실시간 뉴스



[강은성]정통망법 전면 개편에 거는 기대


올해 7월 개정안이 시행된 뒤 벌써 사실상의 인터넷 검열이다, 신규 가입자가 크게 줄었다는 등 여로 모로 논란이 많은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(이하 정통망법)에 대해 개정 논의가 활발하다.

정통부가 이렇게 대대적인 개편을 추진하는 것은, 정통망법이 1986년에 제정된 이후 20여 차례 개정돼 체계성과 일관성이 부족하고, 변화하는 정보통신 환경을 제대로 반영하고 있지 못다고 판단했기 때문이다.

필자 역시 정통부의 판단에 전적으로 공감한다. 특히 2002년 즈음에 나타나기 시작해 2005년부터 극성을 부리고 있는 스파이웨어는 정통망법이 반영하고 있지 못하는 대표적인 정보통신 환경이다. 많은 인터넷 사용자들을 자신도 모르게 성인 사이트로 연결시키고, 보고 싶지 않은 광고를 지속적으로 띄우고, 온라인 게임의 계정 정보를 빼가는 등의 내가 원하지 않는 행위를 하는 프로그램을 한두 번은 겪어 보았을 것이다.

삭제하려고 해도 어떻게 삭제하는지 모르겠고, 삭제했다고 생각했는데 어느 새 보면 다시 실행되고 있는 프로그램에 대한 불만들을 여러포털의 게시판에서 쉽게 볼 수 있다. 스파이웨어의 대표적인 증상들이다.

스파이웨어에 대한 대응을 위해 보안 업체, ISP 업체, 네트워크 보안장비업체, 시민단체 등이 모인 안티스파이웨어 국제기구인 '안티스파이웨어연합'(www.antispyware.org)에서는 스파이웨어를 좁은 의미와 넓은 의미로 정의한다. 좁은 의미의 스파이웨어는 사용자의 정보를 수집하거나 행위를 모니터하는 프로그램이고, 넓은 의미의 스파이웨어는 사용자의 적절한 동의 없이 설치, 운영되어, 컴퓨터에 대한 사용자의 통제 권한을 침해하는 것으로 정의하면서, 넓은 의미의 스파이웨어를 일반적인 스파이웨어라고 정의한다.

이것은 컴퓨터의 주인이 사용자이므로, 컴퓨터 안에서 이뤄지는 일들이 사용자의 동의와 통제 범위 안에서 이뤄져야 함을 명확히 한 '컴퓨터에 대한 사용자 주권 선언'이라고 할 수 있다.

스파이웨어는 애드웨어에서 시작했다. 즉 기업이 마케팅 수단으로 스파이웨어를 제작한 것이다. 초기의 스파이웨어는 제작자가 사용자에게 단순히 팝업 광고를 더 많이 보게 하는 게 목표였다면, 요즘에는 대부분 직접 돈을 벌기 위한 목적으로 스파이웨어를 제작한다.

인터넷 사업 모델들 중 많은 것들이 많은 사용자들이 이용하는 것을 바탕으로 유료 사용이나 광고를 통해 돈을 벌 수 있기 때문에 어떻게 하든 일단 많은 PC에 해당 프로그램들을 설치하려고 한다. 이를 위해 스파이웨어 제작자들은 ‘제휴 마케팅’이라는 이름으로 자신의 프로그램을 배포하는 사람들에게 일정한 비용을 지불한다. ‘스파이웨어 비즈니스’의 기본 뼈대다.

요즘은 사용자 제작 콘텐츠(UCC)가 인기를 끌고 있어서 그런지 스파이웨어 배포 방법으로 코덱(CODEC) 프로그램인 것처럼 속이는 경우가 많다. 인터넷 카페나 성인 사이트에 들어갔을 때, 동영상을 보기 위해 필요한 프로그램(코덱)인데 설치하겠느냐는 '보안 경고창'이 뜰 때, 설치하겠다고 '예' 단추를 누르면 서너 개의 프로그램이 쫙 설치된다. 제작자는 제휴코드를 통해 스파이웨어가 설치된 수를 집계하여 사전에 정해진 금액을 배포자에게 지급한다. '스파이웨어 비즈니스'가 손쉽게 돈을 벌 수 있는 비즈니스로 자리 잡은 것이다. 인터넷 사용자 수, 인터넷을 통한 일상적인 생활 영위, 날로 빨라지는 인터넷 속도 등 국제적으로도 인정받는 인터넷 환경과 UCC와 같은 웹2.0의 흐름, 소규모 투자로 사업을 벌일 수 있는 사업의 특성으로 인해 허위 안티스파이웨어를 비롯한 '스파이웨어 비즈니스'는 더욱 강화될 것으로 보인다.

