컴퓨터 사용자의 일정한 디렉토리(Directory) 영역을 알게 모르게 잠식하는 웹사이트들이 늘고 있다. 그 방식은 웹사이트를 방문한 이용자의 컴퓨터에 스파이처럼 침투하고 그 이용자와 시스템 정보를 입수해간다. 입수한 정보는 마케팅 자료로 사용되는 게 일반적이지만, 정보도용의 가능성은 항상 열려있다.
최근 많은 네티즌들이 자신의 웹브라우저의 초기화면이 갑자기 바뀌거나 한번 바뀐 시작 페이지를 변경하기 힘들어 결국 하드디스크를 포맷하는 경우가 늘고 있다(이와 같이 하드디스크를 포맷하는 것은 스파이웨어가 그만큼 심각하게 컴퓨터 장애를 유발해서라기보다는 초보 사용자들이 시스템에 내장된 정보를 유출당한 사실에 대한 놀라움, 웹브라우저의 시작페이지 고정·변경 불가에 따른 불편함을 호소하면서 AS 과정 또는 쉬운 포맷/복구 작업을 수행하기 때문인 것으로 추정된다). 또 요즘의 소프트웨어들이 자동 업데이트 기능을 통해 자사의 스파이 프로그램을 동의 없이 설치하는 사례도 나타나고 있다.  여기에서는 이런 악성 프로그램이 무엇이고 그 중 하나인 스파이웨어(spyware)가 인터넷을 배경으로 어떻게, 왜 등장하게 되었으며, 스파이웨어로 인한 위험성은 어느 정도이고, 이용자의 시스템에 스파이웨어가 실제로 어떻게 설치되어 어떤 피해 증상을 가져오게 되는지 실례를 알아보기로 한다. 더불어 국내외 스파이웨어 유포동향을 살펴보는 것으로 1편을 마감하고 2편에서는 불법적인 스파이웨어와 그로 인한 개인정보 유출·도용의 문제를 다각도로 검토한 후에 스파이웨어와 악성 프로그램에 대한 대처방법을 여섯 가지로 제시해 보기로 한다.

악성 프로그램과 스파이웨어의 출현 배경

악성 프로그램과 그 구별 프로그램들
- 악성 프로그램
‘멀웨어(Malware)’로 불리는 악성 소프트웨어(Malicious Software)는 정당한 사유 없이 일정한 시스템 내의 정보를 훼손하거나 자료나 프로그램을 위·변조, 유출, 도용하는 등 특정한 코드(프로그램)를 통해 악의적 수행능력이 가능하도록 제작된 소프트웨어를 말한다. 일반적으로는 ‘악성 코드’, ‘악성 프로그램’이라고 한다.
현행법상 악성 프로그램은 정보통신망이용촉진및정보보호등에관한법률 제48조제2항에서 ‘정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램’으로 정의하고 있고, 악성 프로그램을 전달하거나 유포하는 경우 5년 이하의 징역 또는 5천만원이하의 벌금이라는 중형으로 규정하고 있다.
흔히 해킹 툴은 악성 프로그램의 대표적인 예로 컴퓨터 바이러스와 구별해 ‘비(非) 바이러스 악성 프로그램(Non-viral Malware)’이라 할 수 있고 트로이목마, 백도어, 스파이웨어, 키보드 입력유출 프로그램 등이 대표적인 악성 응용 프로그램이다. 이러한 악성 프로그램과 구별되는 것으로 애드웨어와 BHO가 있다.

