정보통신정책 2004-14호
FTC, ‘이메일전송금지를 위한 국가등록제도(National Do Not Email Registry)’에 관한 보고서 발표
미래한국연구실 주임연구원 최선희 (T. 570-4034, shchoi@kisdi.re.kr)
1. 보고서의 개요
미 상무위원회(FTC: Federal Trade Commission, 이하 위원회)는 지난 1월 1일을 기해 발효된 ‘원치 않는 포르노그래피와 마케팅 스팸메일에 대한 통제법(CAN-SPAM Act)’1)의 제 9장과 관련된 보고서를 의회에 제출하였다. 보고서를 통해 위원회는 ‘이메일전송금지를 위한 국가등록제도’를 수립하기 위한 계획과 일정을 설정하고, 실무적, 기술적, 보안, 프라이버시, 실행 또는 기타 위원회의 ‘등록(Registry)’ 관련 업무에 대한 관심을 설명하며, 이메일 계정을 보유한 아동에 대하여 등록이 어떻게 적용될 수 있는지 설명하고 있다.
2. 등록제도의 도입 배경
위원회가 이메일전송금지 등록의 실행가능성을 위한 계획과 검토의견을 준비토록 한 데에는 의회가 이미 위원회가 실시한 ‘광고전화금지를 위한 국가등록제도(National Do Not Call Registry)’의 매우 높은 성과를 감안한 데서 출발한다.
‘National Do Not Call Registry’는 기업을 대상으로 한 제도로서, 가정에서 텔레마케팅 전화를 받는 소비자를 보호하기 위한 정책이다. 연방정부는 원치 않는 텔레마케팅 전화를 보다 쉽고 효율적으로 거부할 수 있도록 본 국가등록제도를 수립하였다. 등록비는 무료이며, http://www.donotcall.gov 또는 무료전화 1-888-382-1222를 통해 신청이 가능하다. 본 제도는 FTC와 FCC(Federal Communications Commission), 주정부가 집행하며, 일단 소비자의 전화번호가 등록되면 텔레마케팅 전화로부터 해방될 수 있는데, 3개월간 소비자의 전화번호(집/모바일전화)가 등록상태에 있으면 모든 텔레마케터는 그 소비자에게 전화를 걸 수 없고, 이를 위반하게 되면 소비자는 웹사이트에 불편신고를 접수할 수 있다. 등록유효기간은 5년이며, 본 등록제도는 소비자에게 텔레마케팅전화 수취여부에 대한 선택권을 제공하는데 의의를 두고 있다.
본래 CAN-SPAM Act의 제 9장은 위원회가 광고전화금지 국가등록제도의 성과를 스팸이라는 맥락에서 실행할 수 있는지, 어떻게 해야 하는지 결정하도록 규정하고 있다. 따라서 본 보고서는 광고전화와는 다른 이메일의 특성에 기반하여 스팸을 줄일 수 있는 방안을 모색하고자 하는데 그 핵심이 있다.
3. 보고서의 주요내용
보고서는 크게 정보수집 절차, 이메일 시스템과 발생하는 스팸문제, 이메일전송금지 등록제에 대한 여러 모델 및 위원회의 관점, 등록제 수립을 위한 계획과 일정 제안 등으로 구성되어 있다.
우선 정보수집절차에 대해 위원회는 개인, 기관의 많은 참여를 촉구하고 의견을 얻어내면서, 다수의 정보수집 기법을 사용한 후에야 결론에 도달하였다고 밝히고 있다. 첫째, 몇몇 최대 인터넷, 컴퓨터 및 데이터베이스 운영회사로부터 등록제도에 대한 세부제안서를 제출하도록 정보요구서(RFI: Request for Information)를 공고하였다, 둘째, 2004년 1월부터 3월까지 소비자단체, 이메일 마케터, ISP 및 과학기술자를 포함하여 56개 기관을 대표하는 80명 이상을 인터뷰하여 다양한 기관들의 기량과 배경을 끌어들일 수 있었다. 셋째, 개인 이메일 계정 시장의 50% 이상을 공동으로 조정하는 7개의 ISP를 통해 스팸관련 경험에 대한 자세한 정보를 요구하였다. 넷째, 위원회는 2004년 3월 11일 CAN-SPAM Act 규칙들과 관련한 행정예고(ANPR: Advance Notice of Proposed Rulemaking)를 통해 일반대중으로부터 약7,147건의 의견을 접수받았다. 다섯째, 3명의 컴퓨터과학자를 고용하여 등록제도의 기술적․보안적 이슈에 대해 독립적인 평가를 함으로써 치우침없는 검토를 받았다. 정보수집 절차를 통해 얻은 결과를 기반으로 위원회는 스팸전송자가 이메일 주소의 유효성을 검증하기 위한 메카니즘으로서 등록제를 가장 잘 이용할 것이고 또한 인증이 없다면 등록제의 오용에 대한 책임을 규명하는데 있어 위원회가 무력할 것이라는 결론을 얻을 수 있었다.
