본문 바로가기
AhnLab 보안in

포인트 적립, 캐시백, 리워드 프로그램 뒤에 숨은 불편함

by 보안세상 2020. 4. 6.

2008.12.17

 

리워드(Reward)는 고객이 물건을 구매하거나 서비스를 이용할 때 다양한 보상을 통해 고객의 충성도를 높이는 마케팅 전략이다. 일반적으로 ‘캐시백’, ‘포인트’ 등의 이름으로 실생활에서 자주 접할 수 있다. 최근 인터넷상에서도 ‘리워드’, ‘적립’, ‘캐시백’ 등의 단어를 포함하고, 다양한 제휴 쇼핑몰을 이용할 경우 추가 현금 적립을 해 준다는 리워드 프로그램의 수가 급격히 증가하고 있다. 리워드 프로그램은 클라이언트에 설치되는 소프트웨어로 인터넷 쇼핑몰과 제휴를 맺고 리워드 프로그램을 사용하는 고객이 제휴 쇼핑몰에서 상품을 구입할 경우에 발생하는 수수료를 수익 모델로 하고 있다.

 

리워드 프로그램은 수수료 수익 중 일부를 전자포인트 형태로 자신의 서버에 적립해 주며 여러 제휴사에서 각자 제공하는 포인트와는 별도의 포인트를 관리할 수 있게 해 준다. 또한 적립된 포인트가 약관에서 명시한 금액이 넘는 경우 현금으로 사용자에게 환원하는 서비스를 제공한다.

[그림1] 수많은 리워드프로그램 제작사 홈페이지


인터넷 리워드 비즈니스 모델

 

인터넷 쇼핑 소비자의 입장에서 볼 때, 많은 소비자들이 인터넷 쇼핑몰을 이용해 상품을 구입하고 있으며, 좀더 유리한 조건에서 구매하기 위해 가격비교 사이트에서 제품을 검색하는 수고도 마다하지 않는다. 여러 사이트 중 가장 저렴한 제품을 찾고자 하는 알뜰한 구매자에게 추가 적립금을 제공하고, 많은 사이트의 적립금을 한번에 관리할 수 있는 기능을 제공하는 리워드 프로그램은 구매자에게 진정 유용한 프로그램일 것이다.

 

인터넷 쇼핑 사업자의 경우 보다 많은 매출을 달성하기 위해서는 더 많은 고객의 방문을 유도해야만 한다. 쇼핑몰의 주소를 인터넷 주소창에 직접 입력하고 필요한 물건을 구매하는 소비자도 있지만 가격비교나 인터넷 검색 등 다른 방법을 활용하는 경우도 많다. 가격비교 사이트나, 인터넷 포털 사이트에서 제품에 대한 정보를 검색하는 것은 잠재적인 고객일 확률이 높아지기 때문에 인터넷 쇼핑업체에게 검색 고객의 확보는 필수적이라 할 수 있다. 더 많은 고객 확보를 위해서 많은 인터넷 쇼핑몰들은 인터넷 포털 사이트나 가격비교 사이트와 제휴를 맺고 자사의 제품정보와 가격정보를 보다 많이 노출함으로써 고객의 방문을 유도하고 있다. 더 많은 고객을 확보해야 하는 인터넷 쇼핑몰에게 리워드 프로그램은 인터넷 포털 사이트나 가격비교 사이트와 동일한 고객 확보 경로라 할 수 있다.

 

이렇듯 리워드 프로그램은 많은 고객을 확보해야만 하는 인터넷 쇼핑몰과 알뜰한 쇼핑을 하려는 구매자 간의 필요성이 상호 충족하기에 발생한 훌륭한 인터넷 비즈니스 모델이라 할 수 있다.

 

리워드 프로그램의 문제점

 

구매자와 판매자 모두에게 좋은 비즈니스 모델로 자리잡아야 할 리워드 프로그램은 현재 인터넷을 통한 프로그램 배포와 관련된 규정의 부재로 인해 서비스 사업자의 불법은 아니지만 잘못된 수익창출 형태와 우후죽순 생겨나는 여러 업체간의 부정 경쟁을 통해 많은 문제를 양산하고 있다.

