FSF, Gmail 계정에서 1만 건 이상 스팸 메일 발송 문제로 Google에 연락 시도

Hacker News 의견들

• 나는 누군가가 내 이름과 사업체를 사칭해 Gmail 주소로 사기 행위를 시도하던 문제를 해결하기 위해, 경찰 보고서를 작성해 Google 법무팀에 등기우편으로 보냈음
  이 과정이 꽤 번거롭고 3시간 정도 걸렸지만, 다른 방법이 없었기에 꼭 필요한 절차였음

  • 이 일은 약 한 달 전쯤 있었음. 혹시 도움이 될까 해서 내가 보낸 주소를 공유함
    Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
    편지에는 문제 상황과 원하는 조치(해당 Gmail 계정의 폐쇄 및 IP 보존 요청)를 적었고, 사기 피해자가 보낸 이메일 스레드 출력본과 경찰 보고서를 첨부했음
    약 일주일 후 Google에서 연락이 와서 계정이 폐쇄되었다고 확인받았음. 다만 데이터 보존이나 다른 서비스 조치 여부는 알 수 없었음
    FBI의 Internet Crime Complaint Center에도 신고했지만, 솔직히 말해 그냥 형식적인 절차로 느껴졌음
  • 좋은 아이디어 같음. 나도 YouTube Premium 계정이 잠겨버렸는데 계속 요금이 청구되었음
    로그인해야만 지원팀에 연락할 수 있어서 결국 신용카드 번호를 바꾸는 수밖에 없었음
    그런데도 계속 청구가 이어져서, 카드사에서 계정을 완전히 닫아야 한다고 했음
  • 이런 식으로 해야 함. 문서 기록(paper trail) 이 모든 책임을 명확히 함
  • 혹시 편지에 변호사임을 명시했는지 궁금함. Google이 법률 사무소 서류로 인식하면 다르게 대응했을 수도 있음
  • 그런데 그 사람이 새 Gmail 주소로 다시 시도하지 못하게 막을 방법은 없었는지 궁금함

• 나는 Google, Amazon, Microsoft에 악용 신고를 시도하다가 포기했음
  신고가 무시되고, 대형 제공자들은 아무 조치도 하지 않음. FSF가 나서서 뭔가 바꿔주길 바람
  지금 스팸의 주요 출처는 이 세 곳임. 너무 커져서 차단조차 불가능한 수준임
  우리가 방관한 결과라고 생각함. 이 토론에서도 대부분 Gmail을 메인 이메일로 쓰고 있지 않음?

  • YouTube에서 며칠 동안 봇 계정을 신고했는데, 오히려 “허위 신고가 많으면 정지될 수 있다”는 팝업만 떴음
    Google이 정말로 봇 대응을 못 하는 게 아니라, 애초에 시도조차 안 하는 것처럼 보임
  • 이건 사실상 독점(monopoly) 임. 독립을 위해 직접 메일 서버를 운영하는 사람들도 있지만, Gmail에서는 자주 스팸으로 분류됨
    DMARC 같은 표준이 오히려 대기업에게 더 많은 영향력을 주는 구조라 고민임
  • 나는 아니지만, 대부분의 사람들은 월 10달러 내는 걸 꺼림
    이메일 한 통의 가치를 맥주 한 잔 값 정도로 생각함

• 우리 회사 영업팀이 Gmass를 이용해 대량 메일을 보내는데, 스팸 신고가 많으면 Google이 계정을 정지시킴
  Google이 이메일 남용 모니터링을 하고 있다는 점에서 참고할 만한 데이터라고 생각함

  • 그건 ‘강력한 모니터링’이라기엔 너무 부실함. Gmass 같은 도구가 존재한다는 게 부끄러움
  • 듣기엔 당신 회사 영업팀이 사실상 스패머처럼 들림
  • 영업팀이 보내는 메일이 콜드 메일인지, 아니면 기존 고객 대상인지 궁금함
  • Gmail 웹 인터페이스로만 스팸 신고가 가능하니, FSF 같은 단체는 신고 자체가 어려움
  • Gmail에서만 모니터링이 작동한다면, 비-Gmail 사용자는 Gmail 발 스팸을 신고할 방법이 없음
    Google이 메일 생태계의 수신 측면에서 악영향을 주고 있음

