2007.11.05
스파이웨어를 설명할 때마다 어려운 점이 있다. ‘스파이’라는 말이 주는 어감 때문이다. 그 말에 뭔가 몰래 빼 간다는 느낌이 있기 때문에 보안을 좀 아는 분들은 스파이웨어와 트로이목마의 차이를 묻곤 한다. 스파이웨어에 대한 대응을 위해 보안 업체, ISP 업체, 장비업체, 시민단체 등이 모인 안티스파이웨어연합(http://www.antispywarecoalition.org/)에서는 스파이웨어를 좁은 의미와 넓은 의미로 구분하여 설명한다. 즉 좁은 의미의 스파이웨어는 적절한 사용자 동의 없이 개인 정보를 수집하거나 사용자 행위를 모니터하는 프로그램으로 정의한 반면에, 넓은 의미의 스파이웨어는 사용자의 동의 없이 컴퓨터에 대한 사용자의 통제 권한을 침해하는 것을 스파이웨어라고 정의하면서, 넓은 의미의 스파이웨어를 일반적인 스파이웨어로 부른다. 즉 컴퓨터의 주인이 사용자이므로, 컴퓨터 안에서 이뤄지는 일들이 사용자의 동의와 사용자의 통제 범위 안에서 이뤄져야 함을 명확히 한 ‘사용자 주권 선언’이라고 할 수 있다.
다들 알다시피 스파이웨어는 애드웨어에서 시작했다. 즉 기업이 마케팅 수단으로 스파이웨어를 제작한 것이다. 초기의 애드웨어는 애드웨어 제작자가 사용자에게 팝업 광고를 더 많이 보게 하는 게 목표였다면, 요즘에는 애드웨어를 제작하는 쪽과 이를 유통하는 쪽이 분리되어 주요 포털의 카페나 성인물 사이트를 중심으로 무차별 살포되는 경향이 있다. 배포된 애드웨어를 사용자가 클릭하여 해당 사이트에 들어가면 정해진 금액을 제작자가 배포자에게 제공하는 비즈니스 모델을 갖고 있는 것이다. 악성코드도 과거에는 개인의 기술력을 과시하거나 악의적으로 컴퓨터를 파괴하기 위해 개인이 주로 만들었지만, 이제는 여러 집단이 금전적 이득을 노려서 게임 계정, 암호나 개인의 은행 정보를 탈취하기 위해 제작, 유포하는 단계에 이르렀다. 특히 IRCBot처럼 취약점을 이용해 설치, 작동하는 전형적인 웜을 이용해서도 스팸이나 피싱, 스파이웨어를 배포하는 ‘수익 사업’이 기승을 부리고 있다.
최근 스파이웨어는 마구 뿌려질 뿐 아니라 사용자가 제거하기 매우 어렵도록 하는 공통점을 갖고 있다. 즉, 스파이웨어를 제거하기 어렵게 하기 위해 드라이버 프로그램이나 은폐형 프로그램으로 제작하는 등의 ‘보호 기능’으로 스파이웨어 제거를 막는다. 포털의 지식 서비스에서, 이에 대한 사용자의 질문과 불만을 쉽게 찾아볼 수 있다.
이런 추세를 반영하듯 ‘허위 안티스파이웨어의 전면적인 확산’이 2006년도 상반기 스파이웨어 동향의 가장 주요한 흐름으로 꼽힌다. 올해 5월 안철수연구소가 자체 조사한 바에 따르면, 국내외 허위 안티스파이웨어는 60여 개나 되는데, 공통적으로 다음 두 가지의 특징이 있다.
첫째, 스파이웨어 제거 툴 또는 안티스파이웨어라고 사용자들에게 배포하지만, 그 동작이나 역할은 스파이웨어와 동일하다. 실제로 웬만한 포털의 카페에 들어가 보면, 동영상을 보기 위해 뷰어 프로그램이나 코덱(codec)을 설치해야 한다고 해 놓고, 이들을 설치하겠다는 보안경고창에서 ‘예’를 누르면, 허위 안티스파이웨어를 포함한 스파이웨어들을 서너 개씩 무지막지하게 설치한다. 또한 어떤 허위 안티스파이웨어의 경우에는 스파이웨어와 동일하게, 사용자의 의도와 관계없이 브라우저를 특정 사이트로 연결해 버리기도 한다.
