기술이 발전하면서 여러가지 생활은 편리해졌다. 하지만, 그 기술이 오히려 사람을 감시하고 통제할 수 있는 상황이 되면서 많은 사람들이 사생활(프라이버시) 보호에 관심을 가지게 되었다. 개인용 컴퓨터 역시 인터넷과 연결되면서 개인의 정보 혹은 사생활이 외부로 유출될 수 있는 문제가 부각되었다.

웜, 바이러스, 트로이목마와 같은 악성 코드를 통해서도 개인 정보 유출이 되지만 사용자들의 잘못된 습관 혹은 프로그램의 문제로 개인 정보가 유출 될 수 있다. 최근 스파이웨어로 불리는 불리는 프로그램에 의해 개인의 성향이 수집되고 개인 정보가 유출 될 수 있는 등의 문제가 발생하고 있다.

이 글에서는 스파이웨어의 정의에 대해 알아보고 스파이웨어의 위험성과 그와 함께 과장된 부분에 대해서도 알아 보겠다.


1. 스파이웨어, 혼란의 시작

많은 사람들이 스파이웨어(Spyware)라고 하면 스파이라는 용어에서 개인 정보 유출을 가장 먼저 떠오른다. 하지만, 스파이웨어는 정확하게 개인 정보 유출 보다는 개인 정보 수집의 목적이 있다. 정보 유출은 프로그램 제작자가 고의로 개인의 정보를 빼가기 위해서 악성 코드를 제작하는 것이다. 하지만, 개인 정보 수집은 주로 광고에 활용하기 위해서 사용되는 것이다.

즉, 이들 프로그램 제작자들은 개인의 비밀번호, 신용카드 정보가 필요한 것이 아니라 개인이 어떤 웹사이트를 방문하며 어떤 것에 관심이 있는가를 수집하는 역할을 한다. 백신 업체에서 보면 이는 일종의 영업 활동이므로 악의적인 행동이라고 볼 수 없어 진단하지 않는 정책을 취하게 된다.

하지만, 온라인 마케팅 업자들은 개인의 컴퓨터에 몰래 혹은 사람들이 잘 읽어보지 않는 동의서에 한 줄 넣어 사용자 동의를 얻어 특정한 프로그램을 설치해 개인 정보를 수집하게 되었다. 이에 반기를 든 사람들이 스파이웨어 진단 프로그램을 만들어 배포하기 시작했다. 문제는 스파이웨어에 대한 용어의 통일성과 기준이 명확하지 않다는데 있다.

스파이웨어는 국내에서는 악성코드(백신업체에서 부르는 악성코드와는 다른 의미임), 트랙웨어(Trackware), 페스트(Pest), 비 바이러스(Non-virus) 등으로도 불리고 있으며 업체 별로 스파이웨어에 대한 정의와 범위가 제각각이다. 기본적으로 개인 사생활을 침해 할 수 있는 유형은 스파이웨어라고 부르지만 백신 업계 등 기존 보안 업체에서 처리하고 있던 백도어(Backdoor)류의 트로이목마도 일부 업체에서는 스파이웨어에 분류 하고 있다.

특히 몇몇 업체는 제품 홍보를 위해서 일부 트로이목마를 진단하면서 모든 악성 코드를 진단하는 것처럼 광고 하고 있다. 많은 사용자들이 스파이웨어에 대해서 잘못된 오해를 일으키고 있다. 안철수연구소는 악성코드 외 사용자 컴퓨터를 위협할 수 있는 형태를 유해가능 프로그램으로 분류하고 있으며 스파이웨어가 많이 알려져 있어 편의상 스파이웨어로 정리했다. (자세한 내용은 백신 회사와 안철수연구소의 스파이웨어 정책 참고)

따라서 안철수연구소의 스파이웨어를 "유해가능 프로그램 중 사용자가 명확히 해당 프로그램의 목적을 알지 못하고 설치되어 사용자의 사생활을 침해할 수 있는 프로그램"으로 정의한다. 하지만, 일반 사용자들은 스파이웨어를 "자신의 허락을 받지 않고 설치되어 자신도 모르게 실행되는 프로그램"으로 받아 들이고 있다.



2. 스파이웨어의 문제점

스파이웨어로 발생할 수 있는 문제점은 다음과 같다.

1) 개인 정보 유출 가능성
2) 시스템 속도 저하
3) 버그 등으로 인한 시스템 문제 발생 가능성
4) 심리적 불안감

스파이웨어 진단 프로그램을 제작하는 가장 많은 사람들이 주장하는 내용은 스파이웨어가 개인 정보를 유출한다는 것이다. 하지만, 스파이웨어를 백신업체에서 백도어로 부르는 원격 제어 프로그램까지 확장할 경우 개인 정보 유출이 가능하며 일반적으로 스파이웨어로 분류되는 트랙웨어, 애드웨어는 개인 정보 유출과는 거리가 멀다.

