애물단지 ‘스파이웨어’

사진/쿠키저장질문,신뢰도 높은 엑티브엑스의 배포.

일단 정보의 유출에서 가장 문제가 되는 것은, 컴퓨터 시스템 내 보안이 허술한 비밀 통로인 백도어(back door)에 숨어들어 주요 정보를 크래커(cracker, 네트워크를 통해 다른 컴퓨터에 침입하는 사람으로 보통 해커라 부름)에게 전달해주는 ‘트로이의 목마’나 ‘백오리피스’ 같은 악의적 고의적 프로그램들이다. 이들은 거의 바이러스와 같이 취급받으며, 백신 프로그램에 의해 즉각적인 제거 대상이 된다.

하지만 좀더 미묘한 것들이 있다. 웹브라우저라는 제한된 기능을 가진 인터넷 도구의 한계를 극복하기 위해 업체들에서는 좀더 활발한 커뮤니케이션을 돕는 제어 수단들을 사용자 컴퓨터가 다운받도록 하고 있기 때문이다.

예를 들어 로그온할 때나 전자상거래시 매번 아이디와 신용카드 번호를 재입력할 필요가 없도록 해주는 ‘쿠키’(cooki, 윈도 폴더 아래 쿠키 폴더에 저장됨), 웹사이트에 접속했을 때 ‘어느어느 회사에서 배포하는 무슨무슨 프로그램을 다운받으시겠습니까’ 하는 대화상자가 뜨고, ‘예’를 누르면 설치되는 엑티브엑스 컨트롤(activex control) 등이 그것이다. 대부분은 웹브라우저의 제한된 기능을 확장시켜, 데이터 베이스의 빠른 검색이나 3D 그래픽 구현, 화상채팅 등 웹사이트와 내 컴퓨터간의 다양하고 편리한 빠른 정보교환이 가능하도록 개발되었다.

사진/스파이웨어 제거 프로그램 ad-aware 4.0이 스파이웨어를 찾아낸 모습.

그러나 문제는 이러한 의도 이외에, 회사의 상업적 목적을 위한 경우가 점점 많아지고 있다는 점이다. 단순히 커뮤니케이션 수단이라기보다 소비자 정보 수집과 광고 편의를 위해 개발된 음험한 기능을 가진 것들을 스파이웨어(스파이 소프트웨어)라 부른다. 이들은 대부분 무료 소프트웨어를 설치할 때 함께 딸려오는데, 설치할 때 사용자의 동의를 얻기 때문에 법적으론 하자가 없다(물론 약관 중간부분에 눈에 띄지 않게 씌어 있어 알아보기 쉽지 않다). 또 나쁜 목적을 가지는 것이 아니고, 사용자와 서비스 업체가 서로 이익을 보려는 것이라는 주장도 있다. 하지만 문제는 이름, IP주소, 설치된 소프트웨어의 목록, 방문한 인터넷 사이트의 목록, 클릭한 배너광고 등의 정보를 유출시키기 때문에, 크래커나 악의적인 업체에 의해 피해를 입거나 귀찮은 광고메일에 시달리게 될 수도 있다는 점이다.

‘당신은 지금 -번째 방문하셨습니다’라는 메시지를 보여주는 정도의 쿠키도 사생활 침해라고 문제가 되는 마당에, 이런 스파이웨어들이 문제시되지 않을 수 없다. 이를 제거하기 위해 많은 사람들이 깁슨리서치(grc.com/optout.htm)의 옵트아웃(OptOut)을 내려받아 자신의 컴퓨터를 검사하고 있다.

이런 보안상의 문제를 일으키고 싶지 않다면, 사용자들은 리얼오디오 등 무료 소프트웨어를 사용하지 않고, 웹브라우저의 보안 기능을 최대로 올려놓고, 웬만한 사이트의 엑티브엑스 배포나 쿠키 요청을 거절하면 된다. 더 나아가 강력한 백신을 수시로 가동하고 방화벽(firewall, 접속이나 정보 유출을 차단하는 소프트웨어)을 설치해 정보의 흐름을 차단시키면 된다.

그러나 이런 방어책들은 바로 인터넷의 가장 중요한 기능인 커뮤니케이션 기능을 제한하고 더 나아가 ‘인터넷’이라는 정보의 바다의 가능성을 막을 수 있다. ‘바다’의 어느 한편을 막을 수 있던가? 막아버린다면 썩어버리거나 딱딱한 땅으로 변해 더이상 바다가 아니게 되는 것이다.

이수영/ 인터넷 서퍼·자유기고가 chien73@hanmail.net