둘째, PC에 스파이웨어가 없는데도 있는 것처럼 진단 결과를 내 사용자에게 치료하기 위한 비용 결제를 유도함으로써 돈을 버는 프로그램들이다. PC의 운영체제를 처음 설치한 상태에서 이 프로그램들을 실행해도 스파이웨어가 있다고 진단 결과가 나오는데, 실제로 내용을 들여다보면, 정상적인 레지스트리 값이거나 정상 파일을 스파이웨어로 진단한 것이다. 심지어 한번 결제하면 여러 방법으로 매달 결제하게 하게 하는 경우도 있어서 정말 사기성이 농후한 프로그램들도 있다. 안철수연구소에서는 이들을 ‘허위 안티스파이웨어’라고 부르지만, 개인적으로는 ‘사기 프로그램’이라고 부르는 게 좀더 정확한 표현이라고 생각한다. 한 마디로 사용자에게 사기 행각을 저지르고 있으며, 이러한 프로그램들은 보안 업체에서 처리할 게 아니라, 제작, 배포자들을 사법 당국에서 처리하는 게 적절하지 않을까 하는 생각이 든다.
한 인터넷 키워드 도우미 서비스 업체가 제기했던 가처분 소송(이하 스파이웨어 소송)을 1년이 넘게 대응하면서, 정부에 아쉬운 점이 있다. 사실 2005년 8월 말에 정보통신부에서 ‘스파이웨어 기준’을 발표할 때만 해도 단순한 스파이웨어 정의에 대한 논쟁으로 더 이상 노력을 허비할 일은 없을 거라고 기대했다. 정통부의 ‘스파이웨어 기준’에 따르면, 7개 기준에 부합하는 스파이웨어를 ‘정보통신망이용촉진및정보보호등에관한법률’(이하 정통망법)의 48조 2항에서 정의한 ‘악성 프로그램’으로 간주하여 5년 이하의 징역, 5000만 이하의 벌금형에 처할 수 있게 되기 때문이다. 하지만 소송에 맞서 대응하다 보니 정통부의 발표는 단지 여러 참고자료 중의 하나일 뿐이고, 법원은 해당 법원 나름대로 해석하여 기준을 만들려고 하였다. 즉, 스파이웨어에 관한 법률이 제정되지 않음으로써 정통부의 7개 기준에 속한 스파이웨어가 정통망법 상 ‘악성 프로그램’인지 다시 따져봐야 하기 때문에, 법원은 나름대로 기준을 세워야 할 처지에 있는 것이다.
검찰 역시 정통부의 ‘스파이웨어 기준’ 제정 당시 공청회 때부터 제기했지만, 그것의 법적 구속력이 없다는 점 때문에 명백한 범죄 행위가 입증되지 않는 한 어려움이 있다고 한다. 실제로 검찰이 스파이웨어 업자를 기소한 사건을 보면, 대부분 돈 거래가 개입해 있는 것만 하고 있어서, 정통부의 기준을 법률적으로 적용하는 것과는 거리가 있어 보인다. 따라서 스파이웨어로 인한 국민의 피해가 심각함을 정부와 국회가 직시한다면, 법률적인 해결 방안을 마련할 필요가 있다. 그렇지 않으면, 컴퓨터에 대한 개인의 권리를 보호하려는 보안업체와, 돈벌이를 목적으로 개인의 컴퓨터 자산을 활용하려는 스파이웨어 업체들 사이에 분쟁이 계속 일어나고, 이로 인한 사회적 비용이 크게 증가할 것이다.