- 애드웨어(Ad-ware)
애드웨어는 광고를 실은 소프트웨어로 프로그램 내에 특정한 광고내용 게재를 전제로 일반에게 무료로 배포하는 소프트웨어를 말한다. 광고는 프로그램 개발사와 관련한 내용이나 다른 회사의 광고를 배너 형태로 삽입하기도 한다. 이런 애드웨어는 이용자 확대를 꾀하면서 해당 소프트웨어를 사용하는 이용자의 인터넷 서핑 습관을 모니터링하고 광고를 통해 무료 배포의 수익원을 충당한다.
애드웨어는 기본적으로 광고 프로그램을 사용자 컴퓨터에 설치해 각종 광고를 사용자 의사에 관계없이 전송으로써 사용자에게 약간의 불편함을 초래한다는 것뿐이지 원칙상 불법으로 볼 수 없다.
사용자가 광고를 본다는 전제하에 설치한 애드웨어에서 임의의 광고게재 사실만으로 이를 악성 코드 삽입으로 보기는 어렵다. 따라서 스파이웨어 제거 프로그램 개발사가 그것을 검색·치료하지 않을 수 있으나, 대부분의 개발사들은 애드웨어라 할지라도 이용자의 정상적인 컴퓨터 사용을 불가능하게 할 정도로 무분별한 팝업 광고는 제한하는 기능을 포함하고 있다.
또한 광고 프로그램을 가장하거나 또는 광고 프로그램의 코드 일부로 삽입해 이용자의 인터넷 서핑 정보를 수집해서 지정된 서버 시스템에 정보를 전송하고 그 정보로 타킷 마케팅 자료를 삼는다면 불법의 여지가 생긴다. 따라서 애드웨어는 그 자체로 불법이라 할 수 없지만 이용자의 민감한 정보를 동의 없이 수집하기 시작하면서 스파이웨어와 경계가 모호해지고 불법 경계를 넘어서게 된다.

- BHO(Browser Helper Objects)
BHO는 웹브라우저의 기능을 제한하거나 반대로 더욱 다양하게 돋보이도록 하는 것으로서, 예컨대 인터넷 익스플로러를 시작할 때마다 로드되어 익스플로러의 메모리를 공유해 이용 가능한 윈도우 창과 모듈(Module)에 특정 지시를 내리는 컴포넌트를 말한다.
BHO는 이벤트를 감지해 띄워진 페이지에 추가정보를 보여주기 위해 윈도우 창을 만들 수도 있고, 메시지와 액션을 감시할 수도 있다. 마이크로소프트사는 BHO를 “브라우저의 세계에 침투시키기 위해 보낸 스파이”라고 부른다. 이 기술은 이용자가 보고 있는 브라우저 내의 모든 페이지를 검색해서 배너 광고를 다른 광고로 바꾸고, 이용자의 행동을 모니터 및 리포트하고, 이용자의 초기화면을 바꾸는 등 수많은 활동을 한다.

스파이웨어 등장배경과 네티즌의 관심

인터넷 사이트들이 마케팅을 목적으로 이용자들의 정보를 임의 수집하려는 데서 스파이웨어의 등장배경을 찾아볼 수 있다. 
영어권 사이트에서는 세계적으로 유명한 몇몇 사이트를 제외하고는 회원정보 폼이 세부적이지 못하다. 오히려 우리나라 웹사이트에서 회원으로 등록할 때 기입하는 항목에 비하면 현저하게 적은 것을 알 수 있다. 결국 영어권 사이트에서는 미처 다 수집하지 못한 회원들의 정보를 다른 경로로 수집하고자 했을 때 손쉬운 방법이 네티즌의 컴퓨터에 스파이 프로그램을 심어두고 해당 시스템에 있는 정보를 입수하는 프로그램을 이용하는 것임을 추정할 수 있다. 그에 비해 우리나라에서는 각 웹사이트마다 상대적으로 많은 개인정보를 수집하다보니 스파이웨어의 사용 필요성을 크게 느끼지는 못했을 것이다. 다만 네티즌의 인터넷 사용과정을 모니터링해 새로운 마케팅 자료로 삼고, 이를 기반으로 타깃 마케팅을 노리면서 스파이웨어를 사용했을 것으로 추정된다.
앞서 언급한 바와 같이, 악성 프로그램의 일종인 스파이웨어는 사용자의 동의 없이 사용 컴퓨터에 설치돼 인터넷 접속동향을 파악하는 도구로, 날로 기능이 다양해짐에 따라 인터넷 이용자의 동의를 받기는 커녕 이용자의 의사에 반해 사용 컴퓨터에 강제로/자동적으로 설치되고, 이용자가 이를 눈으로 확인해 제거할 수 없고 별도의 프로그램으로 제거해야 하는 번거로움까지 초래하고 있다.
영어권 사이트에서 주로 문제시되는 스파이웨어에 의한 정보유출이 국내에서도 많은 컴퓨터 사용자의 관심을 불러일으키고 있는 게 사실이다. 스파이웨어는 회원정보를 동의 없이 가져가는 일종의 해킹 프로그램으로 분류된다. 웹브라우저의 시작 페이지를 고정해 이용자가 변경하지 못하게 하거나 무단으로 성인광고를 팝업창 형식으로 활성화하는 것은 스파이웨어와 쿠키 파일의 문제다.  