• 지난 2~3년 동안 4개의 postfix 서버를 운영하며 관찰한 결과, Gmail은 이제 화이트리스트에 올릴 수 없는 수준임
  스팸과 피싱이 너무 많음
  반대로, 사용자가 트위터나 LinkedIn 알림을 Gmail로 리다이렉트하면 Google이 “너무 빠르게 보낸다”며 IP를 차단함
  정말 웃픈 상황임

• 최근 내 서버의 개인 메일 계정들이 짧은 시간에 대량의 메일을 받는 현상을 봤음
  모두 Google Groups를 통해 전달된 것으로, 그룹 ID가 매번 달라지고, 나중에 보면 그룹이 삭제되어 있음
  메일 내용은 합법적인 자동응답처럼 보이고, 악성 링크나 광고도 없음
  아마 어떤 봇이 Google 그룹을 만들고 임의의 이메일을 구독시킨 뒤, 여러 웹폼에 그 주소를 넣는 듯함
  동작 원리는 알겠는데, 이런 수고를 들이는 이유가 궁금함

  • 이건 거의 확실히 subscription bombing임. 피해자의 받은편지함을 합법적인 자동메일로 도배해, 중요한 메일(비밀번호 재설정 등)을 놓치게 만드는 공격임
  • 나도 같은 문제를 겪었음. 누군가 답장하면 모든 구독자가 그 메일을 받아 “제발 리스트에서 빼달라”는 답장이 폭주함
    결국 수신 거부 규칙을 만들어 차단했음

• IT 커뮤니티가 Gmail 같은 ‘차단하기엔 너무 큰’ 서비스를 적대적 존재로 인식하고 차단할 때가 되지 않았는지 묻고 싶음

  • ‘IT 커뮤니티’라는 건 사실 존재하지 않음. 대부분의 IT 종사자들이 Google이나 그와 유사한 회사에 속해 있음
    그래서 이런 변화는 이론적으로만 가능한 이야기임.
    물리 세계에서는 힘과 질량으로 변화를 설명하지만, 사람에 대해서는 단지 “그랬으면 좋겠다”는 희망만 이야기함
  • Microsoft는 합법적인 메일도 hotmail.com으로 전달하지 않음
    나는 SPF, DMARC, DKIM 다 설정했고 스팸도 안 보내는데, 그래도 막힘
    그래서 hotmail 사용자에게는 그냥 전화로 연락함

• 나는 5분마다 스팸 전화를 받았는데, 공격자가 실수로 AWS 버킷 URL을 남겼음
  Amazon에 abuse 신고를 하자 바로 스팸 그룹이 해체되었고, 그 이후로 전화가 멈췄음
  신고할 때 “음란물이나 부적절한 이미지가 포함됐다”고 하면 더 빠르게 처리될 수도 있음

• Gmail, Outlook, Salesforce가 전체 스팸의 90%를 차지함
  Salesforce는 네트워크 차단으로 해결했지만 Gmail과 Outlook은 방법이 없음

  • 예전엔 Azure나 Sendgrid에서도 스팸이 많았지만 지금은 거의 사라졌음
    이제는 Google Cloud가 스팸의 80%를 차지함
  • Salesforce는 Gmail에서 화이트리스트된 듯함. 쓸모없는 메일이 너무 많음
  • Mailchimp도 마찬가지임. 지금까지 받은 Mailchimp 메일 중 스팸이 아닌 건 하나도 없었음

• 현실적으로는 봇 신고 서비스를 고용해 대량으로 문제 계정을 신고하는 방법밖에 없음

• 최근 “.bc.googleusercontent.com” 도메인에서 오는 스팸이 폭증함

  • 메일 서버 설정에 따라 다르지만, 나는 googleusercontent.com에서 오는 메일은 전부 5xx로 거절할 듯함
    Google이 OpenBSD 메일링리스트를 스팸으로 분류한 이후로 직접 MX 서버를 운영하고 있음
    고객이 있다면 로그를 분석해 legit 트래픽이 있는지 확인하고, 기본적으로 스팸으로 표시하는 게 좋음
    혹시 내부에서 Google을 사용하는 워크플로가 있다면, VPN이나 다른 방식으로 대체해
    googleusercontent.com 전체를 SMTP 차단하는 게 이상적임
    다만 오래된 시스템이 있을 수 있으니, 몇 달간 점진적으로 테스트하거나 한 번에 차단하고 결과를 보는 방법도 있음