13호 디지털칼럼

스팸규제 한계를 인정하는 용기

지난 6월 15일 미국 연방 거래위원회(Federal Trade Commission, 이하 FTC)는 작년 말 상원을 통과하여 연방 최초의 스팸규제법(CAN-SPAM Act)이 요구했던 노스팸리스트(Do-Not-Spam-List)의 도입문제에 대하여 이를 거부하는 성명서를 발표했다. 노스팸리스트란 스팸을 받고 싶지 않은 사람들이 자신의 전자우편주소를 미리 등록하여 상업광고를 발송하는 업자들이 이를 참조하여 스팸을 보내지 못하도록 하는 데이터베이스를 말한다.

이날 FTC의 성명서가 주목을 끌었던 이유는 단순히 FTC가 노스팸리스트의 구축을 거부했다는 사실에만 있지 않다. 더 중요한 것은 FTC가 이런 스팸규제방안이 별 실효성이 없을 것이라는 점을 솔직히 시인했다는 점이다. 물론 FTC는 당초 법안이 요구한대로 노스팸리스트를 어떻게 구축할 것인지 몇 가지 모델을 구상하여 검토하였지만, 최종적으로 내린 결론은 어떠한 모델을 채택하더라도 스팸이 별반 줄지 않을 것이고 잘못되면 오히려 스팸이 늘어나는데 일조하게 될 뿐이라는 것이었다. 노스팸리스트야 말로 가장 확실하게 수신여부가 검증된 리스트가 될 것이므로 스패머들이 오히려 스팸발송리스트로 활용하게 될 것이기 때문이다. FTC는 노스팸리스트와 같은 규제방안이 실효성을 가지려면 전자우편의 송신처를 검증할 수 있는 시스템을 구축하는 것이 선결과제라고 지적했다.

FTC가 지적한 것처럼 현재 인터넷 메일의 프로토콜구조는 필요하다면 전자우편의 송신처를 얼마든지 마음대로 바꿀 수 있도록 되어있다. 이런 이유 때문에 대부분의 스팸은 메일이 거쳐 온 경로에 관한 정보를 담는 메일 헤더부분을 인위적으로 조작하거나, 메일발송의 경로를 인위적으로 바꾸는 등의 방식으로 발송처를 위장하는 수법을 쓴다. 이렇게 할 경우, 문제의 스팸메시지가 불법적인 것이라 해도 불법행위에 대한 책임을 지울 주체를 알 수가 없게 되므로 결과적으로 스팸을 규제하는 것이 불가능해지는 것이다. 이런 이유 때문에 인터넷의 기술표준기구인 IETF에서는 이미 인터넷 메일프로토콜의 구조를 개선하기 위한 워킹그룹(MTA Authorization Records in DNS, 약칭 marid라고 한다)을 만들어 활발한 논의를 진행중이다. 마이크로소프트사가 제안한 콜더 아이디(Caller-ID)나 야후에서 제안한 도메인키(Domainkey) 같은 것도 모두 이 워킹그룹에 제안된 방안들이다.

연방차원에서 수년간 상하원의 오랜 논의와 검토를 거쳐서 확정한 스팸규제법의 요구내용에 대하여, 시장의 경쟁정책을 추진하는 연방거래위원회가 규제정책의 실효성을 지적하며 기술적인 해결을 요구했다는 사실 자체가 인상적이다. 기술적인 아키텍처 자체가 개방적일 때 정책적인, 법적인, 제도적인 규제가 실효성이 없음을 냉정하게 인정한 것이기 때문이다. 물론 그렇다고 FTC가 스팸에 대한 효과적인 규제가 기술적인 아키텍처의 변화만으로 성취된다고 보는 것은 아니다. 법적, 정책적 규제가 실효성을 가지기 위해서라도 최소한 현재의 개방적인 기술적 아키텍처에 변화가 있어야 한다는 것을 지적한 것일 뿐이다.