정보유출 프로그램 ‘스파이웨어’

스파이웨어의 의미와 위험성
스파이웨어(Spyware)는 스파이(Spy)와 소프트웨어(Software)의 접미어를 합친 말로, 프로그램에 의한 정보수집 기술의 일종이다.  
스파이웨어는 무료로 배포하는 공개 소프트웨어에 들어 있는 일종의 프로그램 모듈을 통칭하는 것으로, 광고효과 모니터링을 위해 컴퓨터 사용자의 이름이나 IP 주소, 방문한 웹사이트 목록, 클릭한 배너 광고 선호도 등의 정보를 지정된 서버로 보냄으로써 인터넷을 통해 특정한 이용자의 프라이버시를 파악하는 도구로 사용되고 있다. 그래서 광고 마케팅을 위한 이용자 정보 수집 툴이라는 의미에서 ‘애드웨어(Ad-ware)’라고도 한다. 이 스파이웨어는 주로 인터넷 이용자가 웹사이트에 접속하거나 무료 공개 프로그램을 다운받는 과정에서 함께 설치된다.
이렇게 숨겨진 스파이웨어는, 네티즌들이 많이 사용하는 무료 공개 프로그램에 고지 없이 내장되어 인터넷 이용자의 시스템 정보 및 인터넷 이용자료를 훔쳐오는 기능을 수행하게 된다.
이 스파이웨어는 단지 정보를 유출하는 기능에 주력하는 것이 대부분이나, 그렇게 유출된 개인정보를 도용할 수 있고 이 프로그램을 통해 해킹 기능도 수행할 수 있어 기본적으로는 백오리피스 등의 해킹 툴과는 구별되지만 그만큼의 위험성을 내포하고 있는 것도 사실이다.
또 많은 일반 사용자들은 자신이 사용하는 컴퓨터 내에 스파이웨어가 작동하고 있음을 알지 못한 채 자신의 정보가 외부로 유출되고 있음을 감지하지 못하는 경우가 많을 뿐 아니라, 설령 알아낸다고 해도 어떻게 조치를 취해야 할 것인지 잘 모르는 경우가 많다.

스파이웨어의 설치 목적과 방법
스파이웨어는 소프트웨어 회사들이 정품 프로그램을 무료로 배포하기 위한 재원 마련을 위해 소프트웨어 개발업체가 자체적으로, 또는 마케팅 관련 업체와 계약을 맺고 설치하는 경우가 대부분이다. 이용자 시스템에 스파이웨어를 설치하는 과정과 방법을 몇가지로 분류해 보자.

- 개발사가 무료로 배포하는 공개 소프트웨어/프로그램에 내장하는 방식
소프트웨어를 개발한 회사는 자사의 소프트웨어를 공개적으로 무료배포하면서 해당 프로그램의 일부에 광고를 삽입하고 더불어 스파이웨어를 내장한다. 이런 경우 이용자들은 해당 프로그램을 사용할 때마다 혹은 특정 웹사이트에 접속할 때마다 개발사에서 삽입해 놓은 광고를 강제적으로 볼 수밖에 없고 그 광고수주를 통한 수익이 무료 배포를 충당하는 원천이기도 하다.

