◆교보문고 직원 메일 형식믿고 열었더니 이상한 메일

교보문고를 종종 이용하는 회사원 A 씨는 교보문고로부터 이상한 메일을 받았다.

우선 이 메일은 제목에서 온라인에서 주문한 상품은 잘 받았느냐고 확인하는 문구를 집어넣고 있었다. 마침 서핑을 하면서 필요한 책을 찾아보고 주문을 검토한 기억이 있던 A 씨는 이것이 자신에게 온 서점 메일이라고 생각했다.

하지만 담긴 글은 정상적인 교보문고 인터넷서점에서 보낼 법한 것과 동떨어진 내용. 강원랜드 대박 기법 운운하는 내용이 교보문고 명의로 발송된 것.

문제는 서점 메일로 혼동될 여지가 충분하다는 데 있다. 메일의 기본 폼에서 보통 서점 대량발송 메일(DM)이 쓰는 방식을 띠지 않고 있기는 했지만(예를 들어 영풍문고 등에서 회원들에게 보내는 메일을 보면 하단에 사업자번호 등을 넣은 회색띠가 꼭 들어감), 발송자 메일 주소 형식이 order@kyobobook.co.kr로, 정식 메일 주소와 같다(예를 들어, 교보문고 직원 메일 주소는 ad@kyobobook.co.kr과 같이 나간다. 사진 1 참조).

	<사진1=교보문고 이름으로 스팸이 발송된 사례가 알려져 눈길을 끈다. 직원 메일들과 똑같은 형식이라 혼동 가능성이 더 크다.>

	<사진2=교보측은 단순한 명의 도용 메일이라고 주장하지만, 보통 프로그램을 이용한 메일 형성시에는 기술한계상 정식 주소와 조금 다른 주소를 쓰는 경우가 많다. 사진 2는 잡코리아 도용 메일인데, 잡코리아 정식 메일 주소에는 '인포웹'라는 단어가 들어가지 않는다는 차이가 있다.>

사정이 이와 같으니, 바이러스나 묻어들어오지 않았나 찜찜한 것은 둘째치고, 개인 회원 정보가 유출된 것이나 아닌지 A 씨로서는 불안할 수 밖에 없다. 무엇보다 A 씨는 유명 사이트들이 보안이 뒷문 사이트(이른바 백도어 침해) 때문에 허술하게 깨져 정보가 속수무책으로 세는 경우도 많다는 내막을 아는 터라, 더욱 불안감이 컸다.

◆교보측, "단순 명의도용 두장메일 가능성 커"

문제의 메일이 실제로 교보문고 보안이 깨져 이같은 주소를 이용, 발송됐을 여지가 없지 않기 때문에 본지에서는 이에 대해 교보문고측에 문의했다. 실제로, 옥션 등 유명 쇼핑사이트에서 개인정보가 대량 유출된 적도 있는 등 국내 온라인 몰을 운영하는 업체들의 보안 상황이 완벽하지 않기 때문이다.

아울러, 무작정 공격을 반복해 정보를 유출하는 데 성공하는 경우 외에도, 온라인 교보문고 사이트의 설계 과정에서 미연에 특정 사태(에러 등)에 대비하기 위해 특정한 시스템에서 보안이 제거돼 있는 비밀 통로를 만들어 둔 것이 뚫렸을 가능성도 있다. 이른바 백도어 문제다.

이에 대해 교보문고 관계자는 100% 단언은 어렵다는 점을 조심스럽게 전제하면서도 "일단은 서버 공격 가능성은 낮고 단순한 명의 도용으로 보인다"고 말했다.

일단 메일의 형식이 교보문고 내부에서 직원들이 실제로 사용하는 그것과 같음은 인정할 수 밖에 없는 상황이지만, 반드시 서버가 뚫렸고 여기서 직원 메일을 이용하고 서버에서 유출할 수 있는 고객 정보들로 발송이 이뤄진 것으로 100% 연결짓는 것은 무리라는 게 교보측 주장이다.

이 관계자는, "홍보메일 주소와 (똑)같이 형성하는 프로그램이 아웃룩(아웃룩 익스프레스)이나 이런 쪽에서 설정할 수는 있다"면서 "(해킹에 의한) 서버 경유 메일보다는 일반적인 두장메일로 보인다"고 말했다. 두장메일은 이처럼 주소를 도용해 말하는 IT계 용어다(많이 쓰는 단어는 아니다).

다만 교보문고 관계자 역시 "서버 공격 가능성에 대해서는 알아보는 중이다"라고 말하고 "확실히 말씀드릴 수 있는 상황은 아니다"라고 부연했다.

◆한두달 넘은 발송 자료는 서버보관 내역 아니다?

한편 이 확인 과정에서 교보측의 보안 관리나 자료 보관에는 문제가 없지 않다는 의문점이 제기됐다.

교보측은 "이 메일이 실제로 저희(교보문고) 서버 경유로 나간 것인지에 대해 포털측에 문의를 한 상태"라고 하면서도, 빠른 답이 어렵다는 태도를 보였다. 막상 "이에 대한 발송 기록을 스스로 보유한 자료로 조회하면 (물리적으로 시간과 노력이 어느 정도 소요되겠지만) 확인이 가능하다든지 불가능하다든지 정도는 답을 할 수 있지 않느냐"는 기자의 문의에 대해서는 "오래 전 자료가 서버에 없을 수 있다"고 말했다.

"작년이라고 자꾸 강조하는 데 해바뀐지 얼마나 됐나? 사실상 두어달 전 메일 아니냐? 왜 안 된다는 것인가? 고객들에게 발송한 DM 자료조차도 보관 안 하는가?"라고 재차 질문했지만 "로그 정보를 오래된 것은 보관하지 않을 수도 있다. 1, 2개월 정도(가 보관시한이)다"라는 답이 돌아올 뿐이었다.

결국 백도어 보안이 깨진 것인지, 스푸핑을 당한 것인지, 단순 명의도용인지 알아보는 자체도 어려울 정도의 상황을 스스로 초래한 것이다.

스푸핑(spoofing)이란  업체의 명의로 스팸 메일을 발송, 소비자들이 믿을 수 있는 메일로 생각하게끔 오도해 메일의 개봉 빈도를 높이려는 행위다(악의적 네트워크 침입자가 임의로 웹사이트를 구성해 일반 사용자들의 방문을 유도해 인터넷 프로토콜인 TCP/IP의 구조적 결함을 이용해 사용자의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹을 스푸핑이라고 부르기도 한다). 고객들이 이런 피해를 보는 것을 예상하고 관련 문의가 들어올 때를 대비, 스스로 서버에서 어떤 메일이 나갔는지 로그 정보를 어느 정도 기간 보관해야 할 필요가 있는데, 이를 방기한 셈이다.

결국 "옥션 사태 이후 보안에 많은 비용을 들여 만전을 기하고 있다"는 교보문고 관계자의 설명에도 불구하고, 교보문고 이용자들은 수상한 메일을 받는 경우 바이러스 감염부터 스푸핑 피해 등을 스스로 방어해야 할 것으로 보인다.