개인 정보 유출 보다는 개인 정보 유출 가능성이 있다고 하는 것이 정확한 표현이라고 생각된다. 즉, 악성코드는 개인 정보를 유출하기 위해 제작된 것이며 스파이웨어는 개인 정보를 수집하던 과정 중 개인 정보를 수집할 수 도 있다는 것이다.

개인 정보 유출 가능성 보다 더 큰 문제는 시스템 이상과 심리적 불안감이라 할 수 있다. 모든 프로그램을 문제를 포함 할 수 있고 광고나 사용자 정보 수집을 위해 실행 중인 프로그램도 문제가 존재할 수 있다. 실제로 애드웨어의 문제로 시스템이 제대로 실행되지 않는 등의 문제가 발생했었다. 또 광고 창이 뜨는 등의 애드웨어가 설치되면 일반적인 사람은 바이러스에 감염된 것으로 생각한다.


3. 사례 및 과장된 부분

스파이웨어의 문제점과 함께 지나치게 과장된 부분도 존재한다. 이런 과장된 부분은 관련 업체와 언론을 통한 지나친 위험성 확대와 일반 사용자들의 이해 부족과도 맞물리게 되었다. 초기의 스파이웨어 논쟁은 개인 정보 유출이었지만 2002년 이후 발생하기 시작한 시작페이지 고정과 지나친 광고 창 출력은 사람들을 불편하게 만들었다.

이에 국내에서도 2003년부터 시작페이지 고정과 광고 창을 띄우는 애드웨어를 진단/삭제하는 프로그램이 제작 배포되었고 많은 사람들의 사랑을 받았다. 하지만, 이후 타 제품보다 많이 진단한다는 점을 강조하기 위해서 지나치게 위험도가 낮은 형태도 스파이웨어로 분류해서 진단하는 제품이 늘어났다.

1) 추적 쿠키(Tracking Cookie)

스파이웨어 진단 프로그램 중 상당수는 쿠키를 진단한다. 쿠키는 2000년부터 쿠키가 사용자의 사생활 침해 가능성이 계속 제기 되고 있다. 하지만, 현재의 쿠키는 안전하다는 것이 대부분의 의견이다.

하지만, 일부 스파이웨어에서 진단하는 추적 쿠기는 단순히 이 사용자가 어떤 사이트를 방문했었다는 것으로 개인 정보 유출과는 큰 상관이 없는 것이 대부분이다. 하지만, 일부 업체에서 이를 스파이웨어 쿠키(Spyware-Cookie)와 같은 표현을 사용하고 있다.

스파이웨어 업체에서 진단하는 쿠키는 사용자가 A 사이트 방문 여부를 B 사이트가 알고 있다는 것 때문에 진단하는 것이다.

쿠키는 인터넷 익스플로러에서 '도구(T)' -> '인터넷 옵션' -> 임시 인터넷 파일에서 '쿠키 삭제(I)'로 간단히 삭제 할 수 있다.

2) Aureate/Radiate

2000년쯤 국내에 스파이웨어라는 용어를 처음으로 알려준 대표적인 트랙웨어이다. 이 트랙웨어 모듈은 여러가지 프리웨어 혹은 애드웨어에 포함되었다. 처음 문제를 제기한 사람은 Aureate/Radiate 사의 광고 모듈이 광고를 보여주며 사용자 개인 정보를 빼간다고 주장했다. 이후 이 내용은 사실이 아님이 밝혀졌고 백신회사에서는 이들 프로그램을 악성코드로 분류하지 않는다고 발표했다.

하지만, 일부 스파이웨어 진단 프로그램은 여전히 해당 프로그램을 개인정보의 유출 우려와 불필요한 네트워크 패킷 발생 등의 이유로 스파이웨어로 분류해 진단하고 있다.

스파이웨어 진단 프로그램은 개인 사생활 보호를 위해 만들어 졌으므로 누군가 자신의컴퓨터를 감시하는 것 자체를 싫어해 이들 프로그램을 진단하고 있다. 따라서 자신이 어떤 광고를 선택했는지의 정보가 정보가 외부로 나갈 경우는 진단해야 한다는 정책으로 이들 프로그램을 진단하고 있다.