스파이웨어는 대규모로 살포되면서 사용자들의 동의를 받지 않고 설치될 뿐 아니라 설치 과정을 사용자에게 보여 주지 않기 때문에 설치 중간에 중단할 수도 없다. 또한 명시적인 삭제 방법을 제공하지 않기도 하고, 루트킷과 같은 은폐기술을 통해 보안 제품이 발견하거나 제거하기 어렵게 만들기도 한다. 최근에는 보안 취약점을 공격하는 웜 기능까지 포함하여 자체 전파력을 가진 것도 스파이웨어도 나타났다.

특히 2006년부터는 허위 안티스파이웨어가 기승을 부렸다. 허위 안티스파이웨어란 스파이웨어 제거(안티스파이웨어) 프로그램을 표방하면서 실제로는 스파이웨어처럼 배포되고 동작하는 프로그램을 말한다. 무료 검사를 통해 스파이웨어가 하나도 없는 초기 상태에서도 스스로를 스파이웨어로 진단하여 사용자들에게 유료 치료를 유도하는 사기 프로그램까지도 나타났다.

안철수연구소가 자체적으로 집계한 허위 안티스파이웨만 수만도 2006년부터 120개가 넘는다. 게다가 대다수 허위안티스파이웨어들은 치료시 결제를 요구하고, 이 때 결제 정보를 이용해 자동으로 매달 돈을 인출해 간다.

한국소비자원에 따르면, 안티스파이웨어 피해 상담은 올 상반기에 499건으로 지난해 같은 기간보다 80.1% 늘었고, 이 중 자동 연장 결제 및 해지 거절, 본인 동의 없이 결제 등 결제 관련 피해가 신고건수의 92.6%에 달했다고 한다. 3천원 정도의 적은 돈이 휴대폰 비용이나 카드 값에서 빠져 나가기 때문에 크게 신경을 쓰지 않는 것을 악용한 것이다. 안연구소에도 이러한 허위 안티스파이웨어를 진단, 치료해 달라는 요구가 들어 온다.

정통망법 제48조 2항에는 "누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손· 멸실· 변경· 위조 또는 그 운용을 방해할 수 있는 프로그램("악성프로그램")을 전달 또는 유포하여서는 아니된다."고 규정하고 있고, 이를 위반한 자는 "5년 이하의 징역, 5천만원 이하의 벌금에 처한다"(제62조)고 되어 있다. 이것 때문만은 아니겠으나, 이러한 법률 규정이 바이러스, 웜, 트로이목마 등 악성 프로그램 제작자들이 국내에 거의 없는 주된 원인임에는 틀림없다.

아직 스파이웨어에 대한 법률 규정은 없다. 정통부가 2005년 8월에 7가지 스파이웨어 기준을 만들고, 이에 부합하는 것을 정통망법 상의 악성 프로그램으로 간주하여 처벌할 수 있다는 규정을 만들었다. 이 규정이 업계에서 스파이웨어를 진단하는 데 도움이 되고, 소송 발생시 법원에서 참고하고 있으나, 법률이 아니어서 스파이웨어 제작을 억제하는 데까지 이르지는 못하고 있다.

보안업체가 보안제품을 잘 만들고, 사용자가 자신의 컴퓨터에 설치되는 프로그램에 주의를 기울이는 것만으로 스파이웨어를 해결할 수 있는 시기는 지났다. 이제 스파이웨어로 인한 국민의 피해를 줄이고, 우리 아이들도 즐겁게 뛰놀 수 있는 건강한 인터넷 사용 환경을 만들어 나가기 위해 정부와 국회가 적극적으로 나서야 할 때라고 생각된다.

정통부는 연말까지 업계, 학계, 시민단체 등 각계의 의견을 수렴하여 정보보호법 발전 방안을 구체화할 계획이라고 한다. 마침 3가지 법률 중 하나인 '정보통신이용자보호법'에는 불법 유해 정보에 대한 규제 및 광고성 정보전송 행위에 대한 규제를 강화하는 내용을 넣는다고 한다. 컴퓨터에 대한 사용자의 통제 권한을 최대한 보장하는 방향으로 스파이웨어 대한 기준을 수립하고, 이를 위반하는 행위에 대한 강력한 처벌을 법제화함으로써 국민의 피해를 막을 수 있는 좋은 기회가 아닐 수 없다. 정통망법 전면 개편을 통해 인터넷 세상이 좀더 안전하게 되길 기대해 본다.

/강은성 안철수연구소 상무







alert

댓글 쓰기 제목 [강은성]정통망법 전면 개편에 거는 기대

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스