  1.  부정수익 창출

 

리워드 프로그램은 고객의 동의[1]를 받고 시스템에 설치되어 동작하는 클라이언트 프로그램이다. 클라이언트 프로그램은 PC에 설치되어 동작하는 프로그램을 의미하며 설치된 PC에서 발생하는 이벤트를 통제할 수 있다. 일부 리워드 프로그램의 경우 PC에서 제휴 쇼핑몰을 거쳐 온라인 쇼핑몰로 전해지는 트래픽을 조작하여 제휴마케팅 윤리에 혼란을 초래하고 있다.(디지털타임즈 2008.11.16: ’리워드사이트’ 유통질서 흐린다[2])

  [그림 2] 쇼핑몰-제휴사간 수익흐름 (출처: 디지털타임즈 2008.11.16)

  2. 부적절한 프로그램 배포방식과 부적절한 동의

 

제작사에서 리워드 프로그램을 제작하는 목적은 수익의 창출이다. 리워드 프로그램을 통해 수익을 창출하기 위해서는 보다 많은 PC에 자신이 제작한 프로그램을 설치해야 한다. 잘 알려지지 않은 홈페이지를 통해서 프로그램을 배포하는 것은 한계가 있기 때문에 리워드 프로그램은 유명 사이트의 툴바나 P2P프로그램, 고전게임[3] 등 사용자가 많이 찾는 프로그램의 번들(끼워넣기) 형식으로 설치가 되고 있다.

 

최근 무료로 서비스하는 고전 게임 프로그램들의 경우 서비스를 이용하기 위해 설치해야 하는 프로그램과는 전혀 무관한 프로그램을 번들 형식으로 설치하는 경우가 많이 늘고 있다. 이러한 방식으로 프로그램이 설치되는 경우 함께 프로그램의 목적을 사용자가 잘 인지할 수 없으며, 설치되는 프로그램의 경우 모든 프로그램은 각각에 대하여 동의를 구해야만 한다.[4] 그러나 이렇게 설치되는 프로그램은 일반적으로 정상적인 패키지 프로그램을 설치할 때와는 다른 방법으로 동의를 얻고 있다.

 

[그림 3] 다수의 번들을 설치하는 고전게임 홈페이지

아래는 최근 리워드 프로그램 설치를 위해 가장 많이 이용되는 오락실게임 사이트를 통한 번들 프로그램 설치에 대해서 확인해 보았다.

[그림 4] 고전게임 사용자동의 형식


[그림 4]는 인터넷을 통해 손쉽게 구할 수 있는 고전게임 설치프로그램을 실행했을 때 사용자의 동의를 구하기 위해 화면에 보여지는 동의창이다.

 

[그림 4] 왼쪽의 경우 특정 웹사이트를 시작페이지로 설정하고 리워드 프로그램을 설치하는 기능에 대한 동의를 구한다. 시작페이지는 고전게임 홈페이지를 예상할 수 있으나, 실제는 키워드 검색사이트로 시작 페이지를 고정하는 것이다. 리워드 프로그램 설치의 경우 오락 프로그램과 전혀 무관한 다른 프로그램이며, 다른 프로그램을 설치하기 위해서 리워드 프로그램에 대한 약관을 출력하고 동의를 구해야 한다. 그러나, 해당 동의창의 경우 하나의 텍스트박스에서 마우스 포인터를 ‘쇼핑리워드’ 프로그램 설치’에 올리면 약관이 변환되어 마치 쇼핑 리워드 프로그램의 정상적인 동의까지 받는 것으로 속인다.

 

[그림 4] 오른쪽의 경우 또 다른 동의 방식을 사용한다. 고전게임을 설치하기 위해 프로그램을 실행하면, 인터넷주소변환프로그램, 즐겨찾기 등록, 인터넷 검색 도우미, 리워드 프로그램, 명의도용 차단 프로그램 등 7개의 프로그램이 번들(끼워넣기) 형식으로 설치된다. 다수의 번들 프로그램을 포함하는 동의창의 목록 아래에 표시된 각 프로그램 목록을 더블클릭하는 경우 약관이 표시된 웹사이트를 표시해 동의창을 확인할 수 있게 하였다.