이메일시스템에 대해서는 시스템의 작동방식, 스팸전송자들이 이메일 시스템을 이용하는 방법, 이메일에 대한 인증 부재에 따른 스팸전송자들의 악용문제를 언급하고 있으며, 이어서 등록제에 대한 다양한 모델을 설명하고 있다. 제안된 등록제모델로는 개인 이메일주소의 등록, 도메인 등록, 제3자가 포워딩 서비스하는 개인 이메일주소 등록이 있으며, 등록제의 효용을 위해서는 보안과 프라이버시에 대한 문제가 더욱 중요하다고 보고 있다. 일례로 보안상의 약점이 있는 등록제가 실시되면, 스팸전송자들이 등록리스트에 쉽게 접근하여 악용하게 되고 오히려 스팸이 증가할 수 있다는 것이다.
그래서 본 보고서는 이메일 메시지의 출처(origin)를 확증하는 시스템없이 ‘이메일전송금지 국가등록제도’를 실시한다면, 스팸메일량을 줄이는데 실패하거나 오히려 소비자가 수취하는 스팸량을 더 증가시킬 가능성이 있다는 결론을 내리고 있다. 따라서 위원회는 1단계 조치이자 등록제도의 모든 유형에 대한 전제조건으로서 인증의 필요성에 대한 계획안을 제안하였다.2)
4. 주요 결론과 보고서의 제안
스팸에 대한 등록제형 솔루션은 심각한 보안, 프라이버시, 집행의 어려움 등을 야기시킨다. 등록제를 둘러싸고 있는 세가지 문제를 해결하기 위한 위원회의 관심은 아동의 이메일계정을 다루는데서 극명하게 드러난다. 예를 들어 어린이사용자로 파악되는 이메일 계정 등록은 마케터들이 아동에게 적절치 않은 메시지를 전송하지 않도록 합법적으로 도울 수 있지만, 동시에 소아성애병자(pedophiles)를 포함하는 위험한 인터넷 사용자들은 오히려 이러한 정보를 접근, 악용할 수도 있다는 것이다.
위원회는 이메일 메시지의 출처를 인증하는 현재 이용가능한 기술 하에서는 이메일전송금지 국가등록제의 실행으로도 스팸량을 줄일 수 없다고 결론을 내리고, 다음과 같은 프로그램을 제안하였다. 스팸전송자를 더 잘 파악하도록 법집행과 ISP를 지원하는 이메일 인증표준을 폭넓게 채택하기 위한 프로그램을 개발하는 것이다.
위원회는 단일표준이 없다면, 개발, 시험, 시행할 충분한 시간을 민간시장에 허용한 이후에 연방기관에 적합한 이메일 인증시스템을 결정하도록 지원하는 연방자문위원회(Federal Advisory Committee)를 소집하는 절차를 밟을 것이다. 표준의 적절한 유효기간이 결정되고 위원회가 표준의 시행을 위임받게 되면 우선 집행 또는 기타 메카니즘(예: 필터링)과 결합한 인증시스템이 스팸의 양을 대폭적으로 감소시키는지에 대해 연구할 예정이다.
이러한 일련의 절차를 거쳐 스팸이 상당한 문제로 지속되고, 등록제도가 인증시스템의 도입으로 스팸을 감소시키며, 타 기술개발을 통해 등록과 관련된 보안과 프라이버시 위험성이 제거된다면 위원회는 이메일전송금지 등록제도의 제정을 제안하는 행정예고(ANPR)를 내고자 고려할 것이다.
위원회의 입장은 아무리 잘 만들어진 등록제도라 할지라도 완벽할 수는 없기 때문에 이메일 시스템 구조를 이용하는 스팸전송자들의 행태를 기반으로 실질적․효율적인 인증수단을 발하는 것이 가장 대표적인 대응방식이라고 보고 있다. 그래서 등록제도 시행에 모든 자원을 투입하기 이전에 시장이 먼저 솔선수범하여 스팸이 가능한 이메일 시스템의 아키텍처에서 결함을 수정하도록 허용하자고 주장한다. 효과적인 이메일 인증장치 없이는 어떠한 등록제도도 실패할 가능성이 높기 때문에, CAN-SPAM Act를 제대로 집행하고 ISP가 필터링을 더 잘 수행하면서 인증이 실시한다면 등록제도는 오히려 필요하지 않을 수도 있다는 의견을 제시하고 있다.