보안 측면에서 본다면, PC에 대한 사용자의 통제 권한을 최대한 보호하는 수준에서 스파이웨어 기준에 대한 사회적 합의가 이뤄져야 한다고 본다. 스파이웨어가 되지 않으려면, 해당 소프트웨어는 익스플로러에 설정된 보안 수준과 관계없이 사용자가 동의 여부를 판단할 수 있어야 하고, 설치 도중에 사용자가 이를 중단시킬 수 있도록 설치 과정을 보여주며, 설치된 이후에도 사용자가 프로그램의 활동을 이해하여 필요 시 쉽게 삭제할 수 있는 적절한 수단을 제공해야 할 것이다. 특히 외부와 연결하여 프로그램을 다운로드하는 등의 동작을 하는 경우 사용자가 이 동작을 통제할 수 있는 설정 기능을 마련하여 손쉽게 이를 중단하거나 지속할 수 있도록 해야 한다. 사실 이렇게 쓰고 나니 뭔가 장황하고 까다로운 것 같지만, 일반적인 프로그램이라면 당연하게 가져야 할 요소에 지나지 않는다.
최근 7월 17일 비즈니스위크에서는 커버 스토리로 ‘당신의 컴퓨터를 탈취하려는 음모”(The Plot To Hijack Your Computer) (http://www.businessweek.com/magazine/content/06_29/b3993001.htm)라는 제목의 기사가 나왔는데, 미국의 조사 기관인 IT-Harvest에 따르면, 인터넷 광고사업에서 스파이웨어의 비중이 11%, 금액으로는 20억 달러(약 1조 9천억원)에 이른다고 한다. 엄청난 규모가 아닐 수 없다. 스파이웨어가 계속 제작되는 사업적 근거를 알 수 있다. 여기에 소개된 스파이웨어 제작 업체 Direct Revenue는 초기에 애드웨어로 큰 수익을 올리고 벤처 투자회사의 자금도 200억 이상 끌어 들이는 등 성공하는 것처럼 보였지만, 사용자들의 불만의 소리가 커지자 올해 4월 뉴욕 주정부가 소송을 걸어 큰 어려움을 겪고 있다고 한다. 결국 단기적으로 성공인 것처럼 보일 수도 있지만, 사용자들을 괴롭히면서 하는 비즈니스가 지속되기 어렵다는 점을 보여준 것이 아닐까 한다.
하지만 세계 초고속통신망 보급률 1위를 자랑하는 우리나라의 뛰어난 인터넷 환경 덕택에, 그러한 일시적인 수익을 노리면서 스파이웨어 비즈니스에 뛰어드는 업체가 꾸준히 늘고 있다. 이제 일시적인 수익을 위해 사용자의 권리를 침해하는 스파이웨어와 허위 안타스파이웨어 등 ‘스파이웨어 비즈니스’를 차단하고, 우리 아이들도 안전하고 즐겁게 인터넷을 이용할 수 있는 세상을 만들어 나가기 위해 정부와 국회, 언론, 보안업체, 사용자가 함께 머리를 맞대고 노력해 나갔으면 하는 마음 간절하다. <Ahn>
강은성 상무는 안철수연구소에서 사용자의 IT 자산을 지키는 보람과
즐거움으로 일하고 있으며, 어린이들도 즐겁게 뛰놀 수 있는 안전하고
편안한 인터넷 세상을 만드는 꿈을 갖고 있습니다.
출처 : 매경 스팟뉴스 강은성의 시큐월드 2006. 8. 6
'AhnLab 칼럼' 카테고리의 다른 글
보안 위협의 중심, 봇넷(BotNet) (0) | 2020.04.19 |
---|---|
보안 컨텐트 관리(SCM)에 대한 이해 (0) | 2020.04.19 |
중국발 분산서비스거부(DDoS) 공격 (0) | 2020.04.19 |
인터넷 생활에서 개인 정보를 보호하기 위한 ‘10가지 생활의 지혜’ (0) | 2020.04.19 |
최근 일본 악성코드 동향을 보며 드는 생각 (0) | 2020.04.19 |