• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

부적절한 인터넷 광고, 불편한 진실과 현실! 2012.10.15

경쟁사 사이트로 연결되는 최근 인터넷 광고 둘러싸고 분쟁 확산

국산 유해가능 제휴 프로그램의 난립실태와 근절대책의 핵심은? 


[보안뉴스= 문종현 잉카인터넷 시큐리티대응팀장] 다년 간 무수히 많은 인터넷 이용자들에게 호기심 유발이나 인기검색 키워드 등으로 현혹하여 배포과정 상에 문제를 가지고 있고, 유해가능한 광고성 프로그램(Adware)을 무단 배포하는 수법이 나날이 심화되고 있는 실정이다. 

 


아직도 수많은 인터넷 이용자들이 잠재적으로 원하지 않는 프로그램(PUP:Potentially Unwanted Program)에 순간의 부주의로 반강제 노출되어 많은 불편함을 호소하고 있고, 피해도 속출하고 있는 상황이다.


이에 근본적인 대안과 철저한 근절대책이 요구되고 있는 시점이다. 이 때문에 대부분의 보안업체들이 Adware 종류를 악성으로 분류하고 치료기능을 제공하고 있지만, 금전적 수익을 높이기 위한 광고업체들은 육안으로 잘 보이지 않게 사용자 동의 및 약관을 포함하는 등 법망을 교묘히 우회시도하고 있고, 유포수법도 나날이 지능화되고 있다.


따라서 보안업체들은 유해성 판단을 위한 불법 유포경로와 근거자료(동영상 촬영 등) 확보에 부단한 시간과 인력을 투입하고 있는 상태이지만, 유포업체는 스스로 합법적 서비스라는 점을 강조하고 내세우고 있다.

보안업체가 근거자료를 보관하고 있지 않다고 판단될 경우 탐지예외 요청 및 내용증명 등 법적 항의서안들을 끈질기게 발송하여 보안업체들로 하여금 정상적인 업무를 방해하고 오히려 불필요한 업무에 많은 시간이 투입되고 자원이 소모되도록 유도하고 있어 큰 문제점으로 대두되고 있다.


방송통신위원회, 한국인터넷진흥원 등 주요 정부기관과 대검찰청, 경찰청 등 수사기관에서도 보안업체와 협력하여 부적절한 인터넷 광고업체에 대한 조사를 진행하고 있다. 그러나 대부분의 광고업자들은 이러한 것이 불법행위로 간주되고 법적으로 구속될 수 있다는 점을 인지하지 못하는 경우가 많다.


유해 광고프로그램 실태와 불법적 행위의 근원

인터넷 광고프로그램은 그 본질과 기능만으로는 절대 불법이나 유해가능 프로그램으로 분류할 수 없지만, 인터넷 광고노출 및 매출 수익금을 분배하고 고수익 창출을 목적으로 하는 스폰서나 인터넷 제휴 파트너 업체들의 부적절하고 무분별한 배포과정에서 유해성 부작용이 발생하게 된다.


이것은 짧은 시간에 수많은 이용자에게 해당 광고프로그램을 노출시키고 설치시켜야 수익률이 비례적으로 증가할 수 있는 광고 사업구조의 특성 때문이며, 정상적인 광고업체와는 별개로 제휴업체들을 통해서 비정상적인 유포행위가 아무 거리낌없이 꾸준히 자행되고 있는 문제점을 안고 있는 것이다.


이런 연장선상에서 불법적인 과정을 통해서 무차별적으로 배포되는 광고프로그램은 설치율이 높아지고, 결과적으로 수익이 높아짐에 따라 주 광고업체와 배포를 담당하는 제휴업체는 서로 암묵적으로 편의를 봐주거나 금전관계로 친밀하게 결탁되어 있는 것도 사실이다.


하지만 주 광고업체는 보안프로그램이 자신의 프로그램을 탐지하고 저지하면 일부 극소수 제휴업체의 불법적 행위로 간주되기 때문에 그 업체에게 경고 및 제재를 하기 위해서 유포처 및 탐지 근거자료 공개를 요구하고 있다. 하지만 그 자료를 공유해 줄 경우 그곳만 제거하고 다른 곳을 통해서 은밀히 유포를 지속하는 경우가 다반사이다.


이에 잉카인터넷은 현재 유포처 및 탐지 근거자료를 관계자외 비공개를 원칙으로 하고 있다. 이는 추후 정식 법적대응 및 불법적 행위의 근거자료와 수사기관에 제시하는 증거자료로 활용된다.


