보안 업체의 윤리성이 중요한 이유

2009.04.02

 

1980년대 말 처음 컴퓨터 바이러스 문제가 본격화 되었을 때 몇 개 국을 제외하고 컴퓨터 바이러스 제작 및 유포에 대한 법률이 제정되어있지 않았고 컴퓨터 바이러스 문제는 제작자에 대한 윤리성에 달려있다는 사회 인식이 있었다.

 

국내에서는 1990년대 중반 관련 법이 제정되었는데 몇몇 국가에는 2000년이 되도록 관련 법이 없었다. 2000년에 5월 4일 필리핀에서 제작되어 전세계로 퍼진 러브레터 바이러스(VBS/LoveLetter virus)의 경우 세계적으로 엄청난 피해를 주었지만 당시 필리핀에는 관련 법이 없어 제작자는 필리핀 법정에서 무죄 판결을 받았다.

 

현재 악성코드와 관련된 실정법이 존재하지만 분명 윤리적 차원에서 해결해야 할 문제들이 있다. 이 글에서는 악성코드와 관련된 윤리적인 문제에 대해 알아 보겠다.

1. 악성코드 윤리
일반적으로 악성코드와 관련된 윤리적 문제는 악성코드 제작 혹은 변조, 악성코드 제작 원리에 대한 공개 등이 있다.

 

악성코드 제작 혹은 변조

악성코드는 장난에서 금전적 이득, 범죄 수사, 군사적 이용 등 다양한 목적으로 제작될 수 있다.

 

악성코드도 하나의 프로그램이기 때문에 단순히 프로그램을 제작하는 것으로 생각하면 아무런 문제가 없다. 하지만, 어떤 악성코드가 연구목적으로 작성되었다고 해도 실수로 유출되거나 타인에 의해 배포되면 다른 사람들이 피해를 입힐 수 있기 때문에 처음 의도와는 상관없이 철저한 책임감이 필요하다. 러시아 등 일부 국가에서는 악성코드 제작 자체가 벌금형에 처해진다고 한다.

 

현재 일부 국가에서 범죄자를 수사하거나 사이버 전쟁에 대비해 악성코드를 제작하려 한다는 소문이 파다하다. 이 역시 악성코드의 군사적 이용이 정당한가 하는 윤리적 문제가 발생한다.

 

일부 테스터들은 백신 제품의 성능 테스트를 위해 기존 악성코드를 변조하거나 새롭게 만들기도 한다. 이에 찬성하는 입장은 백신 제품의 알려지지 않은 악성코드 진단 능력에 대한 검증을 위해 필요하다는 의견이며 반대하는 측에서는 테스트를 위한 악성코드 제작 및 변조도 윤리적 문제가 존재하고 악성코드 변조의 경우 실제 실행되지 않는 경우도 있어 불필요한 테스트라는 주장도 있다.

 

악성코드 제작 교육
악성코드가 보안의 주요 이슈로 떠오르면서 보안 관련 과목에서 악성코드 제작에 대한 수업이 진행되었다. 학생들에게 악성코드 제작 원리를 설명하고 실제로 악성코드 제작을 과제로 내는 일이 일어났다.

 

2003년 5월 캐나다 알베르타주(Alberta) 캘거리 대학(The University of Calgary)에서 안티 바이러스 기술을 기르기 위해 바이러스 제작이 교과목으로 채택되어 논란이 일었다. 우리나라에서도 2002년 모 대학에서 바이러스-웜 제작이 과제로 나와 국내 보안업체로 샘플이 보내진 일이 있었다.

 

악성코드 퇴치를 위해 악성코드를 이해해야 하고 이를 위해 악성코드 제작이 필요하다고 생각하는 사람들은 악성코드 제작을 찬성한다. 하지만, 이에 반대하는 입장의 사람들은 악성코드 분석과 제작은 다른 기술로 굳이 악성코드를 제작할 필요가 없다고 말한다. 또한 이들은 악성코드 제작 기법이 알려질수록 악성코드가 증가할 것이라고 주장하고 있다. 또 현존하는 악성코드에 대해 대응하기에도 벅찬 현실에서 존재하지 않는 악성코드까지 만들 필요는 없다고 역설한다.

