자라보고 놀란 가슴, 솥뚜껑보고 계속 놀랄까?

바이러스나 웜에 의한 피해를 직접 경험해 보지 못한 PC 사용자라면, ‘바이러스 피해쯤이야’라고 생각할지 모른다. 하지만 바이러스에 감염돼 운영체제를 다시 깔고, 모든 데이터를 잃어버린 사람이라면 백신이나, 악성코드의 무서움을 알고 있다. 때문에 자신의 PC에 어떤 문제가 생길지에 대해 관심을 갖고 지켜보고, 또 각종 툴을 설치해 운영해 보기도 한다. 이런 사람들은 PC가 조금만 이상해도 왜 그런 것인지, 다른 조치가 필요한 것인지 고민하게 된다. 최근 각 포털 사이트가 제공하는 PC 점검 서비스는 이런 소비자의 심리를 정확하게 파고들고 있다 해도 과언이 아니다. 하지만 어쩌다 한번일 뿐, 자라보고 놀란 가슴이 언제까지나 솥뚜껑보고 놀랄 수는 없지 않을까.   

최근 포털 사이트에서 ‘PC가 느려졌습니까, ‘원하지 않은 페이지가 시작페이지로 고정 됐습니까’, ‘개인정보 유출이 걱정 되십니까’라는 광고의 PC 점검 서비스를 흔히 볼 수 있다.

올해 초부터 대부분의 포털 사이트가 실시하는 이 PC 점검 서비스는 사용자 PC의 유해한 프로그램을 검색·삭제하기 위한 것으로 스파이웨어나 애드웨어와 같은 비 바이러스 계열의 악성코드 검사를 대상으로 한다. 이들 서비스는 별도의 비용을 지불하는 유료 서비스(단, 진단은 무료 서비스임)임에도 불구하고 최근 반복되는 개인정보 유출 사고와 바이러스나 웜에 의한 피해가 등장하면서 일반 유저들까지도 높은 관심을 보이고 있는 것으로 알려져 있다. 일종의 반사이익이라고 볼 수 있지만 실제로, 포털 사이트가 제공하는 PC 점검 툴은 이런 불안한 사용자의 마음을 알기라도 하듯, 수십개의 악성 프로그램을 검색해 냄으로써 그 기대에 부흥(?)하기도 한다.

하지만 이 PC 점검 서비스에 대한 의문을 제기하는 일반인들도 적지 않다. 과연 악성코드라는 것이 무엇이고, 이들이 말하는 악성코드와 바이러스는 어떻게 다른지, 개인정보를 유출할 정도의 유해 프로그램이라면 기존 백신은 왜 못 잡는지, 마지막으로 백신이 못 잡는 혹은 잡지 않는 이들 악성 프로그램의 삭제를 위해 정말 유료 서비스를 받아야 하는지 등이 최근 PC 점검 서비스를 둘러싼 이슈들이다.

악성코드가 뭐예요?

악성코드는 사용자의 동의 없이 컴퓨터에 설치돼 유해한 영향을 끼치는 프로그램 혹은 코드라고 정의해 볼 수 있다. 일반적으로 이 악성코드는 웜이나 바이러스, 트로이얀, 백도어와 같은 바이러스 계열과 대부분의 PC 점검 서비스가 검색·삭제하는 스파이웨어나 애드웨어와 같은 비 바이러스 계열로 구분된다. 바이러스에 대해서는 비교적 많이 알려져 있기는 하지만 비 바이러스 계열의 프로그램에 대해서는 잘 알려져 있지 않은 것이 현실이다.

비 바이러스 계열의 악성 프로그램으로는 애드웨나 스파이웨어 등이 존재하는데, 그중 애드웨어는 광고를 실은 소프트웨어로써 프로그램 내에 특정한 ‘광고내용 게재를 전제’로, ‘사용자의 동의’를 얻어 일반인들에게 무료로 배포되는 소프트웨어를 의미한다. 즉, 사용자의 방문 사이트, 사이트 체류시간, 배너 광고 클릭횟수 등 이용자의 웹 서핑 습관을 모니터링해 각 유저의 관심사를 분석, 마케팅 수단으로 활용하는 프로그램이라고 볼 수 있다. 반면, 스파이웨어는 애드웨어와 달리, 사용자의 동의 없이 사용자 컴퓨터에 설치돼 인터넷의 접속동향 및 사용자의 인터넷 사용정보를 파악하는 프로그램으로 알려져 있다. 이들 프로그램들은 컴퓨터에서 컴퓨터로 감염되는 바이러스나 웜과 달리, 일반적으로 Active-X를 통해서 사용자의 PC에 설치되는 과정을 거친다. 때문에 자신이 알지 못한 프로그램이라 하더라도, 모든 프로그램을 불법이거나 악성코드라고 단정 지을 수는 없다. 현재 서비스되는 PC 점검 서비스는 이런 종류의 프로그램에 대해 유해성과 불법성을 선별해 PC 상에서 검색·삭제하게 된다.