또한, 일부 제휴 및 파트너사의 불법적 단독행위가 있을 수 있으므로, 광고수익 손해에 대한 책임을 묻기 위해서는 각 제휴 배포사마다 다른 모듈을 제공하거나 배포지 추적이 가능하도록 구분코드를 삽입하여 제작하도록 하며, 사후관리 및 계약상 손해배상에 대한 책임의식을 가지도록 계약서상에 이를 구체적으로 명시해야 하는 관리적 책임을 가지고 있다. 일부 파트너사들의 비정상적인 배포를 관리하지 않았다면 이는 광고업체의 관리적측면에서 업무상 과실에 해당될 수 있다.


특히, 일각에서는 이런 배포용 프로그램을 아웃소싱 형태로 제작하고 배포해 주는 서비스까지 유료화로 운영하며, 해당 광고업체는 자신들의 이런 프로그램 배포사업 자체가 정당하고 합법적이라는 근거를 제시하기 위해서 대부분 정상적 절차와 비정상적인 방식의 배포를 동시에 사용하고 있다. 이를 통해 정상적인 서비스를 진행하고 있다는 점을 부각시켜 비정상적인 서비스는 일부의 잘못된 부분이라는 주장을 펼치게 된다.


그러나 비정상적으로 배포된 그 사실 하나만으로 악성파일 배포에 대한 법적책임을 묻게 될 수 있다는 점을 간과해서는 안되며, 최근 경찰과 검찰에 이런 형태로 적발된 사례가 보고되었다.


보안업체는 비정상적으로 배포된 근거만으로 Adware 진단정책에 포함한다.


정상적인 배포를 동시에 진행했다는 이유로 비정상적인 배포 모듈을 예외처리로 분류하고 적용하지는 않는다. 비정상적인 광고업체들은 거의 모두 정상적인 사이트를 함께 운영하며 마치 정상적인 사업범위로 활용하고 있기 때문이며, 정식 사이트에서 공식배포도 하고 있으므로 정상배포를 하고 있다는 이유만으로 비정상적인 모듈을 진단 예외정책에 모두 적용하지 않는 것이 기본원칙이다. 


합법과 불법을 자유자재로 이동하는 능력자?

초기 단계의 유해가능 광고 프로그램(Adware)들은 방문자수를 높이기 위한 광고목적의 ‘시작페이지 고정’이나 운영체제 바탕화면 또는 즐겨찾기 목록에 ‘바로가기 아이콘’을 생성하는 등 악의적인 의도보다는 순수한 광고방식에 널리 활용됐다.


그러나 점차 시간이 지남에 따라 사용자 정보를 불법 수집하거나 정상적인 배포방식과 동의 절차없이 설치되는 등 악의적으로 변질되기 시작했고, 광고수익금의 이익에 치중한 나머지 합법과 불법의 경계를 자유자재로 넘나드는 불균형이 초래되기 시작했다.


이렇듯 정상적인 광고프로그램이 본래의 배포과정에서 어긋나고, 일정한 기준이나 한도를 넘어 남용 수위가 높아지면서 보안업체들의 대응범위도 넓어졌다. 거기에 사용자가 인지하지 못한 상태에서 비상식적으로 동의시킨 매월 소액 자동결제 서비스나 허위 또는 불량한 유료 서비스를 통해서 사용자에게 금전적 피해 부담을 입히는 경우가 종종 발견되고 있다. 이로 인해 경찰 등 수사기관에 의해서 검거되는 해결사례도 다수 있었지만, 보안업체와 일부 부적절한 광고업체간의 유해성 공방은 지금까지도 현재진행형이다.


이런 유해성 공방은 현 법률상 인터넷 광고의 유해성 및 가능범위를 확실하게 규정할 수 있는 법적근거와 기준이 모호하고, 광고업체들은 법적인 문제점을 피하기 위해서 다양한 우회기법을 활용하고 있는 점을 지적할 수 있다. 아울러 실제 재판에서 무죄판결 판례와 이미 고수익을 통한 재력을 보유한 경우 전문 변호인단을 앞세워 자신들의 정당성을 주장하기도 한다.


부도덕한 애드웨어 주의보! 관심을 미끼로 낚시질을 한다.

악의적인 광고성 프로그램들은 일반 사용자들이 어떤 과정을 통해서 설치됐는지 스스로 인지하지 못하고 있는 것이 안타깝지만 현실이다. 부적절한 인터넷 광고업체들은 불특정 다수의 이용자들을 표적으로 삼고 있으며, 시종일관 더 많은 사용자들에게 자신의 광고프로그램을 설치시키기 위해 혼신의 노력을 다하고 있다.


보통 인터넷 광고프로그램 개발사들은 정상적인 법인체와 웹사이트를 구축해 합법적으로 운영하고, 해당 웹사이트를 통해서 광고프로그램 소개와 배포 등을 서비스한다. 그러나 일반 사용자가 해당 광고업체의 웹 사이트를 직접 방문하고, 광고 프로그램을 자신의 선택과 의지로 설치할 확률은 거의 0%에 가깝다고 해도 과언이 아니다.