 

제작 기법이 담긴 소스 코드 공개
처음 바이러스가 발견되었을 때 바이러스를 분석한 사람들이 분석 원리를 담은 소스 코드를 함께 공개했다. 우리나라에서도 안철수 박사는 브레인 바이러스의 분석 결과를 마이크로소프트웨어지에 싣고 이를 퇴치하는 백신 프로그램의 소스도 공개했었다. 하지만, 백신 프로그램 소스코드가 공개된 후에는 진단 위치 내용만 바꾼 변형이 등장하고 공개된 바이러스 소스코드를 분석해서 새로운 바이러스를 만들어내는 일이 잦아지면서 바이러스 소스코드나 원리가 담긴 분석 결과를 함부로 공개하지 않게 되었다.

 

이런 시행착오를 겪으면서 소스 코드의 공개가 얼마나 큰 문제를 일으키는지 알 수 있기 때문에 소스 코드 혹은 악성코드의 일부분도 공개를 금지했었다. 하지만, 정보 공유를 외치며 랄프 버거(Ralf Burger)의 ‘컴퓨터 바이러스: 하이테크 질병(Computer Viruses: A High-Tech Disease)’과 같은 책이 나오면서 수 많은 변형 바이러스들이 등장하게 된다. 국내에서도 이를 번역한 번역서가 나와 초기 국내 바이러스 제작에 지침서가 되었으며 여전히 악성코드 제작법을 담은 책은 종종 발간된다. 현재는 인터넷을 통해 악성코드 소스 코드는 쉽게 구할 수 있다.

 

악성코드 제작 원리를 공개하는 사람들은 정보 공유를 앞세우고 있다. 하지만, 악성코드 제작 기법이 공개될수록 악성코드 제작을 조장할 수 있다는 반대 여론도 강하다.

 

2. 보안 업체 윤리
악성코드 샘플을 보유하고 다루는 백신 업체뿐 아니라 보안 업체는 악성코드와 관련된 윤리적인 문제가 발생한다.

보안업체 윤리를 망각한 업체가 자신의 지식을 이용해 역으로 해킹을 한 후 자사의 제품을 팔거나 허위 보안 프로그램으로 돈을 버는 사례는 종종 있다. 따라서, 보안업체는 기술뿐 아니라 윤리 의식도 매우 중요함을 알 수 있다.

 

연구목적 악성코드 제작
몇몇 보안업체에서 악성코드 퇴치 목적으로 악성코드를 제작하는 것은 문제가 없다는 주장과 연구를 위한 목적으로도 악성코드를 제작하는 건 옳지 않다는 주장이 팽팽히 맞서고 있다.

 

악성코드의 종류에 따라 윤리적 문제는 달라 질 수 있다. 기본적으로 보안업체에서 금지하는 악성코드 제작은 웜과 바이러스처럼 자체 전파 기능을 가지고 있는 경우이다. 트로이목마의 경우 특정 종류는 정상 프로그램과 종이 한 장 차이이며 취약점을 연구하는 보안 업체의 경우 취약점증명을 위해 익스플로잇 코드를 제작해 보는 게 보편화되어 있어 기존 백신업체와 다른 보안 업체간 시각 차이가 존재한다.

 

백신 업체의 가장 대표적인 악성코드 제작에 대한 금기 사항으로 매크로 바이러스 사례가 있다. 워드 95에서 작성된 매크로 바이러스가 포함된 문서가 워드 97에서 읽으면 자동으로 매크로 바이러스 코드가 변경되어 기존 백신에서 진단되지 않는 문제가 발생했다. 이에 업체에서는 기존 워드 95 매크로 바이러스를 워드 97에서 실행해 생성되는 코드로 고객을 보호하기 위해 워드 97에서 기존 바이러스를 실행해보자는 주장과 그런 행동은 새로운 바이러스 제작이므로 윤리상 백신업체에서 하지 말아야 하는 일이라는 주장이 나왔다. 이에 워드 97로 테스트하려면 바이러스 코드 중 자체 전파 기능을 제외한 일부 기능만으로 한정해 테스트하자는 중재안이 나왔다.

