는 다음과 같다:

분석 결과는 웹사이트나 뉴스그룹에 올려진 이메일 주소가 가장 많은 스팸 메일을 받았음을 보여준다.

- 웹사이트

일반에 공개된 웹사이트(개인 홈페이지, 상업용, 비영리 사이트 포함)에 이메일주소를 올린 경우 어김없이 스팸을 받았다. 스패머들이 웹사이트에 올려진 이메일 주소만 수집하는 로봇이나 스파이더같은 프로그램을 사용하기 때문이다. 우리는 이 프로그램들이 이메일 주소를 수집하는 것을 막는 방안을 다음 두가지 방법으로 테스트해 보았다:

    1) 이메일 주소를 human-readable format(컴퓨터 프로그램은 이해하지 못하지만 인간은 이해할 수 있는 포맷)으로 바꾼다. 예를 들어 example@domain.com 은 example at domain dot com 으로 바꾼다.

    2) 이메일 주소를 HTML 특수문자 코드를 사용해 작성한다. 예를 들어 example@domain.com 은 으로 바꾼다.

    이렇게 "위장"한 이메일 주소를 같은 웹사이트에 올려본 결과 아무 스팸도 받지 않았다.

- 유즈넷 뉴스그룹

뉴스그룹에는 뉴스를 올리는 모든 사람의 이메일 주소가 노출되어 있다. 여러 뉴스그룹에 이메일 주소를 올린 결과 트레픽이 많은 웹사이트에 올린 이메일보다 스팸을 덜 받았다. 이 연구에서 우리는 뉴스그룹에 올린 메세지 본문에 이메일 주소가 포함되어 있더라도 스팸 메일은 메세지 헤더에 포함된 이메일 주소로 보내진다는 것을 발견했다.

가입이나 등록시 사이트에서 보내는 소식을 메일로 받기를 원하느냐고 묻는 옵션이 있는 사이트의 경우 대부분 사용자의 선택을 존중했다. 우리가 이메일 주소를 알려주고 가입한 대부분의 웹사이트는 개인정보 보호정책을 존중했다.

메일 서버 공격을 통해 생성되는 스팸도 있다. 이것 역시 스팸 프로그램을 사용하는데 이 프로그램은 한 도메인에서 가능한 모든 문자의 조합이나 사전에 나오는 단어, 많이 사용하는 사람 이름 등으로 이메일 주소를 추측해 스팸을 보낸다. 많은 경우 이 프로그램은 짧은 이메일 주소(예를 들어 bob@domain.com)를

먼저 시도한 후 긴 이메일 주소(bobwilliams@domain.com)을 시도했다.

스팸을 피하는 팁

스팸을 원천차단하는 확실한 방법은 현재로는 없다. 하지만 다음의 방법은 스팸을 어느정도 차단하는데 도움이 될 것이다:

공개된 인터넷 공간에 이메일 주소를 올릴 때는 이메일 주소를 위장한다

연구 결과 웹페이지의 맨 아랫쪽에 이메일 주소를 게시할 경우 스팸이 날라든다는 것을 알게 되었다. 이 주소는 이메일 수집용 컴퓨터 프로그램에 의해 수집되어 스팸 메일링 리스트에 포함된다. 따라서 공개된 인터넷 공간에 자신의 이메일 주소를 올리지 않는 것이 스팸을 피하는 최상의 방법이다. 하지만 자신의 이메일 주소를 공공 장소에 게시해야 하는 경우 이메일 주소를 human-readable format으로 위장해 올리면 스팸을 줄일 수 있다. 예를 들어 example@domain.com 은 example at domain dot com 혹은 HTML 코딩에 사용되는 부호로 바꾼다.

자신의 이메일 주소가 소속된 단체의 멤버 디렉토리에 올라갈 수도 있다. 이 경우 웹마스터에게 이메일 주소를 위장해 올려 달라고 부탁한다.

웹사이트에 가입하기 위해 온라인 가입 양식을 기입할 때는 이메일 주소를 묻는지를 잘 살펴본다. 그 사이트가 보내는 광고성 이메일 수신을 원치 않는다면 이메일 주소를 주지 않는다.

이메일 주소를 반드시 기입해야 하는 경우, 동 사이트로부터 이메일 수신을 원치 않는다는 옵션이 있는 경우는 기입해도 좋다.

