최초의 스파이웨어는 ‘마케팅’ 목적... 2005년 피해 최고조 달했지만 한풀 꺾여
여전히 다양한 공작에 활용 중... 수상한 사이트의 액티브X 설치 지양해야

[보안뉴스 양원모 기자] 0과 1로 이뤄진 사이버 세상에도 현실 세계의 간첩 같은 멀웨어가 존재한다. 스파이(Spy)와 소프트웨어(Software)를 합친 말인 ‘스파이웨어(Spyware)’는 사용자 PC에 침투해 각종 정보를 탈취한다. 보통 액티브X나 프리웨어 설치 과정에 포함돼 은근슬쩍 설치를 유도한다. 일종의 ‘묻어가기’ 전략이다. 별생각 없이 ‘예’ 버튼을 누르는 사용자가 대다수라는 점을 노리는 것이다.


[이미지=icilckart]

스파이웨어는 종종 트로이목마나 웜과 구분 없이 쓰인다. 특히, 해외 언론에서 심하다. 그러나 셋은 엄연히 다른 개념이다. 웜의 핵심은 자기 복제다. 공격 기능은 없지만, 끊임없이 자신을 복제해 시스템 과부하를 유발한다. 트로이목마는 문서 프로그램 등 멀쩡한 프로그램으로 위장하는 게 특징이다. 하지만 스파이웨어는 복제 기능도 없고, 프로그램을 사칭하지도 않는다. 조용히 PC에 잠입해 사용자의 개인정보와 컴퓨터 정보를 빼돌린다.

최초의 스파이웨어는 ‘마케팅’ 목적
스파이웨어라는 단어가 처음 등장한 건 1996년 10월 유즈넷에서다. 요즘의 온라인 커뮤니티와 비슷한 유즈넷은 사용자가 어떤 주제로 뉴스 그룹(게시판)을 만들면 그 안에서 떠들고 노는 곳이었다. 누군가 마이크로소프트(MS)의 비즈니스 모델을 분석한 기사를 뉴스 그룹에 올렸는데, 한 이용자가 MS의 업계 독점을 비판하며 기사에 등장하는 MS 소프트웨어를 ‘스파이웨어’라고 비꼰 것이다. 물론 해당 소프트웨어는 스파이웨어가 아니었고, 단어도 묻혔다.

스파이웨어가 다시 거론된 건 4년 뒤인 2000년이었다. 미국 사이버 보안업체 존 랩스가 자사의 방화벽 관련 홍보자료에서 “인터넷 상시 접속 가능한 컴퓨터는 해커, 트로이목마, 스파이웨어 공격에 취약하다”는 문구를 쓰면서다. 존 랩스는 스파이웨어를 “악의적 목적이거나, 허가받지 않은 애드웨어”로 규정했고, 이는 시간이 흐르며 스파이웨어의 공식적인 정의로 자리 잡았다.

최초의 스파이웨어는 1999년 미국 광고회사 라디에이트가 개발한 소프트웨어로 평가된다. 라디에이트는 소비자 취향 파악을 명목으로 자사 홈페이지에 접속한 사용자 PC에 번호를 매긴 뒤 △사용자가 광고를 보고 있는지 △본다면 얼마나 봤는지 등을 기록하는 소프트웨어를 개발했다. 그리고 이 데이터를 정리해 광고주에 팔아넘겼다. 중요한 개인정보를 빼돌린 건 아니지만, 사용자가 동의 없이 정보를 수집했다는 점에서 스파이웨어의 기본적 특징을 갖추고 있었다.

통계에 따르면, 스파이웨어 피해는 2005년 최고조에 달했다. 미국 인터넷업체 AOL과 국가사이버보안연합(NCSA)는 당시 PC 사용자 61%가 스파이웨어에 감염됐으며 이 가운데 92%는 감염 사실조차 모르고 있었다고 밝혔다. 특히, 윈도 웹브라우저인 인터넷 익스플로러 6(IE 6)이 스파이웨어의 주요 침투 경로인 액티브X에 대해 무조건 설치창을 띄우면서 피해자가 양산됐다. 악성 액티브X를 걸러내지 못한 상태에서 무심코 ‘예’ 버튼을 눌렀다가 스파이웨어 공격을 당하는 사례가 속출한 것이다. 과학기술정보통신부의 전신인 정보통신부가 스파이웨어의 정의와 유형을 정리하고, 적극적인 대응에 나선 것도 2005년부터다.