우리나라에서도 지금 e-Clean 정책을 펴나가면서 스팸메일로부터 자유로와지고 건전한 정보통신이용환경을 구축하고자 하는 노력이 진행되고 있다. IT 환경에서 규제책을 만들고 시행한다고 하여 문제가 일소되는 것은 아니고, 모든 사항을 다 규제할 수도 없다는 점은 FTC의 검토보고서에서도 충분히 나타나 있다. 규제 및 관리 제도를 수립․시행해나가면서도 이를 기술적으로 보완할 수 있는 장치를 마련하고, 동시에 시장으로부터 자율적인 정화노력 등이 함께 되어야 함은 주지의 사실이다. 따라서 향후 관련 법 개정에 접근할 때에 규제제도의 강화, 처벌규정 확대, 관리주체의 권한 강화 등과 같은 규제일변도의 관점보다는 미국의 정보수집 절차와 같이 전문가 및 관계 대표자들을 인터뷰하고 민간사업자들의 의견을 충분히 접수하는 노력을 먼저 기울임으로써 시장의 자율성을 존중하고 제도 시행에 따른 역효과를 줄여나가는 데서부터 출발해야 할 것이다.
주:
1) Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003
2) 인증은 이메일 메시지의 출처를 위변조할 수 없도록 이메일 시스템을 강화하는 것을 말한다.
참고자료 :
[1] The NationalDoNotCallRegistry (TechNews.com)
[2] http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&contentId=A36856
-2003Jun26¬Found=true
[3] The National Do Not Call Registry, http://www.donotcall.gov/default.aspx
[4] National Do Not Email Registry A Report to Congress, Federal Trade Commission,
June 2004
[5] New Sysem to Verify Origins of E-Mail Must Emerge Before, “Do Not Spam”, List
Can Be Implemented, FTC Tells Congress, http://www.ftc.gov/opa/2004/06/canspan2.
htm
[6] Spam E-mail, http://www.ftc.gov/bcp/conline/edcams/spam/index.html
Tweet
FTC, ‘이메일전송금지를 위한 국가등록제도(National Do Not Email Registry)’에 관한 보고서 발표
미래한국연구실 주임연구원 최선희 (T. 570-4034, shchoi@kisdi.re.kr)
1. 보고서의 개요
미 상무위원회(FTC: Federal Trade Commission, 이하 위원회)는 지난 1월 1일을 기해 발효된 ‘원치 않는 포르노그래피와 마케팅 스팸메일에 대한 통제법(CAN-SPAM Act)’1)의 제 9장과 관련된 보고서를 의회에 제출하였다. 보고서를 통해 위원회는 ‘이메일전송금지를 위한 국가등록제도’를 수립하기 위한 계획과 일정을 설정하고, 실무적, 기술적, 보안, 프라이버시, 실행 또는 기타 위원회의 ‘등록(Registry)’ 관련 업무에 대한 관심을 설명하며, 이메일 계정을 보유한 아동에 대하여 등록이 어떻게 적용될 수 있는지 설명하고 있다.
2. 등록제도의 도입 배경
위원회가 이메일전송금지 등록의 실행가능성을 위한 계획과 검토의견을 준비토록 한 데에는 의회가 이미 위원회가 실시한 ‘광고전화금지를 위한 국가등록제도(National Do Not Call Registry)’의 매우 높은 성과를 감안한 데서 출발한다.
‘National Do Not Call Registry’는 기업을 대상으로 한 제도로서, 가정에서 텔레마케팅 전화를 받는 소비자를 보호하기 위한 정책이다. 연방정부는 원치 않는 텔레마케팅 전화를 보다 쉽고 효율적으로 거부할 수 있도록 본 국가등록제도를 수립하였다. 등록비는 무료이며, http://www.donotcall.gov 또는 무료전화 1-888-382-1222를 통해 신청이 가능하다. 본 제도는 FTC와 FCC(Federal Communications Commission), 주정부가 집행하며, 일단 소비자의 전화번호가 등록되면 텔레마케팅 전화로부터 해방될 수 있는데, 3개월간 소비자의 전화번호(집/모바일전화)가 등록상태에 있으면 모든 텔레마케터는 그 소비자에게 전화를 걸 수 없고, 이를 위반하게 되면 소비자는 웹사이트에 불편신고를 접수할 수 있다. 등록유효기간은 5년이며, 본 등록제도는 소비자에게 텔레마케팅전화 수취여부에 대한 선택권을 제공하는데 의의를 두고 있다.