이메일 주소를 기입해야 하는 경우 기입한 주소가 어디에 어떻게 사용될 것인가를 설명하는 글이 있는지를 찾아본다. 내 이메일 주소가 이 회사와 파트너십인 다른 회사와 공유되는지의 여부도 꼼꼼히 살펴본다. 사이트에 나와 있는 개인정보 보호정책을 읽는다. 사이트가 개인정보 보호정책을 어겼다는 의심이 들면 관계기관에 알린다.

여러개의 이메일 주소를 사용한다

잘 모르는 웹사이트를 사용하거나 잘 모르는 뉴스그룹에 글을 올릴 때는 그 사이트나 뉴스그룹용으로 이메일 주소를 별도로 만들어 사용한다. 이렇게 하면 어떤 사이트가 스팸을 보내는지 확인할 수 있다. 많은 사이트에서 무료로 제공하는 disposable email 을 사용하는 것도 좋은 방법이다. disposable email을 사용하면 스팸이 오는 경우 즉각 삭제하면 된다. disposable email을 무료로 제공하는 사이트는 구글에서 disposable e-mail로 검색하면 찾아볼 수 있다.

필터를 사용한다

현재 많은 ISP와 무료 이메일 서비스 사이트가 스팸 필터링을 사용하고 있다. 하지만 필터링은 완벽하지 못한 탓에 사용자가 받는 스팸 숫자를을 현저하게 줄여주지는 못한다.

짧은 이메일 주소는 추측하기기 쉬워서 더 많은 스팸을 받는다.

이 연구에서 한 사람이 이메일 주소를 추측하는 스패머 역할을 했다. 이 연구 스패머는 짤막한 일반적인 단어로 이루어진 이메일 주소로 메일을 보냈다. 짤막한 이메일 주소는 (예를 들어 bob@ tse@ , smith@ toms@) 더 많은 스팸을 받는다.



6개월간의 이메일 연구 보고서

소개

우리가 스팸이라 부르는 Junk 이메일은 오늘날 수많은 인터넷 사용자에게 불편을 초래하고 상상을 초월하는 비용을 ISP에 부담시킨다. 스패머들은 매일 수 십 억 통의 이메일을 원지 않는 사용자들에게 보낸다.

스패머는 어떤 경로를 통해 사용자의 이메일 주소를 얻었을까? 사용자가 온라인상에서 이메일 주소를 흘린 때문일까? 아니면 무작위로 보내지는 스팸을 우연히 받은 것일가? 어떻게 하면 스팸을 막을 수 있을까?

이 연구는 다른 사람보다 더 많은 스팸을 받는 경우 그 인터넷 사용자의 온라인상에서의 일반적인 행동을 분석해 그 이유를 분석한다.

이 보고서가 스팸에 관한 모든 질문에 대한 대답이 되지는 못한다. 그러나 이메일 주소가 스팸 리스트에 추가되는 과정을 살펴봄으로써 앞으로 스팸을 피하는데 도움이 될 것이라 믿는다.

방법

이 연구의 목적은 인터넷상에서의 사용자의 특정한 행동이 사용자로 하여금 스팸의 타겟이 되게 하는지 여부를 알아내는 것이다.

이 연구를 위해 우리는 수백개의 이메일 계정을 만들어 이 주소를 인터넷상에 잘 알려진 사이트에 올렸다. 각각의 이메일 주소는 반드시 한 곳에만 사용되었다.

1) 프로젝트 기간동안 CDT 메일 시스템은 딕셔너리 공격에 시달렸다.

2) 이 프로젝트에 egovtoolkit.org 도메인을 사용했다. egovtoolkit.org 도메인은 CDT가 소유하는 도메인으로 현재 내부에서만 사용하고 있다. 스패머가 이 도메인이 cdt.org 도메인임을 알아차려 "특별 취급" 하는 것을 막기 위해서였다.

(도표 생략)

우리는 다음 5가지 방식으로 이메일 주소를 노출시켰다.

    1) 일반에 개방된 웹사이트에 올린다
    2) 유즈넷 뉴스그룹에 올린다
    3) 서비스 관련해 유명한 웹사이트에 올린다
    4) 유명한 구직 사이트, 경매 사이트, 토론 게시판에 올린다
    5) WHOIS 데이타베이스에 올린다

각각의 경우 우리는 올린 이메일 주소를 두 그룹으로 나누어 하나는 스팸을 막는 어떤 시도도 하지 않았고 다른 하나는 아래와 같은 방식으로 스팸을 막는 시도를 했다.