- 개발사가 업그레이드 기능을 이용해 설치하는 방식
최근의 많은 소프트웨어 개발사들은 프로그램 자체에 ‘업그레이드 기능’을 내장해 출시한다. 업그레이드 기능은 해당 소프트웨어의 업버전(Up-version) 프로그램이나 패치 파일(Patch files) 등을 인터넷으로 실시간 연동해 자동 또는 수동으로 보완하는 방식을 말한다. 개발사 입장에서는 실시간으로 일률적 AS를 실행할 수 있고 소프트웨어 사용자 입장에서는 편리하게 오류복구나 기능개선 파일로 업그레이드해 사용할 수 있는 장점이 있다. 예를 들면, 프로그램 사용자가 소프트웨어를 구입해서 또는 무료로 다운로드해 자신의 컴퓨터에 설치하게 되면 ‘자동 업그레이드’ 아이콘이 생긴다. 마우스로 이 아이콘을 누르게 되면 개발사 웹사이트에 자동적으로 접속되어 개발사가 업그레이드한 파일들로 자동 수정·보완된다. 이러한 업그레이드 기능은 자동 또는 수동으로 이용자가 선택할 수 있다.
한편 개발사는 기존에 수집한 개인정보와 스파이웨어를 통해 수집한 정보 등을 통합해서 지속적이고 목적적인 마케팅 자료로 활용할 수 있고, 그 일환으로 업그레이드를 알리는 메일 또는 업그레이드용 패치파일을 전송하면서 스파이웨어도 내장·설치할 수 있다. 예컨대, 정보수집자가 이용자의 패턴을 알아 낸 후 마케팅 차원에서 분석과정을 거치고, 이미 배포한 프로그램의 업그레이드를 권하는 메일을 미끼로 정보를 수집하는 것이다. 또는 업그레이드 파일의 일부인 양 속여 이용자 컴퓨터의 특정 폴더에 스파이웨어를 자동 설치할 수도 있다.

- 개발사가 레지스트리에 접속정보를 삽입해 웹사이트에 강제접속케 해서 설치하는 방식
개발사가 윈도우즈 OS의 설계도라 할 수 있는 레지스트리의 특정한 폴더에 자사의 웹사이트 주소를 삽입해 놓고 이용자의 웹브라우저 활성화 횟수와 일자, 시간 등을 지정해 접속을 강제하는 특정 웹사이트의 주소를 삽입해 놓고 이용자가 웹 서핑시 해당 웹사이트로 자동 또는 강제 이동하도록 해서 광고효과를 기대하거나 스파이웨어 설치대상으로 삼을 수 있다.

- 이용자가 Active X 프로그램 실행 선택시 자동적으로 병행 설치하는 방식
국내에서도 많은 웹사이트들이 초기 화면에 Active X 컨트롤을 뜨게 해 이용자들이 ‘예’를 선택함과 동시에 ‘동의’한 것으로 간주하고 계속해서 팝업 광고를 띄우거나 시작페이지를 변경·고정하는 경우가 늘고 있다.
웹사이트 운영자/관리자 또는 소프트웨어 개발사는 이용자가 자사의 사이트에 접속했을 때 그 이용자의 시스템에 자사의 사이트 정보를 원활하게 볼 수 있거나 사이트 보안 기타 목적을 위해 인증서 형태의 Active X 프로그램의 설치여부를 물을 수 있다(그림 1 참조). 이는 웹사이트 제작시 이벤트 형식으로 팝업창을 프로그래밍하면 된다. 즉, 이용자는 특정한 웹사이트에 접속함과 동시에 팝업창 형태의 경고 표시로 뜨는 ‘Active X’에서 “예”를 선택하면 Active X를 설치함과 동시에 스파이웨어도 설치되면서 해당 이용자의 정보를 지정된 사이트로 전송하게 된다. 물론 기술적으로는 사이트로 전송하는 것이 아니라 그 사이트의 웹페이지들을 저장하고 있는 서버 또는 다른 목적 서버로 정보를 전송하는 것이다.
이는 Active X를 설치하면서 일면 이용자의 동의를 받고 있는 것처럼 보이나, 실제로는 이용자를 기망해 관련정보를 빼내 가는 것이고 결과적으로 불법에 해당한다. 다만 이용자들이 이러한 설치과정을 알고 “아니오”를 선택했을 경우에는 계속해서 뜨는(활성화되는) 팝업창에 귀찮아 할 수 있다.