업체마다 기준은 제각각

그런데 이와 같은 비 바이러스 계열 악성코드의 성격과 전파방법에도 불구하고 이들에 대한 정의는 그리 명확한 편이 못 된다. 이는 Active-X를 통해 PC에 설치되는 이들 악성 프로그램에서 ‘사용자의 동의’라는 문제를 어떻게 판단할 것인지, 또 이들 프로그램이 PC 상에서 어떻게 사용자에게 유해한지를 일괄적으로 구분하기가 쉽지 않기 때문이다. 물론 이런 상황은 비 바이러스 프로그램을 잡는 PC 점검 서비스를 제공하는 업체들에게도 예외가 아니다. 현재까지는 비 바이러스 프로그램에 대한 정의는 고사하고 이들에 대한 명칭조차 통일되지 않고 있다.

표에서 볼 수 있는 불법과 악성코드와 정상 프로그램을 판단하는 기준인 사용자의 동의, 유해성과 악의적 행위 가능성 등에 대해 관련 업체가 정의하는 기준과 명칭이 모두 다르다는 것을 알 수 있다. “사용자의 동의에 대한 정의를 어떻게 정하느냐에 따라 비 바이러스 계열 악성코드를 검색하는 결과나 범위는 천차만별”이라고 밝힌 비 바이러스 계열 악성코드 솔루션 업체의 한 관계자는 “이로 인해 사용자들이 느끼는 혼란이 있을 수 있다”고 인정하기도 한다. 포털 사이트가 제공하는 유료 PC 점검 서비스에 대해 등장하는 많은 의문과 문제는 여기에서 출발한다.

포털 사이트 PC 점검 툴의 검색 결과 비교해 보셨나요?

악성 프로그램에 대한 정의나 기준이 명확하지 않다는 사실은 곧 점검 툴을 사용해 검색해 내는 비 바이러스 악성코드의 내용도 서로 다를 수 있음을 의미한다. 실제로 이들 점검 툴을 사용해 동일한 PC의 악성코드를 검색한 결과, 서로 다른 이름의 악성코드와 악성코드 수가 검색된다는 사실을 알 수 있다. 또 지금은 개선되고 있기는 하지만 바이러스 등과는 달리, 이들 서비스를 통해 발견한 악성코드가 어떤 유해성을 갖고 있는지를 사용자가 알아내기도 쉽지 않다. 때문에 사용자들은 검색 결과의 수에 따라 자신의 PC 보안수준을 가늠하기도 한다. 하지만 이런 차이는 사용자의 동의를 서비스 제공업체가 어디까지 인정할 것이냐의 문제와 유해성의 기준을 어디까지로 볼 것이냐에 따라 그 결과는 얼마든지 달라질 수 있다.

상황이 이렇다 보니, 포털 사이트에서 제공되는 PC 점검 서비스를 받는 사용자가 느끼는 혼란은 가중될 수밖에 없다. 또 검색된 프로그램에 대한 명확한 정의가 없어 이들이 어떤 유해 프로그램인지, 이들 프로그램이 진정 악영향을 끼치고 있는지 조차도 의문이 드는 것이 사실이다. 이와 관련해 해당 업체 중 한 관계자는 “비 바이러스 계열 악성코드가 가진 정의의 모호함으로 인해 각 업체가 서로 다른 결과물을 내놓는다는 사실은 인정한다”면서도 “이에 대해서는 각 업체별로 비 바이러스 악성코드에 대한 분류기준과 증상 등을 지속적으로 표시해 나가는 것으로 해결해 나가고 있다”고 밝혔다.