스팸을 막기 위해 사용한 방법

1. 공공의 접속 제거

공개된 웹사이트에 많은 이메일 주소를 2주간 올린 후 삭제했다. 이 테스트의 목적은 이메일 주소를 해당 사이트에서 삭제하는 것이 스팸의 양에 영향을 미치는가를 조사하기 위함이었다.

2. 이메일 주소를 human-readable fomat으로 게시

인간은 읽을 수 있지만 자동툴은 읽지 못하는 포맷으로 이메일 주소를 사이트에 올리는 사용자들이 있다. 예를 들어 example@domain.com 은 example at domain dot com 으로 올린다. 우리는 이 방식이 효과가 있는지 여부를 웹과 유즈넷 뉴스그룹상에서 테스트했다.

3. HTML 형식으로 게시

기술적인 지식이 있는 사람의 경우 자신의 이메일 주소를 HTML의 특수문자 코드를 사용해 게시한다. 이렇게 하면 웹브라우저는 읽어들이지만 자동 스팸툴은 읽지 못한다. 예를 들어 우리는 HTML 코드로 위장한 이메일 주소를 웹과 유즈넷에 올렸다.

4.웹사이트상에서 개인설정 변경

많은 웹사이트의 경우 이메일 수신을 원하는지 여부를 묻는 옵션이 있다. 일단 이메일 주소를 노출시키면 그걸로 끝장이다, 수신을 원치 않는 옵션을 체크하더라도 별 효과가 없다고 믿는 사람이 많다.

우리는 메일 수신을 하겠다는 옵션을 택하고 가입한 후 다시 그 웹사이트를 방문해서 이메일을 수신하지 않는다는 옵션으로 변경했다. 이 테스트는 다음 두가지 방식으로 진행했다.

1) 가입한 후 로그아웃하고 즉시 다시 로그인해서 메일수신을 하지 않는 옵션으로 설정을 바꾸었다

2) 가입한 후 2주 후 메일수신을 하지 않는 옵션으로 설정을 바꾸었다


결과

6개월동안 우리는 연구를 위해 생성한 250개 이상의 이메일 계정으로 1만통 이상의 이메일을 받았다. 이 중 1,600통은 우리가 가입시 메일수신을 요청했던 합법적인 이메일이었다. 다른 62통은 이메일 헤더가 불완전하거나 다른 데이타가 분실되어 분류가 불가능했다. 16통의 이메일은 가입시 이메일 주소를 기입한 후 메일 수신을 원치 않는 옵션을 택한 사이트에서 온 메일이었다.

우리는 나머지 8,842통의 이메일을 스팸메일로 간주, 아래와 같이 분류했다.

1. 일반에 공개된 웹에 게시된 이메일 주소

우리가 받은 전체 이메일의 97%는 일반에 공개된 웹상에 올린 이메일 주소로 온 것이었다.

플레인 텍스트로 웹상에 올린 이메일 주소는 모두 스팸을 받았다. 받은 스팸의 수는 웹사이트의 인지도에 따라 차이가 있었다. 예를 들어 GetNetWise.org 는 유명한 온라인 사이트로 AOL이나 야후같은 주요 포털 사이트에 링크되어 있다. 이 사이트에 올린 이메일 주소는 상당히 많은 스팸을 받았다.

반면 ConsumerPrivacyGuide.org는 상대적으로 오픈한지 얼마 안된 새로운 사이트다. 이 사이트에 올린 이메일은 스팸을 덜 받았다.

human-readable format 이나 HTML 코드 형식으로 올린 위장된 이메일 주소로는 단 한개밖에 스팸이 오지 않아 이메일을 수집하는 컴퓨터 프로그램이 현재로는 위장된 주소를 수집하지 못함을 알 수 있었다.

앞으로 시간이 흐르면 위장된 이메일 주소도 수집할 수 있는 새로운 툴이 개발될 것이다. 하지만 현재로는 이것이 스팸을 피하는 가장 효과적인 방법으로 보인다.

GetNetWise.org/indes.html 에 HTML 코드로 이메일 주소 게시

이메일 주소 여러개를 이 사이트에 올렸다. 그리고 나서 2주 후 올린 이메일 주소 일부를 사이트에서 삭제했다. 이 테스트는 일단 웹상에 게시된 이메일 주소가 웹상에서 삭제되고 나서 얼마동안 스팸을 받는지를 알아보기 위함이다. 3개의 웹사이트로 테스트해 본 결과는 아래 도표와 같았다.