스파이웨어에 의한 유출정보와 사용자 피해사례

스파이웨어를 통해 알아내는 정보들
이렇게 이용자의 컴퓨터에 그 동의 없이 설치한 프로그램인 스파이웨어를 통해서 알아낼 수 있는 정보는 일반적으로 다음과 같다.

- 시스템 레지스트리에 있는 컴퓨터 사용자 이름
- 사용자가 컴퓨터에 설치한 소프트웨어 리스트
- 이용자의 인터넷 프로토콜(IP) 주소
- 이용자가 찾아간 인터넷 URL 리스트
- 이용자가 마우스로 선택한 배너 광고
- 이용자가 타 웹사이트에서 내려받은 파일 정보 목록
 


그림 1. Active X 형태의 보안경고 팝업창 예시

스파이웨어로 인한 사용자 피해사례
① 컴퓨터 사용자의 동의 없이 시스템의 정보를 입수해 가는 경우
② 컴퓨터 사용자가 일정한 웹사이트에서 제공한 개인정보 외에 동의 없이 몰래 다른 정보를 수집해 가는 경우
③ 사용자가 웹브라우저를 사용할 때 초기화면을 강제로 고정해 변경하지 못하게 하는 경우
④ 이용자가 특정한 사이트에 접속해서 Active X 설치에 동의한 경우, 동일한 스크립트를 통해 다른 사이트 접속시 동의 없이 바탕화면에 아이콘을 생성하는 경우
⑤ 이용자가 특정한 사이트에 접속해서 Active X 설치에 동의한 경우, 바탕화면에 생성된 아이콘, 또는 즐겨찾기 등에 추가된 아이콘/목록을 삭제하더라도 해당 사이트 접속시 자동으로 아이콘/목록을 또 생성하는 경우
⑥ 이렇게 생성된 아이콘 중에서 단축 아이콘의 모양과 이름이 익스플로러 기타 프로그램과 유사해 이용자들로 하여금 본사의 아이콘으로 착각하게 하고 그러한 아이콘을 실행하면 지정된 해당 사이트로 연결되게 하는 경우
⑦ 이용자가 특정 사이트의 URL을 입력할 때 강제로 특정한 URL로 이동케 하거나, 특정 URL로의 이동시 타른 사이트를 동시에 뜨도록 하는 경우
⑧ 사용자 컴퓨터에 스파이웨어를 설치해, 특정 사이트 방문시, 또는 주기적으로 지정된 팝업 광고를 노출시키는 경우
⑨ 사용자 컴퓨터에 스파이웨어를 설치해, 특정 사이트 방문시 해당 사이트의 배너를 다른 특정 배너로 바꿔치기하는 경우와 여백공간에 특정한 배너를 삽입하는 경우

국내외 스파이웨어 유포동향

라디에이트(Radiate)사의 스파이웨어 사용사례
1999년 미국의 인터넷 광고회사인 라디에이트사(스파이웨어 사용 당시에는 ‘오리에이트(Aureate)’라는 회사명을 썼다)5)가 자사에 접속하는 인터넷 이용자들과 회원들의 각 컴퓨터에 번호를 부여하고 그 컴퓨터들로 광고에 접근한 경로나 횟수 등을 통해 광고 마케팅을 고안하는 과정에서 스파이웨어를 사용한 것이 드러났는데, 이것이 밝혀진 최초의 스파이웨어 사용사례라고 할 수 있다. 
비단 라디에이트사 외에도 인터넷 전자거래와 쇼핑몰 등이 급신장세를 보이고 있는 상황에서 이같은 개인정보 유출문제는 외국에서 이미 심각한 고민거리로 각종 기사와 컬럼의 내용에 자주 등장하는 이슈다.

