[취재파일] 달력 속으로 들어온 '스팸 광고'…해결책은?

지난 해에는 참으로 다양한 방법(?)의 스미싱이 등장했습니다. 피해도 적지 않았습니다만, 관련 보도에 이어 정부와 이동통신사들의 대책도 잇따르면서 이용자들의 인식도 많이 높아져서 이제 웬만해서는 문자에 포함된 링크는 '누르지 않는 것'이 기본이 된 것 같아서 참 다행스럽습니다.

스미싱이 한창 기승을 부리던 지난 해 가을에 '달력 보고 만드는 휴대전화 스팸'이라는 취재파일을 쓴 적이 있습니다.  (▶해당 취재파일 보기) 데이터 사용량이 신경 쓰이는 월말에 사용량이 초과됐다며 요금 청구서를 확인하라는 문자메시지를 보낸 뒤, 메시지 속의 링크를 클릭하면 개인정보를 탈취하는 악성 어플리케이션이 설치되는 '스미싱'에 관한 내용이었습니다. 그 취재파일 말미에 저는 '이러다가 연말이 되면 건강검진이나 국세청 소득정산 등을 사칭한 스미싱 기법이 등장하겠다'며 '스미싱 스팸은 달력을 보고 만드는 게 아닐까 한다'는 추측을 덧붙이기도 했습니다. 다행히 이른바  '달력성' 스미싱은 그 이후 우려했던 것 만큼 기승을 부리지는 않은 것 같습니다만, 스미싱을 포함한 스팸의 진화는 여기서 멈추지 않았습니다. 이제는 달력을 '보고' 스팸 문자를 만드는 정도를 넘어 아예 달력 ' 속'으로 스팸이 들어오기 시작한 겁니다.


최근 한 구글 이용자의 계정으로 들어온 스팸 광고입니다. 구글이 제공하는 '메일을 통한 일정 공유'와 '캘린더' 기능을 연결한 신종 스팸인데요, 추정되는 스패밍 경로는 이렇습니다.

이 광고를 보면 7월 18일이라는 특정 날짜에 성인 사이트 광고를 콘텐츠로 이벤트가 생성돼 있습니다. 스패머는 일단 구글 캘린더에서 아무 날짜나 골라서 이벤트를 생성한 뒤 이 이벤트에 무작위로 이용자를 초청합니다. 무작위라고는 하지만 게시판을 돌아다니며 구글 이메일 주소를 수집하는 봇(bot)을 사용하거나, 이미 유출돼 시중에 돌아다니는 구글 이메일 계정을 입수해 사용한 것으로 추정됩니다. 이용자가 구글에 접속하면 이벤트 초청을 받았다는 메일이 와 있고, 날짜 기반으로 생성된 이벤트이기 때문에 이용자의 구글 캘린더에도 그 내용이 (친절하게도) 표시되는 구조입니다. 스팸성 이벤트에는 자신을 초청한 스패머의 이메일도 드러나 있지만, 어차피 이건 손쉽게 만든 스팸 발송 전용 구글 아이디일 가능성이 높습니다.


이렇게 들어온 스팸 일정은 구글 캘린더와 구글 메일에서 개별 이용자에게 노출됩니다. PC에서 열어봐도, 또 위의 이미지처럼 스마트폰에서 열어봐도 상관없습니다. 구글의 메일과 캘린더는 일단 접근성을 굉장히 높여 놓은 구조를 갖고 있습니다. 특히 학교나 직장에서 단체 계정으로 일정을 공유하는 경우도 많아서 스패머의 입장에서는 이른바 '블루오션'으로 인식돼 있을지도 모른다는 생각이 듭니다. (한 번 스패밍의 효과가 극대화될 가능성이 높다는 겁니다.) 다양한 유/무선 캘린더 어플리케이션도 구글 캘린더의 API를 기반으로 하는 것들이 많아서 스마트폰으로 무심코 일정을 관리하다가 스팸이 보여 흠칫 놀란 이용자도 많으실 것 같습니다.  캘린더의 알람 설정까지 되어 있어 해당 날짜가 되면 메인 화면으로 '튀어 오르는' 상당히 지능적인 스팸입니다. 사실 이 부분이야말로 '예상치 못한 상태에서 접하게 된다'는 측면에서 스팸 본연의 기능에 충실(?)하다고 해야 할 것 같네요.


그러면 어떻게 하면 될까요? 스팸 메일은 발송자(아이디)가 계속 바뀌어서 들어올 수 있기 때문에, 메일을 보낸 계정을 그때 그때 일일이 스팸 등록하는 것이 쉽지는 않습니다. 다만 메일 상자를 거쳐 캘린더에 달라 붙는 스팸은 방법이 있습니다. 구글  캘린더에 접속한 뒤 설정(톱니바퀴 모양)을 클릭하면 나오는 화면에서 '내 캘린더에 초대장 자동 추가' 항목을 찾습니다. 그리고 맨 아래 '아니오, 회신한 초대장만 표시합니다'를 체크하시면 됩니다.


이렇게 하면 이용자 본인이 인정하고 회답을 보낸 이벤트만 구글 캘린더에 남습니다. 아이디를 바꿔 가며 초대 메일이 오는 것을 원천적으로 막을 수 없는 현재로서는 이 방법이 가장 나아 보입니다.

이렇게 캘린더 설정에 들어가 자동 추가를 '해제'하고 나면 남는 의문이 하나 있습니다. 지금처럼 웬만한 기능은 모두 열려 있고 캘린더 스팸처럼 불편을 야기하는 역기능이 생겨서 해당 기능을 이용자가 골라서 닫는 것과, 반대로 처음에는 아주 기본적인 기능을 제외하고는 대부분 닫혀 있는데 이용자가 하나 하나 장점을 알아가면서 '사용'을 선택하는 것, 과연 이 둘 중에 어떤 것이 나은가 하는 점입니다. 물론 웬만한 기능은 모두 열려 있고, 불편을 야기하는 역기능이 없는 것이 가장 이상적이겠지만, 우리 이용자들이 매일 매일을 살아가는 인터넷 세상은 늘 생각처럼 아름답지만은 않다는 점이 유감입니다.