본래 CAN-SPAM Act의 제 9장은 위원회가 광고전화금지 국가등록제도의 성과를 스팸이라는 맥락에서 실행할 수 있는지, 어떻게 해야 하는지 결정하도록 규정하고 있다. 따라서 본 보고서는 광고전화와는 다른 이메일의 특성에 기반하여 스팸을 줄일 수 있는 방안을 모색하고자 하는데 그 핵심이 있다.
3. 보고서의 주요내용
보고서는 크게 정보수집 절차, 이메일 시스템과 발생하는 스팸문제, 이메일전송금지 등록제에 대한 여러 모델 및 위원회의 관점, 등록제 수립을 위한 계획과 일정 제안 등으로 구성되어 있다.
우선 정보수집절차에 대해 위원회는 개인, 기관의 많은 참여를 촉구하고 의견을 얻어내면서, 다수의 정보수집 기법을 사용한 후에야 결론에 도달하였다고 밝히고 있다. 첫째, 몇몇 최대 인터넷, 컴퓨터 및 데이터베이스 운영회사로부터 등록제도에 대한 세부제안서를 제출하도록 정보요구서(RFI: Request for Information)를 공고하였다, 둘째, 2004년 1월부터 3월까지 소비자단체, 이메일 마케터, ISP 및 과학기술자를 포함하여 56개 기관을 대표하는 80명 이상을 인터뷰하여 다양한 기관들의 기량과 배경을 끌어들일 수 있었다. 셋째, 개인 이메일 계정 시장의 50% 이상을 공동으로 조정하는 7개의 ISP를 통해 스팸관련 경험에 대한 자세한 정보를 요구하였다. 넷째, 위원회는 2004년 3월 11일 CAN-SPAM Act 규칙들과 관련한 행정예고(ANPR: Advance Notice of Proposed Rulemaking)를 통해 일반대중으로부터 약7,147건의 의견을 접수받았다. 다섯째, 3명의 컴퓨터과학자를 고용하여 등록제도의 기술적․보안적 이슈에 대해 독립적인 평가를 함으로써 치우침없는 검토를 받았다. 정보수집 절차를 통해 얻은 결과를 기반으로 위원회는 스팸전송자가 이메일 주소의 유효성을 검증하기 위한 메카니즘으로서 등록제를 가장 잘 이용할 것이고 또한 인증이 없다면 등록제의 오용에 대한 책임을 규명하는데 있어 위원회가 무력할 것이라는 결론을 얻을 수 있었다.
이메일시스템에 대해서는 시스템의 작동방식, 스팸전송자들이 이메일 시스템을 이용하는 방법, 이메일에 대한 인증 부재에 따른 스팸전송자들의 악용문제를 언급하고 있으며, 이어서 등록제에 대한 다양한 모델을 설명하고 있다. 제안된 등록제모델로는 개인 이메일주소의 등록, 도메인 등록, 제3자가 포워딩 서비스하는 개인 이메일주소 등록이 있으며, 등록제의 효용을 위해서는 보안과 프라이버시에 대한 문제가 더욱 중요하다고 보고 있다. 일례로 보안상의 약점이 있는 등록제가 실시되면, 스팸전송자들이 등록리스트에 쉽게 접근하여 악용하게 되고 오히려 스팸이 증가할 수 있다는 것이다.
그래서 본 보고서는 이메일 메시지의 출처(origin)를 확증하는 시스템없이 ‘이메일전송금지 국가등록제도’를 실시한다면, 스팸메일량을 줄이는데 실패하거나 오히려 소비자가 수취하는 스팸량을 더 증가시킬 가능성이 있다는 결론을 내리고 있다. 따라서 위원회는 1단계 조치이자 등록제도의 모든 유형에 대한 전제조건으로서 인증의 필요성에 대한 계획안을 제안하였다.2)
4. 주요 결론과 보고서의 제안
스팸에 대한 등록제형 솔루션은 심각한 보안, 프라이버시, 집행의 어려움 등을 야기시킨다. 등록제를 둘러싸고 있는 세가지 문제를 해결하기 위한 위원회의 관심은 아동의 이메일계정을 다루는데서 극명하게 드러난다. 예를 들어 어린이사용자로 파악되는 이메일 계정 등록은 마케터들이 아동에게 적절치 않은 메시지를 전송하지 않도록 합법적으로 도울 수 있지만, 동시에 소아성애병자(pedophiles)를 포함하는 위험한 인터넷 사용자들은 오히려 이러한 정보를 접근, 악용할 수도 있다는 것이다.
