방통위, 구 정통부 시절 개정된 ‘스파이웨어기준’ 현재까지 통용

스파이웨어 관련 법령, 사용자 피해 극대화된 후 만들면 늦어

지난 2005년 8월, 구 정보통신부는 ‘스파이웨어 관련 가이드라인’을 제시했다. 그리고 이러한 스파이웨어 관련 가이드라인은 2007년 12월, 정통부에서 다시 개정되었고 이는 현재 그대로 적용되고 있다.

당시 정통부는 스파이웨어 가이드라인 개정과 관련 “이용자의 명시적인 동의 없이 설치되는 액티브 방식의 프로그램을 스파이웨어 프로그램으로 분류하는 등 현행 스파이웨어 분류기준을 현실에 맞게 개정한다”고 밝혔다. 즉, 사용자 동의 없이 액티브 방식에 의한 스파이웨어 설치는 인정할 수 없다는 것이다.

또한 정통부는 “실태조사를 통해 적발된 스파이웨어는 경찰청에 수사의뢰하거나 공정위에 시정조치 하도록 요청하는 등 적극적으로 대응해 나갈 것”이며, “이에 따라 인터넷 이용자의 피해가 상당부분 해소될 것으로 기대한다”고 밝힌 바 있다.

그리고 그러한 정통부의 기대만큼 일방적인 액티브 방식에 의한 스파이웨어 설치는 거의 사라진 것이 사실이다. 하지만 현재로써는 사용자 동의를 받고, 제공자들은 당당하게 스파이웨어를 설치하고 있는 실정이다. 사용자 모르게 약관 동의를 받고 말이다.

이는 현재 정통부의 역할을 하고 있는 방송통신위원회가 당시 정통부가 밝힌 바와 같이 “현행 스파이웨어 분류기준을 현실에 맞게 개정”할 필요가 다시금 생긴 대목이 아닐까!

거기에 덧붙여 방통위나 한국정보보호진흥원(KISA)은 최근 M사의 바이러스프로그램 무죄판결 등의 사건이 준 교훈(?)으로 ‘스파이웨어기준’에 그치지 않고, 스파이웨어에 대한 분명한 법적명시를 만들 필요가 있다.

알다시피 M사의 사건은 망법과는 무관하게 사기죄로 진행됐으며, 애초에 M사의 백신프로그램은 사용자 이용약관을 받은 후 사용자에게 결재를 유도했기 때문에 망법에 위배되는 부분이 없었다.

이는 과거 정통부가 만든 ‘스파이웨어기준’을 아무런 개선 없이 현재에까지 이르게 한 것이 원인이라 여긴다.

위 M사 사건 시, KISA는 전문기관으로 법정에 “단순한 텍스트파일(트래킹 쿠키)을 마치 웜 바이러스처럼 진단하는 것은 문제가 있다”는 의견을 제시한 것으로 알고 있다. 하지만 법원은 이러한 KISA의 의견은 뒤로 하고, M사가 제출한 자료(외국 업체들이 트래킹 쿠키를 진단하고 있다는 내용 등)를 우선으로 해 무죄판결을 선고했다.

물론 판결 전문을 보지 못한 상태라 딱히 꼬집어 말할 순 없겠지만, 이 부분만 놓고 볼 때 이는 국내 최고전문기관인 KISA 입장에서 쉽게 간과하고 넘겨서는 안될  문제다.

방통위나 KISA 측이 사법부 판결에 대해 이의를 제기할 순 없을 것이다. 그렇다고 그냥 넋 놓고 이번 사건을 간과한다면, 이후 이로 인한 가짜백신·안티스파이웨어 사이트들의 범람에 따른 결과는 M사의 90여억 원 횡령 그 이상의 결과를 초래할 것이 자명하다.

약관 문제는 방통위나 KISA 측이 담당하지 않는다고 발뺌만 할 것이 아니라, 이를 담당하고 있는 공정거래위원회나 한국소비자원 등과 공조를 통해 법적체계를 갖추고 다시는 이러한 사건이 재발하지 않도록 해야 할 것이다.

거듭 강조하거니와 방통위나 KISA는 이러한 가짜백신·안티스파이웨어 사이트들로 인한 인터넷 이용자의 피해가 상당부분 발생하고 있는 현 시점에서, 경찰청에 수사의뢰를 하거나 공정위에 시정조치토록 하는 요청에만 그쳐서는 안된다.

기존 ‘스파이웨어기준’을 현실에 맞게 다시금 개정을 하는 것은 물론 좀더 적극적으로 이러한 일련의 가짜무리들이 인터넷 상에 발을 들이지 못하도록 하는 스파이웨어법 등의 컴플라이언스를 만들어야 할 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>