(도표 생략)

그 결과 웹상이 일단 올려진 이메일 주소들 중에 여전히 웹상이 남아있는 이메일 주소보다 나중에 삭제한 이메일 주소로 오는 스팸이 적다는 것을 알게 되었다.

2. 유즈넷 뉴스그룹에 게시

다음으로 많이 스팸을 받은 것은 유즈넷 뉴스그룹에 올린 이메일 주소였다.

우리는 플레인 텍스트, human-readable format, HTML 코드로 각각 이메일 주소를 올렸다.

(도표 생략)

유즈넷에 간단한 메세지를 플레인 텍스트, human-readable format, HTML 코드 형식으로 올렸다.

human-readable format으로 위장해 올린 이메일 주소로는 아무 스팸도 오지 않았다. 플레인 텍스트로 올린 이메일 주소 전체가 스팸을 받지는 않았다. 올린 이메일의 85%만 스팸을 받았다.

(도표 생략)

유즈넷에 올린 이메일 주소로 온 스팸을 분석해 본 결과, 유즈넷에 올린 메세지 헤더에 쓴 이메일 주소로만 스팸이 왔고, 메세지 텍스트에 쓴 이메일 주소로는 스팸이 거의 오지 않았다는 것을 알 수 있었다. 아주 드문 경우로 텍스트에 올린 이메일 주소로 받은 스팸은 유즈넷 관련해 받은 스팸의 1% 미만이었다. 모든 경우 스팸은 위장되지 않은 플레인 텍스트로 올린 이메일 주소로 보내졌다.

아래 도표는 뉴스그룹에 올린 이메일 주소가 받은 스팸 분포도다. alt.sex.erotica 가 다른 뉴스그룹에 비해 2배나 되는 스팸을 생성했음을 알 수 있다. 하지만 이 데이타만 가지고는 어떤 뉴스그룹이 스팸의 주범인지에 대한 결론을 내릴 수 없다.

3. 고객 선택

우리가 3번째로 테스트한 영역은 사이트가 제공하는 상업성 이메일 수신을 거부하는 고객의 의사가 존중되는지 여부였다. 가입시 이메일 주소를 기입하고, 상업용 이메일을 보내지 말 것을 요청한 모든 사이트는 스팸을 보내지 않았다.

이 테스트에서 우리는 처음 가입시에는 메일을 받는 것으로 했다가 나중에 받지 않는 것으로 변경했다. 변경한지 2주가 지나도 계속 오는 메일은 스팸으로 간주했다.

테스트는 아래와 같은 방식으로 진행되었다:

1) 가입시 메일을 받는 옵션을 택한 후 재로그인해서 보내지 말 것을 요청

2) 가입시 메일을 받는 옵션을 택한 후 2주 후 보내지 말 것을 요청

우리는 31개의 상업 사이트와 기타 사이트에 이 테스트를 적용했다.

(도표 생략)

2주동안 조사해본 결과 위의 5가지 방법으로 테스트 했을 때 많은 웹사이트의 경우 메일 수신을 원치 않는 것으로 설정하면 메일이 정말로 오지 않음을 알 수 있었다. 그러나 82개의 사이트로부터는 여전히 메일이 왔다.

(도표 생략)

우리는 또한 웹사이트나 기타 기관, 기업이 이메일 주소를 "부적절한 방법"으로 공유하거나 판매하는지 여부를 조사했다. 여기서 "부적절한 방법"이란

    1) 소비자에게 통보하지 않고 공유/판매
    2) 사이트에 명시된 개인정보 보호정책에 저촉되는 방식으로 공유/판매
    3) 고객이 입력한 사용자 설정과 다르게 공유/판매

하는 것을 의미한다.

그 결과 이메일을 부적적하게 공유/판매하는 사이트는 극히 제한되어 있음을 알게 되었다. 우리가 받은 스팸은 25개로 대부분이 도박이나 성인용 컨텐트에 관련된 웹사이트에서 온 것이었다.