3) 알렉사(Alexa)

상당수 스파이웨어 진단 프로그램이 윈도우 기본기능에 포함된 '관련링크표시' 기능을 스파이웨어로 진단한다. 마이크로소프트사가 개인 정보를 수집하기 위해서 이 프로그램을 설치한 것일까? 결과적으로 심각하지 않다.

이 기능은 인터넷 익스플로러의 도구(T) -> 관련링크표시(R)를 선택할 경우 방문 사이트 정보가 알렉사로 전달된다. 이 과정에서 개인이 어떤 사이트를 방문하는지 수집되므로 사생활 침해의 관점에서는 일부 스파이웨어 진단 프로그램에서 추가해 기능을 막고 있다.




[그림1] 알렉사 기능 사용 화면


4) TCP.EXE

2004년 7월 중순 다수의 TCP.EXE와 WINSYSTEM.EXE가 접수되었다. 프로그램을 확인 결과 포털 사이트에서 입력되는 검색어를 수집해가는 트랙웨어(Trackware)이며, 7월 한 스트리밍 음악 사이트에서 배포한 프로그램으로 확인되었다.

이후 개발사와 확인 해본 결과 다음부터는 프로그램의 사용 목적과 동의를 구한 후에 설치하는 것으로 사건은 일단락되었고 음악 재생 프로그램에서도 이 파일이 제거되었다.

이 프로그램이 음악 재생 프로그램에 포함되어 배포되었는데 많은 사람들이 바이러스로 오해하고 해당 스트리밍 음악 사이트 업체가 바이러스를 배포하는 것으로 오해 받기도 했다.

이 프로그램은 개인정보를 유출하는 것이 아니라 사용자의 검색어를 수집해 최근 사람들이 관심 있어하는 내용을 수집하는 목적을 가졌지만, 사용자의 동의를 구하지 않은 점이 문제가 되었다. 이 사건은 사용자들의 사용자 성향 조사 수집에 대한 거부감을 업체가 인지하지 못하여 발생한 문제이다.


결론

스파이웨어는 사용자 동의를 거치므로 합법이라는 논리를 내세워 사용자 불편을 생각하지 않고 사용자 컴퓨터를 마케팅 목적으로 사용하는 제작업체와, 약관 등을 꼼꼼히 읽지 않는 사용자의 부주의, 규제 등을 제대로 마련하지 못한 법률적 미비 등이 만들어낸 합작품이다.

또 백신업체가 악성코드가 아니라는 이유로 진단/치료하지 않는 사이 지나치게 과장된 내용으로 사용자들을 겁주는 스파이웨어 진단업체도 등장하고 있다.

스파이웨어에 대한 올바른 인식과 퇴치를 위해서는 사용자, 마케팅 업체, 스파이웨어 진단 업체, 정부 모두 앞장서야할 것 이다.

사용자는 자신이 사용하는 프로그램에 광고기능이나 자신의 컴퓨터 사용 경향을 수집하는 프로그램이 설치되었을 가능성이 있음을 알고 프로그램 설치시 동의서를 잘 읽고 웹사이트를 돌아다니면서 액티브 X 컨트롤 경고를 무작정 설치하지 않아야 한다. 또한 자신이 사용하는 스파이웨어 진단 프로그램의 정확한 정책을 알아야 한다.

트랙웨어와 애드웨어 제작 업체는 자신들이 하려는 목적을 프로그램 설치 중 분명히 알려주고 사용자의 동의를 받은 후 설치 과정을 사용자에게 알려주며 제거도 쉽게 해야 할 것이다. 스파이웨어는 인터넷 정보 수집 현황이나 광고 출력 자체에 있는 것이 아니라 컴퓨터 사용자가 자신이 언제 설치했는지 조차 모르고 어떤 프로그램에서 그런 일을 하는지 모르기 때문에 문제가 발생하고 있다.

스파이웨어 진단 프로그램도 사용자에게 검색 전 스파이웨어에 대한 바른 이해와 진단되는 프로그램의 정확한 진단 이유와 발생 가능한 문제점을 알려줄 필요성이 있다. 또 사용자들을 지나치게 겁주는 행위는 자제해야 한다. 또한 용어와 진단 범위에 대한 업체의 통일화도 필요하다.

정부도 스파이웨어류에 대한 법적인 규제를 해야할 것으로 생각된다. 다음과 같은 내용만 구체적으로 명시하게 해도 많은 도움이 될 것으로 생각된다.

- 프로그램 설치 시 사용자 동의
- 언 인스톨 프로그램 제공
- 광고 출력 시 프로그램 이름 표시
- 웹사이트에서 프로그램 다운로드시 사용자 동의 구함

<출처> 안철수연구소

Posted by TopARA
,