스파이웨어의 진실

'스파이웨어' 한 번은 들어봤을 이 단어의 의미를 정확하게 아는 이는 매우 적다. 오히려 사용자들은 '악성코드'라는 표현을 더 익숙하게 느끼며 또한 그 뜻은 어느 정도 알고 있을 것으로 생각된다. 하지만 이것은 일부 비윤리적인 업체들에 의해 조작되어 있는 것이 현실이다.

악성코드는 Malicious Code 혹은 Malware 라는 영어 표현에 대한 우리말 번역이다. 의미는 현존하는 바이러스, 웜, 트로이목마, 해킹툴, 스파이웨어, 애드웨어와 앞으로 등장할 수 있는 위협을 총칭하는 것으로, 사용자에게 해를 가할 수 있는 모든 종류의 실행 가능한 코드를 뜻한다. 하지만 사용자들은 악성코드를 애드웨어 및 그 하위 부류만을 뜻하는 것으로 잘못 알고 있다. 이는 윤리 의식이 결여된 업자들이 수익 극대화를 위해 마케팅적으로 단어를 악용해 비롯된 문제이다. 업자들의 악성코드 치료 프로그램이라는 새빨간 거짓말, 여기에서 시작해보자.

의미를 정확히 정리하면, 악성코드는 위협 모두를 아우르는 가장 큰 부류며, 여기에 스파이웨어가 속하고, 그 하위에 애드웨어가 속한다. 스파이웨어는 사용자의 권리를 침해하는 부류를 일컫고, 그 주된 기능적 특징이 광고와 관련될 경우에 애드웨어로 한정한다.

그러므로 일부 업체들이 스파이웨어, 애드웨어의 극히 일부를 진단할 뿐, 바이러스나 웜을 전혀 진단하지 못하는 자신들의 프로그램을 악성코드 치료 프로그램을 부르는 것은 사기라 할 수 있다. 여기에 덧붙여 악성코드가 바이러스, 웜보다 더 위협적이라는 말도 안 되는 선전은 얄팍한 상술에 지나지 않는다. 돈벌이만을 목적으로 한 비윤리적인 일부 업체들이 마구잡이로 보안 시장에 발을 들여 놓게 되면서 시장 자체가 진흙탕이 되어 버렸고, 그 피해는 고스란히 사용자에게 돌아가고 있는 것이다. 조금 더 과장하면, 현재 사용자를 가장 괴롭히고 있는 허위 안티-스파이웨어 문제는 모두 여기에서 비롯된다.

보안 분야는 다른 모든 분야와 마찬가지로 신뢰가 가장 중요하다. 관례적으로 사용자는 바이러스를 진단하는 프로그램을 '백신'이라 부르고, 바이러스를 '진단'했다고 표현하며, 만약의 사고에 대해서 '오진'이라는 말을 사용한다는 점에서 이 특징을 잘 엿볼 수 있다. '오진'과 같은 경우와 같이 보안에서 이러한 신뢰가 깨질 때, 보안 제품은 오히려 사용자에게 위협이 될 수 있다.

국내에서는 2003년 말~2004년 초에 처음으로 “자칭” 악성코드 치료 프로그램이 등장했다. 하지만 위에서 말했듯이 이것은 아주 단순한 형태의 스파이웨어 치료 프로그램이지 악성코드 치료 프로그램이 절대 아니다. 재미난 것은, 이 중 한 업자는 스스로가 스파이웨어 제작자라는 점인데, 자신은 물론이고 동종 업자의 스파이웨어를 진단, 치료하는 고도의 사회공학적인 수법으로 큰 인기를 얻을 수 있었다. 또 자칭 악성코드 치료 프로그램에는 스파이웨어 기능을 심어 큰 수익을 거두었다. 이 당시에는 단순하게 광고를 노출하는 애드웨어가 스파이웨어의 대부분을 차지했다.