4. 웹 토론 게시판

웹 기반의 토론 게시판에 이메일 주소를 올리면 얼마만큼의 스팸 메일을 받는지를 테스트해 보았다. 대부분 경우 스팸 메일을 받지 않았다. 테스트한 게시판 중 유일한 예외는 Intelihealth.com 로 15개의 스팸 메세지를 생성했다.

5. 도메인 등록

도메인 등록시 등록한 사람의 연락처에 관한 정보는 일반이 접속할 수 있는 WHOIS 데이타베이스에 입력된다. 우리의 예측과는 달리 6개월 동안 WHOIS 데이타베이스에 등록된 이메일 주소로 생성된 스팸은 단 한 통이었다. WHOIS 데이타베이스가 영구적이기 때문에 추가로 스팸이 생성될 가능성은 있다. 또한 이 프로젝트 기간이 단 6개월이었다는 점을 고려할 때 그 이후에라도 스팸메일이 올 가능성은 있다. 많은 도메인 소유자의 경우, 도메인 등록을 갱신할 무렵에 스팸 메일이 많이 온다고 한다. 물론 프로젝트 기간인 6개월 동안 연구에 사용된 도메인 중 갱신 기간 중인 것은 하나도 없었다.

6. 메일 서버 공격

이 프로젝트의 마지막 테스트. 우리 메일 시스템으로 스팸 메세지가 날라들기 시작했다. 이제까지 어떤 목적으로도 사용한 적이 없고, 어디에도 알린 적이 없는, 심지어는 존재하지 않는 이메일 주소로 스팸이 날라들기 시작했다. 서버 로그를 검토해본 결과 우리는 시스템이 무차별 대입 공격에 당했다는 결론을 내렸다. 이것은 스패머가 모든 숫자와 문자를 조합해 만든 이메일 주소로 보내는 스팸이다.

(도표 생략)

무차별 대입공격에 사용되는 이메일 주소 예

a@egovtoolkit.org aa@egovtoolkit.org aaa@egovtoolkit.org
aaaa@egovtoolkit.org
b@… ab@… aab@… aaab@…
c@… ac@… aac@… aaac@…
d@… ad@… aad@… aaad@…


엄청난 양의 이메일이 날라들어 서버가 불안정해졌다. 그래서 우리는 스팸을 보내는 것으로 보이는 네트워크(이 경우는 h8h.com)에서 날라드는 메세지를 우리 서버로 더 이상 들어오지 못하도록 차단시켰다. 차단하기 이전 무차별 대입 공격으로 받은 스팸은 8,506통이었다. 이 중에서 실제로 존재하는 이메일 주소(만일 존재한다면)로 온 이메일은 몇 통 되지 않았다. 우리는 테스트의 무결성을 유지하기 위해 8,506 개의 이메일 메세지를 위의 데이타에 포함시키지 않았다.


결론

1. 일반에 공개된 웹상에서 수집된 이메일 주소는 스패머들에 의해 사용된다.

우리가 받았던 스팸 중 가장 많은 양은 일반에 공개된 웹상에 올린 이메일 주소로 온 것이었다.

일반에 공개된 이메일 주소는 잠정적으로 수백만명이 볼 수 있다. 스팸 리스트 개발자는 수천개의 웹사이트를 서핑해 눈에 띄는 이메일 주소를 닥치는대로 수집하는 프로그램을 사용해 이 기능을 익스플로이트한다. 대부분 사용자는 스팸을 받기 전까지는 자신의 주소가 스팸 리스트에 올랐다는 것을 까마득히 모른다.


2. 일반에 공개된 웹에 올린 이메일 주소로 오는 스팸의 양은 그 웹사이트의 트레픽 양과 비례한다.

주어진 시간에 웹사이트 방문자가 많을수록 스팸 리스트에 사용되는 프로그램이 올린 이메일 주소를 수집할 가능성이 컸다. 그 결과 방문객이 많은 웹사이트에 올린 이메일 주소는 방문객이 적은 사이트에 올린 이메일 주소보다 훨씬 은 영의 스팸을 받았다. 유명한 웹사이트의 경우 이메일 주소 수집이 좀 이루어져 이 웹사이트에 올린 이메일 주소는 엄청나게 많은 수의 스팸 리스트에 포함되었다.


3. 일반에 공개된 웹에서 수집된 이메일 주소는 상대적으로 "보관 기간"이 짧다.

일반에 공개된 웹에 올린 이메일 주소를 삭제하자 스팸의 양이 나날이 줄어들었다.