 

악성코드 샘플 교환 및 배포
현재 백신 업계에서는 신뢰할 수 있고 악성코드에 대한 분석이 가능한 사람들끼리 샘플을 포함한 여러 가지 정보를 공유하고 있다.

지금도 여전히 많은 사람들이 백신 업체 같은 보안 업체에서 악성코드를 제작해 배포하는 게 아닐까 하는 의혹을 가지고 있다. 이런 의혹에 자유롭기 위함과 악성코드 샘플이 유출되어 악용될 경우 문제가 발생할 수 있어 악성코드 샘플 교환은 신뢰할 수 있는 사람 혹은 업체들로 한정되어 있다.

 

악성코드 제작자 채용
정상적인 보안 업체라면 일반적으로 과거 악성코드를 제작한 경험이 있거나 넓게는 악성코드 제작자에 도움을 준 사람을 고용하지 않는다. 악성코드 제작자를 채용하는 일은 윤리상 문제가 발생할 수 있으며 그 사람을 신뢰할 수 있는가 하는 의구심이 크기 때문이다. 하지만, 이런 악성코드 제작자 채용은 백신 업체와 다른 보안 업체 사이에 엄격함이 다를 수 있다.

 

샘플을 이용한 금전적 거래
새로운 업체가 백신 시장에 쉽게 뛰어들지 못하는 건 바로 과거에 발견된 수 많은 악성코드와 새롭게 발견되는 악성코드가 빨리 접수되지 않기 때문이다. 이에 악성코드 샘플을 신고하면 경품이나 현금을 제공하는 업체가 존재한다. 하지만, 악성코드 샘플에 금전적 대가가 따르면 악성코드 제작을 부채질 할 수 있어 대부분의 업체에서 금지하고 있다. 따라서, 백신 업체들끼리 샘플 교환에는 기본적으로 금전적 대가가 없다.

 

특정 목적 백도어 진단
정부에서 범죄 용의자 수사나 군사적 목적으로 제작한 악성코드를 백신업체에서 진단해야 하는가 하는 윤리적인 문제가 발생할 수 있다.

 

2001년 미국연방수사국(FBI)는 범죄 용의자의 컴퓨터에서 증거를 수집하기 위한 프로그램을 제작하기로 했다. 마법램프(Magic Lantern) 프로젝트로 알려져 있는데 문제는 백신 프로그램이 이들 프로그램을 진단할 수 있고 제거 될 수 있다는 점이다. 이에 미국 백신 업체들로부터 이런 프로그램 진단을 제외해 줄 것을 요청했다. 이들 프로그램을 진단하지 않겠다는 회사와 진단해야 한다는 업체로 나뉘게 된다. 영국에서도 영국 경찰이 법원 영장 없이 수상한 사람의 시스템에 키로거 등을 설치해 의심스러운 행동을 감시하려는 법안 논쟁이 있었다. 이에 영국 소포스에서는 ‘우리는 경찰이든 누구든 사용자의 컴퓨터에 악성코드나 스파이웨어를 설치하더라도 예방할 것이다’라고 했다.

 

지나친 악성코드 경고
2009년 현재 하루에 2-3만 개의 새로운 악성코드가 발견되고 사용자들에게 피해를 주고 있다. 수 많은 악성코드를 모두 경고할 경우 사람들은 불필요하게 겁을 먹을 수 있고 심해지면 악성코드 경고에 둔감해지는 문제가 발생할 수 있다. 이에 주요 백신 업체에서는 단순히 마케팅 목적이 아닌 실제 사용자들에게 피해가 심한 악성코드에 대해서만 경고를 내고 있다.

 

지나친 악성코드 경고와 관련된 사건은 1992년 미켈란젤로 바이러스 경고 사건과 1999년 12월에 발생한 Y2K 바이러스가 있다. 1992년 매년 3월 6일 하드디스크를 파괴하는 미켈란젤로 바이러스가 언론을 통해서 대대적으로 알려졌다. 하지만, 실제 일부 백신회사에서 이 바이러스를 지나치게 과장한 것으로 드러났다. 한 예로, 미국의 모 백신 업체는 최소 5 백 만대의 컴퓨터가 이 바이러스에 감염되어 있다고 밝힌 적이 있다. 하지만, 실제 피해는 1만 대였다. 미켈란젤로 바이러스 특수로 상당수의 백신 업체가 엄청난 매출 상승이 발생했으며 이 사건으로 점점 상업화 되어가는 백신업계 내부의 자성의 목소리가 나왔고 백신업체간 불필요한 바이러스 경고를 비판하기 시작했다.