2004년 말을 지나면서 흥미로운 현상이 포착된다. 스파이웨어 제작자들이 동종 업자가 자칭 악성코드 치료 프로그램으로 상상하기 힘들 정도의 매우 큰 수익을 거두며 승승장구하는 것을 보고, 서로 앞다투어 허위 안티스파이웨어를 제작하여 기존의 애드웨어 대신 살포하기 시작한 것이다. 이런 추세는 지금까지도 계속 이어져 현재는 전통적인 애드웨어는 크게 수는 크게 줄어들고, 허위 안티스파이웨어가 스파이웨어 주류로 부상하였다.

그렇다면 이런 악성코드들은 왜 제작되는 것일까? 최근의 동향은 악성코드 제작자들이 재미와 명예를 위해 활동하던 순수한 시절을 지나, 돈벌이만을 위해 움직인다고 말할 수 있는 정도의 어둠의 시절로 들어섰다. 이런 이유로 전세계를 마비시키는 수퍼 웜은 지난 몇 년간 등장하지 않고 있으며, 오히려 사용자를 성가시게 괴롭히고 교묘한 수법으로 돈까지 갈취하는 형태의 스파이웨어가 득세하고 있다. 랜섬웨어의 등장은 이에 대한 좋은 예라 하겠다.

전통적으로 스파이웨어는 개인 정보를 탈취해 판매하거나, 직접적으로 해킹에 이용하고, 광고를 노출하여 커미션을 챙기는 것이 보통의 수익 구조다. 광고는 전통적으로 노출당 혹은 클릭당 지불이 발생한다. 하지만 안티스파이웨어가 등장하여 광고를 노출하는 애드웨어의 수익 구조가 극도로 나빠지자, 스파이웨어 제작자들은 허위 안티스파이웨어를 제작하기 시작했다. 악성코드 치료 프로그램으로 위장하면 관련 법을 손쉽게 비켜갈 수 있으며, 치료 프로그램은 통상 사용자의 반감이 적기 때문에 대량 살포가 가능하다. 또 허위 진단 결과를 표시하여 치료를 위한 결제를 유도하여 사용자 주머니에서 직접적으로 쉽게 돈을 갈취할 수 있기 때문이다.

스파이웨어 배포와 돈의 흐름

여기에서 중요한 점을 간파할 수 있다. 스파이웨어의 주요 특징 중 개인 정보 탈취와 해킹은 현행법으로 처벌이 가능하므로, 나머지 특징의 스파이웨어는 스파이웨어 제작자로 향하고 있는 돈의 흐름을 막는다면 스파이웨어 제작 자체를 효과적으로 억제할 수 있다는 점이다. 필자는 이것을 진짜 스파이웨어 퇴치법이라 얘기하고 싶다. 돈이 되지 않으면 스파이웨어 제작자는 흥미를 갖지 않는다. 물론, 계속 법과 사용자의 허점점을 이용하는 새로운 기법이 등장하겠지만 말이다.

그렇다면, 허위 안티-스파이웨어 배포 흐름과 돈의 흐름을 좀 더 자세히 살펴보자.



맨 위에는 허위 안티-스파이웨어 엔진을 제작하는 업체가 있다. 그 아래에 이 엔진을 라이선스하고 이름과 껍데기만 다른 허위 안티스파이웨어를 제작하는 다수의 업체가 있다. 이들 업체는 ActiveX 형태로 허위 안티스파이웨어를 배포하는 방법을 구현한다. 배포는 직접 개입하지 않으며 머천트로서 제휴 마케팅 사이트에 허위 안티스파이웨어 ActiveX 배포 파트너 모집을 위탁한다. 제휴 마케팅 사이트는 파트너, 즉 어필리에이트를 모집한다. 머천트와 어필리에이트간의 계약은 설치당 일정금액, 결제당 커미션 몇 퍼센트 이런 식이다. 제휴 마케팅 사이트는 일정 비율의 수수료를 챙긴다. 그러므로 머천트와 어필리에이트간 계약이 성사되면 어필리에이트는 수단과 방법을 가리지 않고 대량의 허위 안티스파이웨어 ActiveX 를 살포하여 수익을 올리려 한다.