[이미지=icilckart]

사이버 세상 기세 꺾였지만... 현실에선 막강
스파이웨어는 MS의 부지런한 업데이트와 보안 솔루션 고도화로 사이버 세상에서 기세가 예전만 못한 게 사실이다. 그러나 현실에서 영향력은 여전히 막강하다. 다양한 ‘공작’에 활용되고 있다.

글로벌 차량공유기업 우버의 호주 지사는 지난 3월 ‘서프캠(Surfcam)’이라는 스파이웨어로 경쟁사 정보를 빼돌렸다는 내부고발자 폭로로 논란의 중심에 섰다. 우버가 ‘고캐치(GoCatch)’라는 업체에서 드라이버의 이름, 차량 번호 등을 빼돌린 뒤 더 좋은 조건을 제시하며 ‘직원 빼돌리기’에 나섰다는 것. 현재 우버 본사는 “지사 차원의 일탈”이라며 선 긋기에 나선 상태다.

2018년 10월 사우디아라비아 언론인 자말 카슈끄지 피살 사건에도 스파이웨어가 핵심 역할을 했다는 의혹이 제기된다. 카슈끄지는 2017년부터 미국에 머물며 사우디 정부를 비판하는 기사 등을 써오다가 2018년 10월 터키 주재 사우디 대사관에서 살해됐다. 카슈끄지 지인들은 사우디 정부가 그의 휴대전화에서 스파이웨어를 통해 빼돌린 통신 정보로 카슈끄지를 살해했다고 주장하고 있다. 사우디 측은 부인하고 있다.

요리사가 칼을 잡으면 조리 도구가 되지만, 살인자가 칼을 잡으면 흉기가 된다. 스파이웨어도 누가 쓰느냐에 따라 ‘선의’의 용도로 사용될 수 있다. 영국 BBC에 따르면, 최근 미국 법원에서 가석방 없는 종신형을 선고받은 멕시코 마약왕 ‘엘 차포(호아킨 구스만)’ 검거에 결정적 역할을 한 건 핵심인사 첩보도, GSP 위성도, 최측근 배신도 아닌 스파이웨어였다. 해킹을 우려한 엘 차포는 반드시 암호화한 전화기만 사용했다. 그러나 측근들은 그 정도로 꼼꼼하지 못했다. 측근들의 휴대전화에 스파이웨어를 심은 멕시코 정부는 2016년 1월 그의 은신처를 알아내 체포에 성공했다. 1987년 미국 검찰에 기소된 지 29년 만이었다.

꺼진 ‘액티브X’도 다시 보자
지피지기(知彼知己). “적을 알아야 나를 안다”는 뜻이다. 스파이웨어도 마찬가지다. 감염 증상을 숙지하면 빠른 대처가 가능할 것이다. 전문가들은 △원하지 않는 인터넷 시작 페이지 고정 △정상 사이트에서 다른 사이트로 강제 이동 △본인이 설치하지 않은 아이콘이 바탕화면에 자동 생성 △브라우저의 잦은 오류 △웹서핑 중 갑작스런 성인, 대출광고 팝업 △시스템 설정 변경 등을 스파이웨어 감염의 주요 증상으로 꼽는다. 만약 위 항목에서 3개 이상 해당한다면 감염을 의심해봐야 한다.

무엇보다 액티브X 설치에 각별한 주의를 기울여야 한다. 스파이웨어 감염 경로의 대부분이 액티브X인 만큼, 신뢰할 수 없는 액티브X는 허용하지 말아야 한다. 특히, △성인 사이트 △불법 파일 공유 사이트 △다크웹 등에서 요구하는 액티브X는 십중팔구 스파이웨어일 가능성이 높으니 설치를 삼가야 한다. 윈도 업데이트를 게을리하지 않고, 수상한 메일의 첨부 파일을 열지 않는 것도 중요하다.
[양원모 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>