그렇다보니 광고업체는 인터넷 배포방식에 대한 다양한 방식을 검토하고 도입시도를 하게 된다. 대형 포털사이트 등과 공식적인 광고계약을 체결하고 정상적인 절차로 프로그램을 배포할 경우 적정한 규모의 광고비용이 책정되어 사용되어야 하지만, 도덕성을 무시하고 오직 수익에만 급급한 부도덕적인 업체들의 경우 인터넷 사용자들이 최대한 인지하지 못하게 조작수법을 도입해 Adware 파일이 사용자몰래 광범위하게 설치되도록 유인하고 있다.


이는 결국 합법적 절차를 거친 정상적인 광고프로그램 개발사에게까지 직·간접적인 손해를 끼치고, 정당한 광고사업을 방해하는 단초 역할을 하게 된다.


프로그램 다운로더의 주 목적? 사용자 몰래 Adware 설치!

먼저 유명 게임이나 유·무료 프로그램, 실시간으로 이슈가 되고 있는 인기 검색 키워드나 파일 등으로 사칭하여 사용자의 검색유입을 유도하고 개인 블로그나 포털 카페 게시글, 덧글 등을 통해서 파일 다운로드를 유인한다.

 


URL 링크를 클릭하게 되면 다음과 같이 파일이 다운로드된다.

 


보통 이런 프로그램의 경우 제휴목록이나 동의 및 약관이 일부 포함되어 있지만, 화면 하단이나 모서리에 작게 등록하여 육안상 잘 보이지 않도록 구성하고 글자색도 회색 등 배경화면과 거의 유사한 색을 사용한다.


또한, 스크롤바를 통해서 설치목록이 극히 일부만 보여지도록 만들어 다수의 프로그램이 동시에 설치되는 것을 숨긴다. 이처럼 일반 사용자가 제휴프로그램 설치과정을 즉각 인지하고 선택을 해제할 확률은 매우 낮아지게 된다.


따라서 광고업체들은 정상적인 동의와 약관 등을 명시했기 때문에 자신들은 법적으로 전혀 문제가 되지 않는다고 황당한 주장을 하고 있는 것이다. 이것이 바로 일종의 법망을 우회하기 위한 찌질한 수법 중에 하나다.

 


수개월 동안 유행처럼 가장 많이 사용되는 수법은 특정 프로그램 다운로더(Downloader)나 실행기(Launcher)처럼 보이도록 만든 후 해당 프로그램을 설치해 주는 목적으로 제휴프로그램을 함께 설치하게 만드는 형태이고, 대표적인 프로그램 화면들은 다음과 같다.

 


이런 종류의 프로그램들은 사용자가 원하는 프로그램을 제공하는 것이 아니고, 특정 광고프로그램들을 대거 설치하는데 그 주목적이 있다. 그리고 대부분 프로그램 다운로드 기능은 관련된 이미지만 보여주는 등 빚 좋은 개살구이거나 허울 뿐이며, 기능 자체가 무용지물이다.


국산 Adware 근절 대책의 핵심, 광고 제휴프로그램에 대한 규제 강화

가끔 주변에 있는 지인들로부터 듣게 되는 질문이 하나 있다. 홍수처럼 쏟아지는 수많은 광고프로그램 중에서 정상과 악성을 구분하는 구체적인 근거 기준이 과연 무엇인가에 대한 것인데, 그 질문에 서슴지 않고 이렇게 답한다. “유포과정 및 설치방식에 대한 정당성과 사용자 입장에서의 잠재적 피해가능성 여부”


Adware 프로그램들은 대다수가 도덕성이 결여되어 있고, 최종목적은 반드시 금전적 수익과 결부되기 때문에 정당한 배포와 설치방식과는 절대로 부합할 수 없는 조건을 갖추고 있다.


따라서 이러한 문제를 근본적으로 해결하기 위해서는 사용자 입장을 최우선적으로 고려하여 △유해가능 배포과정 및 설치방식에 대한 가이드와 기준안이 마련되어야 하고, △형식적인 사용자 동의절차나 약관 보여주기 방식이 개발사와 배포사를 법적 분쟁으로부터 안전하게 보호해 주는 범위에 포함되지 않도록 강력히 규제해야 한다.

 


또한 △별도의 제휴 또는 파트너 프로그램을 함께 배포하는 경우 사용자에게 모두 보여지고 직접 선택해야지만 설치가 진행될 수 있도록 부가 프로그램 설치에 대한 규제를 강화해야 한다. 이와 함께 설치되는 셋업화면이 백그라운드가 아니라 사용자에게 모두 육안으로 확인될 수 있도록 하며, 언제든지 제거할 수 있는 언인스톨 기능을 포함해야 한다.

[글_ 문 종 현 잉카인터넷 시큐리티대응팀장]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>