예를 들어, 머천트가 어필리에이트에게 설치당 45원을 지불한다고 가정해보자. 어필리에이트의 사이트 방문자가 하루 3000명이고 10개씩 설치를 시도하여 1000명에게 설치하고 5개를 성공적으로 설치한다면, 어필리에이트의 하루 수익은 20만원, 한 달이면 600만원이 넘는다. 머천트가 이런 지불을 보장한다는 의미는 설치 이후에는 허위 진단 결과를 표시하고 결재를 유도하여 좀더 큰 수익을 내고 있다는 의미다.

허위 진단 결과는 대부분의 사용자가 컴퓨터에 대한 전문 지식이 부족하다는 허점을 이용한다. 즉, 컴퓨터를 사용할 때 마다 반복적으로 생성되는 사용 내역, 임시 파일, 삭제해도 문제가 발생하지 않는 레지스트리 값을 스파이웨어가 진단된 것처럼 거짓으로 표시하고 사용자를 위협하여, 겁을 먹은 사용자가 결제를 할 수 밖에 없도록 유도하는 것이다. 결제 방법은 핸드폰 소액 결제를 주로 이용하며, 최소 3개월 이상의 사용기간과 별도 계약 해지 요청이 없을 경우 결제 기간을 자동으로 연장시키는 수법으로 수익을 극대화한다.

스파이웨어를 퇴치할 수 있는 근본책

바로 이런 돈의 흐름이, 끝없이 허위 안티스파이웨어가 제작되고, 살포되어, 사용자에게 금전적인 피해까지 안겨주는 근본적인 이유이다. 근자의 조사에서 제휴 마케팅의 어필리에이트로 학생들까지 대거 참여하고 있다는 사실을 발견할 수 있었는데, 이는 문제가 갈수록 더 심각해지고 있다는 증거라 하겠다.

법은 매우 엄격한 시스템이지만 유연성이 부족하기 때문에 변화의 속도를 따라잡지 못한다. 특히 인터넷, 악성코드와 관련된 법률은 현실을 철저히 외면하고 있다고 봐도 크게 틀린 것은 아니다. 문제는 반대로 업체들은 그 누구보다 부지런하고 바쁘게 뛰고 있으며 모든 변화의 선두에 서 있다는 점이다.

돈을 목적으로 한 “실행 가능한 코드의 악의적 배포”는 악성코드 배포로 규정하고 바이러스, 웜 제작과 마찬가지로 강력한 처벌이 뒤따라야 한다. 이것은 명백히 일반적인 제휴 마케팅 방식과 차이가 있기 때문이다. 또 진단 결과를 허위로 조작하는 것은 소프트웨어의 의도하지 않는 버그와는 그 성격이 판이하게 다르다. 악의적인 조작은 명백히 사기죄로 규정하고 강력히 처벌해야 한다. 물론, 비합리적인 결재 방식으로 금전적 손해를 입히는 것도 강력히 처벌해야 한다.

피싱, 허위 안티스파이웨어와 같이 사회공학적인 기법이 보안 전반에서 가장 큰 위협으로서 맹위를 떨치고 있다. 이는 믿을 만한 보안 제품을 사용하는 것만으로는 사용자의 안전을 보장할 수 없다는 의미이다. 그러므로 동시에 법적인 장치가 보완되어, 사용자의 권익을 보호함은 물론 근본적으로 악성코드가 제작되지 않도록 해야 한다. 진짜 스파이웨어를 퇴치하는 방법은 악성코드 제작자로 흘러가는 돈의 흐름을 잘라버리는 것이다.[Ahn]

[저자] 안철수연구소 ASEC 박준용 선임연구원