 

추억에 잠겨 고전게임을 즐기기 위해 프로그램을 설치하는 사이 전혀 무관한 리워드 프로그램이 설치되었다. 이 경우 고전게임을 설치한 사용자는 리워드 프로그램의 설치에 대해 동의를 했으나 리워드 프로그램의 활용에 필요한 최소한의 정보인 포인트적립이 가능한 제휴사와 각 제휴사에 대한 적립 비율 등을 잘 이해하고 설치를 했다고 할 수 없다. 또한 리워드 프로그램 설치의 원천적인 기능인 보상의 관점에서 리워드 프로그램 제작사에는 제품을 설치한 사용자에 대한 최소한의 신상정보가 없기 때문에 설치된 PC에서 제휴 쇼핑몰로 구매가 발생하더라도 적립금을 저장할 계정정보를 가지지 않는다. 이 것은 고객에게 보상을 하겠다는 리워드 프로그램의 존재 이유에 의문을 가지게 하는 동시에 구매를 통해 발생한 수수료 수익이 정당하다고 볼 수 없다.

 

  3. 비윤리적인 경쟁을 통한 사용자 피해

 

많은 업체에서 리워드 프로그램을 제작에 참여하고 있으며, 하나의 업체에서 두 개 이상의 제품을 배포하는 등 그 수적 증가가 아주 빠르다. 이렇듯 많은 프로그램이 존재하고, 번들 등 다양한 방법으로 배포하는 특성상 하나의 PC에 여러 개의 리워드 프로그램이 설치되어 있을 수 있다. 이 경우 쇼핑몰에 제휴사 정보를 전달하는 과정에서 문제가 발생할 수 있으며, 다수의 리워드 프로그램이 서로 충돌을 일으켜 시스템에 문제를 일으킬 수 도 있다. 이러한 문제점을 해결하기 위해 리워드 프로그램들은 여러가지 자기방어 체계를 가지고 있다.

 

[그림 5] 레지스트리 설정을 변경해 다른 프로그램의 ActiveX 설치를 방해

일부 리워드 프로그램은 자신의 정상동작을 위하여 다른 리워드 프로그램의 실행을 종료하고 프로그램의 일부를 삭제하거나, 경쟁 프로그램의 설치를 방해하는 기능을 포함하기도 한다. [그림 2-5]는 Win-Downloader/PointGuide.205312가 설치되면서 윈도우 레지스트리에 CLSID를 등록해 PC에 다른 리워드 프로그램이 설치되는 것을 방해하는 것이다. 이 경우 CLSID목록은 웹사이트에 저장되어 있으며, 프로그램 업데이트를 통해 변경이 가능한 것을 확인할 수 있었다.

 

시스템에 설치되어 실행중인 프로그램이 정상적으로 삭제되지 않고 일부 프로그램만 삭제된다면 시스템의 운영에도 문제가 발생할 수 있으며, 삭제된 프로그램이 사용자가 사용하는 프로그램인 경우 사용자는 영문도 모르고 시스템 가용성에 손상을 받는다. 또한 일부만 삭제된 프로그램은 쓰레기파일로 전락해 디스크의 공간만 차지할 수 도 있다.

 

   4.     리워드 프로그램은 스파이웨어가 아니다?

 

2007년 (구)정보통신부에서는 스파이웨어 기준안과, 각 기준에 대한 사례[5]를 [표 2-1]과 같이 정의하였다. 이 기준에 따르면 적절한 사용자의 동의 없이 다른 프로그램이 다른 프로그램의 실행을 방해하거나 삭제하는 등의 행위를 하는 프로그램을 스파이웨어로 규정하고 있다. 이 기준안에서는 사용자 동의에 큰 비중을 두고 정상프로그램과 스파이웨어를 구분하고 있다. 따라서 리워드 프로그램의 경우 적절한 사용자의 동의를 받지 않았을 때만 스파이웨어로 분류할 수 있는 것이다.

 

[표 1] 스파이웨어 기준안

 

사용자 동의에 따라 정상 프로그램과 스파이웨어가 구분되는 현재 기준에 따라서 비록 사용자가 자신의 PC에 설치되는 프로그램의 기능과 성격을 정확하게 인지하지 못하더라도 형식적인 동의 과정만 갖춘다면 문제가 없는 상황으로 리워드 프로그램은 사용자에게 거부감 없이 동의를 구하기 위해 계속해서 진화하고 있다.

 

 소프트웨어 이용 약관 모두 읽어야 한다!