 

1999년 12월 말은 Y2K 문제와 함께 Y2K 바이러스로 시끄러웠다. 영국 소포스 사의 그라함 클루니(Graham Cluley)는 바이러스 블루틴 컨퍼런스에서 Y2K 바이러스는 존재하지 않으며 백신업체는 불안을 이용한 마케팅을 하지 말 것을 촉구했다. 하지만, 몇몇 업체에서 Y2K 바이러스를 이용한 마케팅으로 업체간 마찰도 있었다.

 

고객 정보 공개
매일 많은 기업에서 악성코드에 감염되고 피해를 입고 있다. 하지만, 이 사실이 외부로 알려진 경우 해당 업체의 대외 이미지에 문제가 발생 할 수 있으므로 고객의 동의가 없을 때 고객 피해 정보를 외부로 유출해서는 안 된다.

3. 윤리 헌장
2001년 10월 AVIEN에서 안티 바이러스와 관련된 윤리헌장을 발표했다. 주요 내용은 다음과 같다.

 

- 나는 악의적인 목적과 관련된 어떠한 코드도 제작하지 않으며 정보를 신중히 공개할 것이다.
- 고객들의 비밀을 보장할 것이다.
- 나는 교육을 통해 악성코드와 관련된 과장된 내용, 헛소문, 잘못된 정보를 없앨 것이다.

 

4. 결론
악성코드와 관련해 일반인, 개발자뿐 아니라 보안 업체는 여러 가지 윤리적 문제에서 자유로울 수 없다. 보안 업체에 높은 도덕성을 기대하는 이유는 보안 업체는 악성코드나 해커로부터 고객들을 지켜 줄 수 있지만 반대로 자신의 기술력을 악용할 경우 고객에게 피해를 줄 수 있기 때문이다. 최근 부쩍 보안업체를 가장한 사기 업체가 증가하는 현실에서 보안 관련 일을 하는 업체들의 보다 강력한 윤리성이 필요한 때이다.

 

참고자료
[1] Nick FitzGerald, Do you know the way to VBA?, Virus Bulletin August 1997, pp.17 ? 19
[2] Vesselin Bontchev, The wrong way, Virus Bulletin October 1997, pp.14-17
[3] Anti-Virus Information Exchange Network Code of Conduct, Virus Bulletin December 2001, p.8
[4] David Harley, “AV Testing sans virus creation”, Virus Bulletin, October 2006, pp.6-7
[5] David Harley, “I’m ok, you’re not ok”, Virus Bulletin, November 2006, pp. 6-7
[6] Righard Zwienenberg, “Magical lights shine on you”, Virus Bulletin, April 2007, p.2
[7] Richard Ford & William H. Allen, ‘Malware Teaching considered harmful?’, Virus Bulletin, September 2008, pp.11-13
[8] 윤리적 해커를 키워라~ (http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=13661)
[9] Dr. Vesselin Bontchev, ‘The Responsibilities of the Anti-Virus Researcher”, AVAR2001
[10] Sophos versus police spyware in ‘legal hacking’ debate’ (http://www.sophos.com/blogs/gc/g/2009/01/05/sophos-police-hacking)
[11] 안철수, ‘바이러스 뉴스 2호’, 성안당, 1991년
[12] 차민석, “악성코드와 음모론 1. 악성코드는 백신 업체에서 만들어 퍼뜨린다?”, http://kr.ahnlab.com/infoView.ahn?seq=9968&page_num=1&keyStr=&category=01

 

칼럼니스트               차민석 | 안철수연구소 악성코드 분석가

 

안철수연구에서 악성코드 분석 및 연구를 하고 있으며 “IT 칼럼니스트”로 활동 중이다. ‘쿨캣’이라는 필명으로 더 알려져있으며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.