“나쁘긴 나빠요”

물론 각 사의 정의가 서로 다르다고 해서, 또 분류 기준이 다르다고 해서, 비 바이러스 계열 프로그램이 유해하지 않다는 것은 얘기는 분명 아니다. 실제로 비 바이러스 악성코드는 스팸메일 등과 마찬가지로 정보화 역기능의 한 부분으로 자리 잡고 있다. 한국정보보호진흥원의 한 관계자는 “악성코드 분류에 대한 명확한 법적 근거가 없어, 어떤 것이 불법이고 합법인지를 판단할 기준이 모호한 것은 사실”이라면서도 “비 바이러스 악성코드 역시 PC의 취약성을 악용한 것으로 개인정보 유출의 수단이나 PC 사용의 장애를 가져올 수 있다”며 비 바이러스 악성코드의 유해성이 적지 않음을 강조했다.

실제로, PC 점검 서비스를 제공하는 업체들의 주장에 따르면 개인정보의 유출 내용은 사용자와 컴퓨터에 관한 정보, 가령 사용자 이름, 컴퓨터 명칭, 방문한 웹 사이트 목록(체류시간, 방문빈도, 클릭한 배너 광고 포함)이며, 일부 악성코드는 사용자가 작성 또는 경유하는 메일, 파일, 인터넷상에서 기입하는 정보의 수집까지도 얼마든지 가능하다고 한다.

또한 개인정보 유출이라는 심각한 문제뿐만 아니라, 원하지 않는 시작 페이지 고정이나 음란 팝업 창을 띄움으로써 사용자가 웹 서핑시 느끼는 큰 불편함도 부정할 수 없는 것이 사실이다. 백신업체의 관계자조차도 “비 바이러스 계열 악성코드가 바이러스나 웜처럼 전이되는 특성을 가지고 있지 않아, 그 자체로 바이러스처럼 심각한 피해를 준다고 할 수는 없지만, 어떤 경우에는 키로그 등의 프로그램이 삽입될 수 있어, 이에 대한 사용자의 주의는 반드시 필요하다”고 비 바이러스 계열 악성코드의 유해성을 지적하고 있다.

백조, 미운 오리 되나

올해 초 PC 점검 서비스가 등장했을 때만 해도 기존 백신이 미처 검색하지 못했던 비 바이러스 계열의 악성코드를 진단해 많은 호평을 받았다. 일부 포털 사이트는 이 서비스만으로 하루동안만도 1억원을 웃도는 매출을 올렸다고 하니, PC 점검 서비스는 황금알을 낳은 거위였다고 해도 과언이 아니다. 특히, 인터넷에서 제공되는 모든 서비스는 ‘공짜’라는 인식을 갖고 있는 국내 환경을 감안해 볼 때, 그리고 많은 사람들이 관심을 가지지 않는 정보보호 서비스라는 측면에서 이런 유료 서비스는 정보보호 업계에도 희소식이 아닐 수 없다.

하지만 그 반대로 악성코드에 대한 명확한 기준이나 판단근거가 마련돼지 않은 채 서비스를 제공함으로써 사용자의 혼란을 부채질하고 있다는 사실 또한 분명하다.

또 일부 업체이기는 하지만, 위험성이 없는 불필요한 프로그램에 대해서조차 ‘악성코드’, ‘개인정보유출’ ‘PC의 안전’ 등 자극적 단어를 사용해 대단히 위험한 것처럼 과장해 사용자에게 위기감을 고조시켰다는 비난을 면하기 어려워 보인다. 여기에 자신의 사이트에서 공공연히 제공되는 서비스가 어떤 서비스인지조차 모른 채 눈앞의 수익만을 쫓는 포털 사이트의 관행도 큰 문제로 자리잡고 있지만 말이다.

분명 비 바이러스 계열 악성코드에 대한 PC 점검 서비스는 점차 다양해지는 IT 역기능에 대비한 중요한 서비스임에는 틀림없다. 그러나 각 서비스 업체의 자정노력 없이는 사용자에게 위기감만 고조시킬 뿐이며, 이로 인해 혼란을 경험한 사용자는 두 번 다시 PC 점검 서비스를 이용하지 않을 수 있다. 결국 발견된 비 바이러스 계열 악성코드가 어떤 유해성을 가지는지 왜 삭제해야 하는 등을 사용자에게 보다 명확히 전달해 줘야 한다. 단순히 자극적인 광고로는 한계를 가질 수밖에 없다는 사실을 기억해야 할 필요가 있다.