자료출처 : http://www.kisarbl.or.kr/
http://www.happyjung.com/bbs/board.php?bo_table=lecture&wr_id=119
RBL 이란 무엇인가?
RBL이란 Realtime Black List 의 약자로서, 실시간으로 차단IP를 탐지하고 그것을 공개하는 것을말합니다. 표면적으로 보면 단순한 IP리스트에 불과한데, 그 종류와 목표에 따라 매우 다양할 수있습니다.
RBL의 예:
# 실시간으로 메일 릴레이가 가능한 IP주소만을 수집하고 공개하는 DB
# 실시간으로 해킹에 도용될 수 있는 Proxy의 IP 주소만을 수집하고 공개하는 DB
# 실시간으로 불량소프트웨어에 감염된 좀비PC의 주소만을 수집하고 공개하는 DB
이런식으로 다양한 형태의 데이타 베이스가 존재할 수 있으며, 그것들을 통칭해서 Black List 데이타베이스라고 합니다. 따라서 RBL 데이타베이스를 활용하시고자 한다면, 그 용도와 목표를 명확하게파악하시고 그 용도와 목표에 맞게 사용하셔야 합니다.
통상적으로 RBL 이라고 함은, 공통적으로 DNS 룩업을 통해서 특정 IP의 불량 여부를 판단할 수 있는 데이타 베이스를 말합니다. 각각의 데이타베이스들이 목표와 종류가 다르더라도 공통적으로사용하는 조회 방법으로 DNS 룩업을 사용한다는 점이 같기 때문에, DNS-BL (DNS 차단리스트)라고 부르기도 합니다.
KISA RBL이란 무엇인가?
한국정보보호진흥원(KISA)에서 운영하는 실시간 스팸 차단 데이타베이스입니다. 목표와 용도는명확하게 "스팸메일"에 한정되어 있습니다. 본 원에서는 국내의 대표적인 메일 운영사이트 10여개의 대형 메일 운영 사이트로부터 실시간으로 스팸 차단된 내역을 수집하며, 수집된자료에 근거하여 스팸이 발생하는 IP를 실시간으로 추적하고 있습니다.
실시간으로 국내의 대형 사이트로부터 스팸차단된 로그를 수집하여 분석하는 자료이므로, 국내에서유통되는 거의 모든 스패머의 IP 주소를 확보할 수 있습니다.
이외에도 IP를 차단으로 등록하기 전에 몇가지 데이타 베이스를 추가적으로 검증하여 최종 결과를만들어 내는데, 참조에 사용되는 자료는 다음과 같습니다.
# 국내/해외/국가별 IP 대역
# 국내의 경우, 유동IP 대역과 고정IP 대역
# 국내의 경우, WHOIS 데이타베이스
# 각 대형 메일 사이트에서 WHITE 주소로 등록한 예외 리스트
이런 자료를 종합적으로 판단해서 최종적으로 스팸이라고 판단되는 결과를 리스트로 공개합니다.
KISA RBL의 자료 공개는 어떤 방식인가?
자료공개는 일반적인 RBL(또는 DNS-BL)에서 공개하는 방식과 동일한 방식으로, 차단IP가 들어있는 IP 주소 리스트 파일 (RBL-zone-file)을 공개하는 것입니다. 존파일을 다운로드 하시면그 이후 부터는 일반적인 RBL 방법과 동일한 방법을 사용하실 수 있습니다.
KISA RBL의 자료의 공개 범위는?
기본적으로 자료 공개는 국내의 모든 메일 서버 운영자에게 다 공개할 수 있습니다만, 데이타를다운로드를 할 수 있는 허가를 얻으셔야 합니다. 데이타 다운로드 허가를 받으시려면 KISA RBL사이트(www.kisarbl.or.kr)에서 회원으로 가입하셔야 합니다.
자료의 공개는 3개의 파일로 공개 됩니다. 스팸의 불량 정도에 따라서 레벨 1, 2, 3으로 공개되는데,레벨 2는 레벨1을 포함하고 있고, 레벨3은 레벨 2와 1을 포함하고 있습니다. 각각의 레벨별로IP 주소가 들어 있는 텍스트 파일이 공개됩니다. 공개되는 텍스트 파일은 전형적인 RBL 데이타베이스의존파일(zone file) 포맷을 가지고 있으므로, RBL 전용 프로그램들은 모두 해석할 수 있는 포맷입니다.
KISA RBL이 무고한 IP를 차단으로 하게 될 가능성은 없는가?
사실상 없습니다. 국내의 대형 ISP/메일 운영사로부터 자료를 취합하여서 판단된 최종 결과물이기때문입니다. 특정 IP가 KISA-RBL에 등록되어 있다는 것은, 그 IP가 틀림없이 스팸메일 발송에사용되었다는 것을 의미합니다.
차단에 등록된 모든 IP에 대해서 어떤 스팸이 발송되었는지 개별적인 이력을 관리하고 있습니다.만약 특정 IP가 무고하게 차단으로 등록되었다고 판단된다 할 지라도, 틀림없이 스팸 발송에 사용된IP이기 때문에, "모르는 사이에 도용"되지 않았나 의심해 보실 필요가 있습니다. 오픈 릴레이로도용될 가능성이 있으므로, 메일 서버의 로그를 분석하시고, 필요하면 스팸/릴레이 차단 전용소프트웨어를 설치하시기 바랍니다.
차단으로 등록된 IP를 해제해 줄 수 있는가?
해제해 드릴 수 있습니다. KISA-RBL 사이트에서 블랙해제 요청을 주시면 됩니다. 하지만 만약문제가 해결되지 않은 채로 방치해 두시면, 틀림없이 가까운 시간 내에 또 등록될 것입니다.
따라서 근본적으로 해당 IP 가 스팸에 도용되지 않도록 정확한 조치를 취하신 후에 IP 해제요청을 하시기 바랍니다. IP 해제 요청을 하지 않으시더라도, 스팸이 사라지면 결국 IP도 블랙리스트에서 자동으로 지워지게 되어 있습니다.
해외 RBL과의 관계는?
해외의 RBL 사이트에서 한국발 스팸을 막기 위해, 한국에서 오는 상당한 IP 영역을 블랙으로 등록하는 바람에 해외로 메일을 발송할 수 없다는 민원이 자주 제기되고 있습니다. 그에 대한대응책으로 만들어 지는 것이 바로 KISA RBL입니다.
국내의 RBL 사이트가 정상적으로 운영되는 것이 확인되면, 해외 RBL 사이트와 협조하여 무고한 국내 IP가 해외 RBL에 의해서 블랙으로 등록되지 않도록 할 예정입니다.
감사합니다.