 

‘약관[6]’이란 계약의 당사자가 다수의 상대편과 계약을 체결하기 위하여 일정한 형식에 의하여 미리 마련한 계약의 내용을 의미한다. 일반적으로 현재 유통되는 소프트웨어 프로그램 설치 시에도 소프트웨어 이용 약관을 접할 수 있다. 그러나, 인터넷을 통해 프로그램을 설치할 경우 복잡한 약관을 주의 깊게 읽는 사람은 많지 않다.

사용자가 불편을 느껴 프로그램을 ASEC으로 접수하더라도 그 프로그램의 설치 시점에서 사용자 동의 과정이 존재한다면, 특별한 추가 사유가 없는 이상 스파이웨어로 분류하기 어렵다. 비록 약관의 내용과 동의 과정이 납득하기 어렵지만 동의 여부를 중요하게 여기는 스파이웨어 분류 기준으로는 사용자가 조심할 수 밖에 없다. 스파이웨어의 동작을 수행하는 프로그램도 약관에 행위를 기술한다면 그 방법과는 관계없이 동의과정을 거친 프로그램은 스파이웨어 분류를 할 수 없다는 약점이 있기 때문이다. 이 것이 각 개별 사용자 스스로가 소프트웨어 이용약관을 자세히 읽어야 하는 까닭이다.

 

[ 2-2] 문제가 될 수 있는 소프트웨어 이용약관 유형

 

문제가 될 수 있는 소프트웨어 이용약관 사례

 

리워드 프로그램의 약관중 사용자에게 불편을 끼칠 가능성이 있는 사례는 아래와 같다.

 

*** (리워드프로그램)
-------------------------------------------------------------------------------

 

 ?? . 손해배상  책임

1. *** 무상 배포되는 *** 프로그램의 사용과 관련하여 사용자 또는  3자에게 발생하는 어떠한 형태의 손해에 대하여도 배상을 하지 않습니다.

->시스템이나 사용자 개인 정보 유출 등과 관련하여 발생 가능한 어떤 문제도 책임지지 않겠다는 의미로 해석 가능하다.

 

 ?? . 개인정보  인터넷 사용정보 수집과  활용

 

5. 자동업데이트에서는 사용자의 컴퓨터에 피해를 끼치는 컴퓨터 바이러스 등의 악성 프로그램이 아닌, 상업적 용도의 프로그램이나 기타 *** 서비스 향상을 위해 필요하다고 판단되는 프로그램들을 필요에 따라 임의의 파일이 사용자의 컴퓨터에 설치될  있으며, 설치  사용자의 동의를 추가로 구하지 않고  내용은 사용자가 약관동의를 함으로써 갈음합니다.

 

-> 사용자는 자신의 PC에 어떤 프로그램이 설치되어 동작하는지 알 수 없다.

 

6. 사용자는 *** 이용해서 인터넷 이용  타사의 상업적 내용들을 제거할  있습니다. ,  경우 해당 인터넷 서비스업체와의 모든 문제는 사용자의 권리와 책임으로 하며, *** 상업적 내용은 제거되지 않을  있습니다.

 

-> 시스템에 설치된 다른 애드웨어의 동작을 방해하거나, 웹 페이지에 표시되는 광고 내용을 조작할 수 있으며, 이로 인해 발생하는 모든 책임은 사용자에게 있다.

 

9. *** 설치  자동으로 사용자의 인터넷 브라우저의 설정  *** 서비스 관련 URL 신뢰할  있는 사이트로 추가하며, 변경된 설정은 사용자가 인터넷 옵션에서 다시 변경할  있습니다.  경우 *** 서비스가 정상적으로 동작하지 않을  있습니다.

 

->  사용자 시스템의 보안 설정을 변경하는 행위로 약관에 포함되지 않았다면 스파이웨어의 행위에 해당. 해당 사이트가 신뢰할 수 있는 사이트로 추가될 경우 해당 사이트에서 배포되는 모든 ActiveX 컨트롤이 경고 없이 실행될 수 있다.

 

10. *** 사용자가 컴퓨터에서 입력한 키워드를 검색  결과표시를 위해서 사용자의 컴퓨터이외로 전송할  있으며, ***  키워드를 상업적 목적으로 사용하거나 3자에게 익명으로 제공  있습니다.

 

-> 사용자의 인터넷 사용기록을 외부로 전송하는 행위로 스파이웨어 행위로 의심할 수 있-다.

