정통부, 현행 스파이웨어 분류기준 현실에 맞게 개정

정보통신부는 인터넷 이용자 보호를 위해 이용자의 명시적인 동의 없이 설치되는 액티브(ActiveX) 방식의 프로그램을 스파이웨어 프로그램으로 분류 하는 등 현행 스파이웨어 분류기준을 현실에 맞게 개정한다고 밝혔다.

ActiveX 방식의 프로그램은 윈도우 사용자들이 인터넷을 편리하고 쉽게 이용하도록 마이크로소프트사에서 개발한 것으로 인터넷 익스플로러를 위해 고안된 기술이다.

2005년부터 스파이웨어를 ┖정보통신망 이용촉진 및 정보보호 등에 관한 법률┖에 의한 악성프로그램의 일종으로 보고 이에 대한 구체적인 기준을 마련하여 시행해 오고 있으나 최근 스파이웨어 제거 프로그램 실태조사 결과 이용자의 명시적인 동의 없이 액티브X 방식으로 설치되는 프로그램이 이용자에게 피해를 입히는 경우가 많다는 지적이 있어 이를 기준에 반영하게 되었다.

현행 스파이웨어 기준은 이용자의 동의 없이 설치하거나 속여 설치하는 프로그램을 금지하고 있으나 액티브X 보안 경고창만을 이용하는 경우 이용자와 프로그램제공자간 동의여부에 대해 논란이 있어 이번에 개정된 스파이웨어 기준에서는 이용자 이익보호를 위해 원칙적으로 이를 이용자의 동의를 구한 것으로 간주하지 않는다는 점을 명확히 규정하였다.

다만 액티브X 설치 방식을 일률적으로 동의로 보지 않고 스파이웨어 프로그램으로 분류할 경우 금융기관 또는 전자정부 사이트의 액티브X와 같이 안전한 서비스 이용을 위해서 설치해야하는 프로그램까지 포함되는 문제가 발생할 수 있으므로 이용자가 방문한 사이트에서만 실행되고 그 사이트를 벗어나면 실행되지 않는 프로그램은 예외로 허용하기로 하였다.

그동안 현행 기준에서 규정한 ‘정상 프로그램’의 의미가 관점에 따라 달리 해석되는 경우가 많아 ‘이용자가 그 용도를 명확하게 인지하고 동의한 프로그램’으로 명확히 정의하였다. 아울러 정상 프로그램의 운영을 방해·중지·삭제하는 행위와 정상 프로그램의 설치를 방해하는 행위뿐만 아니라 호스트 파일 변경 등 시스템의 설정 변경 또는 운영 방해·중지·삭제도 악성행위에 포함시켜 규정하였다.

또한 현행 기준은 컴퓨터 키보드 입력 내용 또는 화면 표시 내용을 수집·전송하는 행위만 규정하고 있으나 스파이웨어가 파일·레지스트리 등 시스템 정보를 수집하여 전송하는 경우도 다수 확인되어 이를 기준에 포함시켰다.

한편 스파이웨어 사례집을 보호나라(www.boho.or.kr) 홈페이지에 게재하여 실제 어떤 유형의 스파이웨어가 있는지와 어떤 형식으로 설치되고 어떤 행위를 하는지 구체적인 사례를 제시하였으며 이와같은 스파이웨어 프로그램을 전달 또는 유포하는 자는 ┖정보통신망 이용촉진 및 정보보호 등에 관한법률┖ 제71조의 규정에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있다고 밝혔다.

정통부 정보보호기획단 정보보호정책 박위규 사무관은 “앞으로 정보통신부는 이용자의 명시적인 동의없이 액티브X 방식으로 설치되는 프로그램은 스파이웨어로 분류된다는 사실을 프로그램 제작업체가 인지하도록 하여 스파이웨어 기준에 해당되는 부분을 삭제하도록 조치하고 실태조사을 통해 적발된 스파이웨어는 경찰청에 수사의뢰하거나 공정거래위원회에 시정조치하도록 요청할 것”이라며 “향후 스파이웨어에 대해 적극적으로 대응해 나감에 따라 인터넷 이용자의 피해가 상당부분 해소될 것”이라고 기대하고 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>