위원회는 이메일 메시지의 출처를 인증하는 현재 이용가능한 기술 하에서는 이메일전송금지 국가등록제의 실행으로도 스팸량을 줄일 수 없다고 결론을 내리고, 다음과 같은 프로그램을 제안하였다. 스팸전송자를 더 잘 파악하도록 법집행과 ISP를 지원하는 이메일 인증표준을 폭넓게 채택하기 위한 프로그램을 개발하는 것이다.
위원회는 단일표준이 없다면, 개발, 시험, 시행할 충분한 시간을 민간시장에 허용한 이후에 연방기관에 적합한 이메일 인증시스템을 결정하도록 지원하는 연방자문위원회(Federal Advisory Committee)를 소집하는 절차를 밟을 것이다. 표준의 적절한 유효기간이 결정되고 위원회가 표준의 시행을 위임받게 되면 우선 집행 또는 기타 메카니즘(예: 필터링)과 결합한 인증시스템이 스팸의 양을 대폭적으로 감소시키는지에 대해 연구할 예정이다.
이러한 일련의 절차를 거쳐 스팸이 상당한 문제로 지속되고, 등록제도가 인증시스템의 도입으로 스팸을 감소시키며, 타 기술개발을 통해 등록과 관련된 보안과 프라이버시 위험성이 제거된다면 위원회는 이메일전송금지 등록제도의 제정을 제안하는 행정예고(ANPR)를 내고자 고려할 것이다.
위원회의 입장은 아무리 잘 만들어진 등록제도라 할지라도 완벽할 수는 없기 때문에 이메일 시스템 구조를 이용하는 스팸전송자들의 행태를 기반으로 실질적․효율적인 인증수단을 발하는 것이 가장 대표적인 대응방식이라고 보고 있다. 그래서 등록제도 시행에 모든 자원을 투입하기 이전에 시장이 먼저 솔선수범하여 스팸이 가능한 이메일 시스템의 아키텍처에서 결함을 수정하도록 허용하자고 주장한다. 효과적인 이메일 인증장치 없이는 어떠한 등록제도도 실패할 가능성이 높기 때문에, CAN-SPAM Act를 제대로 집행하고 ISP가 필터링을 더 잘 수행하면서 인증이 실시한다면 등록제도는 오히려 필요하지 않을 수도 있다는 의견을 제시하고 있다.
우리나라에서도 지금 e-Clean 정책을 펴나가면서 스팸메일로부터 자유로와지고 건전한 정보통신이용환경을 구축하고자 하는 노력이 진행되고 있다. IT 환경에서 규제책을 만들고 시행한다고 하여 문제가 일소되는 것은 아니고, 모든 사항을 다 규제할 수도 없다는 점은 FTC의 검토보고서에서도 충분히 나타나 있다. 규제 및 관리 제도를 수립․시행해나가면서도 이를 기술적으로 보완할 수 있는 장치를 마련하고, 동시에 시장으로부터 자율적인 정화노력 등이 함께 되어야 함은 주지의 사실이다. 따라서 향후 관련 법 개정에 접근할 때에 규제제도의 강화, 처벌규정 확대, 관리주체의 권한 강화 등과 같은 규제일변도의 관점보다는 미국의 정보수집 절차와 같이 전문가 및 관계 대표자들을 인터뷰하고 민간사업자들의 의견을 충분히 접수하는 노력을 먼저 기울임으로써 시장의 자율성을 존중하고 제도 시행에 따른 역효과를 줄여나가는 데서부터 출발해야 할 것이다.
주:
1) Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003
2) 인증은 이메일 메시지의 출처를 위변조할 수 없도록 이메일 시스템을 강화하는 것을 말한다.
참고자료 :
[1] The NationalDoNotCallRegistry (TechNews.com)
[2] http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&contentId=A36856
-2003Jun26¬Found=true
[3] The National Do Not Call Registry, http://www.donotcall.gov/default.aspx
[4] National Do Not Email Registry A Report to Congress, Federal Trade Commission,
June 2004
[5] New Sysem to Verify Origins of E-Mail Must Emerge Before, “Do Not Spam”, List
Can Be Implemented, FTC Tells Congress, http://www.ftc.gov/opa/2004/06/canspan2.
htm
[6] Spam E-mail, http://www.ftc.gov/bcp/conline/edcams/spam/index.html