 

---------------------------------------------------------------------------------

### 툴바 (리워드프로그램)

---------------------------------------------------------------------------------

5. 자동업데이트에서는 사용자의 PC 피해를 끼치는 컴퓨터 바이러스 등의 악성 프로그램이 아닌, 상업적 용도의 프로그램이나 기타 ### 회사가 서비스 향상을 위해 필요하다고 판단되는 프로그램들을 필요에 따라 임의의 파일이 사용자의 컴퓨터에 설치될  있으며, 설치  사용자의 동의를 추가로 구하지 않고 이내용은 사용자가 약관동의를 함으로써 갈음합니다.

 

6. 사용자는 ### 툴바를 이용해서 인터넷 이용  타사의 상업적 내용들을 제거할  있습니다. ,  경우 해당 인터넷 서비스업체와의 모든 문제는 사용자의 권리와 책임으로 하며, 대출### 회사의 상업적 내용은 제거되지 않을  있습니다.

 

8. ### 툴바는 사용자가 검색엔진이나 주소창 등에서 검색어를 입력하여 나타나는 결과와 연관되는 3자의 상업적 내용을 사용자의 PC 전송할  있습니다.

 

9. 회사는 사용자의 PC 다른 사용자들의 사용편의를 위해서 P2P서비스의 중간 매개로서 사용할  있습니다.

 

10. ### 툴바 설치  자동으로 사용자 브라우저의 스크립트 오류메시지를 보지 않음으로 변경하며, 변경된 설정은 사용자가 인터넷 옵션에서 다시 변경할  있습니다.

 

 경우 사용자가 변경한 설정에 의해서 스크립트 오류 메세지가 나타날  있습니다.

 

11. ### 툴바는 사용자가 PC에서 입력한 키워드를 검색  결과표시를 위해서 사용자의 PC이외로 전송할  있으며, ###  회사는  키워드를 상업적 목적으로 사용하거나 3자에게 익명으로 제공  있습니다.

 

---------------------------------------------------------------------------------
위와 같이 사용자에게 불리한 약관이 있는 줄 모르고 프로그램을 설치하게 되면 예기치 못한 불편에 직면할 수 있다.

 

약관의 경우 일방 당사자의 의견이 강하게 반영되기 때문에, 상대방 다수에게 불이익을 줄 우려가 있는 '불공정약관[7]'은 규제대상이 되어야 한다. 약관의 불공정 여부는 공정거래위원회에서 '약관의 규제에 관한 법률'에 의거해 심사하며, 고객에 대하여 부당하게 불리한 조항 등 불공정약관은 무효로 할 수 있으나 이 것은 계약 당사자가 스스로 부당함을 인지하고 조정을 요청해야 하는 문제를 가지고 있다. 수많은 소프트웨어 제품이 홍수처럼 쏟아져 나오고 있는 지금 사용자가 스스로 사용하는 모든 프로그램의 약관을 읽고 공정성여부를 판별해 대응한다는 것은 현실적으로 어렵다. 관련 기관 및 백신소프트웨어 제작 업체에서는 이러한 문제를 인식하고, 사용자에게 피해를 주는 행위를 정당화하는 소프트웨어 이용약관이 개선될 수 있도록 노력을 해야 한다. 더불어 법적 재제장치가 마련될 때까지 피해자로 방치될 가능성이 큰 PC 사용자들은 프로그램을 내려 받을 때 약관을 살피는 주의를 기울여야 한다.

각주----------------------------------------------------------------
[1] 여기서 언급하는 ‘동의’는 정상적인 프로그램 설치 과정에서 발생하는 일반적으로 알려있는 동의 형태가 아닐 수도 있다.
[2] 기사원문 http://www.dt.co.kr/contents.html?article_no=2008111702010151727002
[3] 고전게임은, 개인에 따라 기준은 다르지만, 주로 짧게는 5년~ 길게는 20여년 전의 어렸을 때 자신 혹은 많은 사람들이 즐겨 했던 게임을 일컫는다.
[4] 스파이웨어 사례집 http://www.boho.or.kr/infor_data/Spyware2007.pdf
[5] http://www.boho.or.kr/infor_data/Spyware2007.pdf
[6] http://terms.naver.com/item.nhn?dirId=108&docId=7750
[7] http://terms.naver.com/item.nhn?dirId=701&docId=3317



출처 : 안철수연구소 ASEC리포트 11월호