국내 스파이웨어 관련 사용동향
국내 전자거래 시장은 미국과 크게 다를 바 없고 오히려 쇼핑몰 운영과 상거래 분야는 더 활발하게 진행되고 있는 것으로 추정해 볼 때, 우리나라의 정보통신망에서도 스파이웨어가 기승하리라는 추측은 얼마든지 가능하다.
 

그림 2. 라디에이트사의 웹사이트 초기화면

스파이웨어의 출현은 인터넷 웹사이트에서 개인정보를 수집하는 경향이 확산되면서 웹사이트 운영자와 그 웹사이트에 숨어 타인의 정보를 가로채는 해커들이 이용자들의 개인정보 수집과정에서 도용까지 하는 악의적 범행으로 발전하고 있고, 최근에는 이용자가 특정한 웹사이트에 접속함과 동시에 스파이웨어의 기능이 발휘되고 있어 문제의 심각성을 더하고 있다.
국내에서 스파이웨어의 존재는 2000년 중반 인터넷 이용자들이 한국통신 이용자 동호회 홈페이지에 올라있는 ‘주의를 촉구하는 글’을 회자하면서 표면에 드러났다.6)
그러나 그 이전부터 이미 정보 중에서도 신상에 관한 개인정보 유출기능이 트로이목마나 백도어 같은 악의적인 해킹툴에 의해서 유포되어 사회적인 물의를 일으킨 사례가 많았다. 결국 일반인이 자주 사용하는 정품 프로그램 내에 무더기로 개인정보 유출기능이 포함된 스파이웨어를 숨겨놓는 수법이 드러나면서 스파이웨어의 위험성에 대해 인식의 폭이 넓어지고 있다. 물론 이는 새로운 수법임에 틀림없지만 어느 정도 예상된 수법이기도 하다.
현재 국내에서는 스파이웨어를 검색하고 치료하는 몇 개의 프로그램이 공개되어 있고, 그 중에서 ‘다잡아’와 ‘다간다’ 프로그램이 첨예한 개발경쟁을 벌이고 있다. 이들 프로그램은 2003년 하반기에 출시돼 현재 약 20,000여개의 스파이웨어를 검색하고 있고, 서로 상대방의 프로그램조차 악성 프로그램으로 간주해 네티즌들의 혼동과 원성을 사고 있다.
그러나 프로그램마다 몇 개의 스파이웨어를 찾아내느냐는 문제의 관건이 아니다. 수십만 개의 사이트가 명멸하는 중에 이를 완벽하게 검증하기란 거의 불가능한 일이다. 거기다 각 사마다 악성 코드의 개념과 범위를 달리하고 있어 특정 프로그램이 더 많은 스파이웨어를 검색해낸다고 해서 더 우수한 제품이라고 단정할 수는 없다.
악성 프로그램은 계속해서 변종으로 응용·개발되고 있고, 사이트 운영자/관리자가 스파이웨어를 설정할 것이냐 아니냐는 한 순간의 결정일 뿐이다. 따라서 검색·치료 프로그램 개발사들이 정보통신망에서 이용자 몰래 스파이웨어 사용여부를 정확히 판단해서 지속적인 업그레이드를 하는지 여부를 이용자가 모니터링하는 것이 중요하다고 본다. 현재로는 무료정책이 대세지만 스파이웨어의 위험성이 드러날수록 개발사는 유료화로 돌아설 것이고, 이후에 이용자가 어떤 프로그램을 선택하느냐의 실질적 선택문제에 직면하게 될 것은 자명한 일이다.
[김연수_중앙대학교 법학연구소 전임연구원]

월간 정보보호21ⓒ

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>