4. 웹보다는 적지만 유즈넷 메세지 헤더에 올린 이메일 주소는 스팸을 받는다.

대부분 웹사이트와 마찬가지로 유즈넷도 일반에 공개되어 있기 때문에 글을 올리면 이메일 주소 수집 프로그램의 타겟이 될 수 있다. 이메일 주소를 유즈넷 메세지 헤드에 포함시키면 이 이메일 주소는 프로그램에 의해 수집되어 스팸을 보내는데 사용될 수 있다. 아래 데이타를 보면 유즈넷 뉴스 그룹이 다른 뉴스 그룹에 비해 더욱 자주 이메일 주소를 수집한다는 것을 알 수 있다.


5. 이메일 주소를 위장하는 것은 스팸을 피하는 효과적인 방법이다

일반에 공개된 웹이나 유즈넷 뉴스그룹에 이메일 주소를 올린다 해도 human-readable format이나 HTML 코드로 위장해서 올린 이메일 주소는 단 1개의 스팸만 받았다. 스팸을 피하고 싶다면 이메일 주소를 위장해 올리는 것을 고려해 봄이 좋다.


6. 가입시 메일 수신을 선택할 수 있는 규정이 있는 사이트들은 일반적으로 그 규정을 잘 지켰다.

우리는 웹상의 여러 비즈니스와 단체에 이메일 주소를 제출했다. 이 사이트 다수에는 이메일 주소를 어떻게 사용하는가를 비롯한 기타 정보가 담긴 개인정보 보호정책이 있었다. 개인정보 보호정책 내용은 사이트에 따라 달랐지만 대부분 사이트들은 자사의 개인정보 보호정책을 지키고 있었다. 사용자가 자신의 개인정보가 어떻게 다루어 질지 여부를 선택하는 옵션이 있는 경우도 이 선택은 존중되었다.


7. 도메인명 등록은 스팸의 주된 소스가 아닌듯 했다.

누군든 WHOIS 데이타베이스에 접속할 수 있음에도 불구하고 6개월의 프로젝트 기간 중 WHOIS 데이타베이스에 등록한 이메일로는 단 한 통의 스팸만 왔을 뿐이었다. 그래서 WHOIS 데이타베이스에 등록한다고 해서 스팸을 받는 것은 아니라는 생각을 갖게 했다. 그러나 프로젝트 기간이 상대적으로 짧았고, 도메인 갱신 날짜에 즈음해 스팸이 오는지 확인할 길이 없었다.


8. 이메일 주소릉 어디에도 올리지 않고, 절대 공유하지 않는다 해도 스팸을 받을 가능성은 여전하다.

이메일 서버 공격 때문이다. 테스트 결과 메일 서버에 무차별 대입공격을 하자 엄청난 양의 스팸이 생성되었다. 심지어는 단 한번도 공유해본 적 없는 이메일 주소에까지 스팸이 보내졌다. 이런 공격은 그리 드문 것이 아니다. 네트워크 관리자는 이런 공격을 차단하기도 하지만 스팸의 양은 줄어들지 않는다. 이 공격은 딕셔너리 공격의 형태로 사전에 나오는 모든 단어로 만든 이메일 주소, 일반적인 성과 이름, 이니셜(jsmith 나 bjones 같은)을 대입해 만든 이메일 주소로 스팸을 보낸다. 개인 인터넷 사용자의 경우 이 스팸을 피하는 방법은 거의 없다.




CDT 스팸 보고서 원문
[26] [25] [23] [22] [21] [20] [19] [18] [17] [15] [14]
F.H.Z Server 접속자
2014/09/03 08:38 AM
DRILL 23명 / IRC 6명
Errata
BBUWOO


시작하는 모든 사람들을 위한 필독서 "질문은 어떻게 하는것이 좋은가"로 "시원한데 긁어줬다", 혹은 "너 잘났다"는 등의 극에서 극을 달리는 반응으로 리눅스계에 일대 센세이션을 일으켰던 장본인, OOPS.ORG를 통해 약 1만 8천...
Book Review
Spidering Hacks


[Anonymous님 曰] 서핑만으로는 부족하다고 느껴질 때가 있는 법이다. 좋아하는 책이 판매순위 몇위인가를 체크하는 것도 지겹고, 다운로드하...
Free Hacking Zone
Copyright © 1999-2003 by (주)해커스랩
개인정보 보호 정책