스파이웨어 현상과 판정기준
그런데 스파이웨어에 관한 논의가 활발함에도 불구하고 그 정의와 이를 식별할 기준을 마련하기가 쉽지는 않은데 이는 어느정도 스파이웨어의 본성과 관련이 있다. 스파이웨어는 사용자가 원치 않는 소프트웨어로서 정보 유출, 강제적인 광고 등을 실행하는 잠재적인 위협원이라 일단 정의할 수 있다. 잠재적인 위협(potential threat)이라 하는 이유는 바이러스 류와는 달리 스파이웨어 범주에 속하는 소프트웨어는 그 자체가 100% 악성이라 단언하기 어려운 경우가 많기 때문이다.
예를 들어, 소프트웨어를 공짜로 쓰게 해주고 대신 광고를 보게 하는 ‘애드웨어’는 그 자체가 악성코드라 할 수는 없다. 사용자의 동의를 얻지 않았거나 광고의 수준이 일반적으로 용인될 만한 수준을 초과하는 등의 사유가 있어야 ‘악성 애드웨어’로 표시할 수 있다. 마찬가지로, 정보를 외부로 보낸다거나, 외! 부에서 사용자의 컴퓨터를 조작할 수 있게 하는 소프트웨어는 심각한 스파이웨어로 분류되는 경우가 많지만, 몰래 사용될 가능성이 별로 없다면 정상적인 원격 관리용 소프트웨어가 된다.
이처럼 스파이웨어 종류는 바이러스와는 달리, 그것이 사용되는 맥락과 사회적인 허용수준을 감안해서 개별적으로 악성 여부를 판정해야 할 때가 많다. 그렇기 때문에 국내에서 가장 오래 안티-스파이웨어 솔루션으로 사업을 해오며 가장 많은 사례를 보유하고 있는 우리 비전파워는 바람잘 날이 없다. 한쪽에는 불편과 불안을 호소하는 사용자들이 있고, 다른 한쪽에는 정당한 사업을 방해하지 말라는 배포자 사이에서 일종의 판결을 내려야 하기때문이다. 그 과정에서 법적인 다툼으로 비화하는 사례도 적지 않은 실정이다. 컴퓨터 바이러스 사건에서는 찾아보기 힘든 모습이다.
컴퓨터 바이러스는 발견되면 안티-바이러스 업체가 업데이트로 등록하고 사용자는 단순히 삭제하면 됐다. 그러나 안티-스파이웨어 업체는 어떤 소프트웨어가 스파이웨어라 의심되면 그것이 스파이웨어 판정 기준을 얼마나 충족시키는지를 평가하여 사용자에게 권고할 지침을 결정해야 한다. 심각한 스파이웨어라면 즉시 삭제를 권고할 것이며 중간 이하라면 검역소 보관을 권할 것이다.
PC지기 스파이웨어 연구소는 위험도 평가 모형(T L E : Threat Level Evaluation Model)으로 잠재적인 위협원을 평가하는데, 5개의 큰 기준과 각각의 세부항목으로 구성되어 있다.
보안성 훼손의 정도, 사용자 동의 수준, 시스템에 미치는 악영향의 정도, 사용자 불만의 수준, 관계법 저촉 여부, 등이 그것이다. 그 중 하나의 기준에 해당한다 해서 바로 스파이웨어로 등록되는 것은 아니다. 5개 기준의 평가 점수를 모두 합한 총점이 일정한 점수를 초과할 때에만 스파이웨어라 불릴 '자격'이 부여된다.
이번에 비전파워가 정통부와 함께 스파이웨어의 정의와 악성코드로의 유권해석 과정에 함께하면서 전문 PC보안기업으로써 그동안 쌓아온 기업 레퍼런스와 ASP고객들을 통한 경험과 사례를 바탕으로 PC사용자들의 권리와 편의를 위해 최선을 다했지만 아직도 스파이웨어의 정의와 기준이 명확하게 확립된 것은 아니다. 스파이웨어가 워낙 급속도로 진화와 확산을 하기 때문에, 안티-스파이웨어는 새로운 유형이 나타날 때에는 기준을 변경하거나 추가해야 한다. 스파이웨어가 번성하는 한 새로운 기준의 작성은 당분간 계속될 것이다. 기준은 객관적이고 공정,명확하여야 불필요한 마찰을 줄 일 수 있다. 소프트웨어 배포자의 목소리에도 귀 기울여야 겠지만, 소프트웨어 사용자의 정보 자주권, 프라이버시 권리가 우선적으로 고려되어야 한다. 그것이 스파이웨어 배포 자의 광고 및 영업권보다 우월한 권리이기 때문이다 .
스파이웨어 위협 판정 기준 ( T.L.E. : Threat Level Evaluation Model )
PC지기는 스파이웨어 판정 시 다음 각 기준의 충족 여부와 정도를 종합적으로 판단하여 소정 기준 이상이면 탐지 목록에 추가해오고 있다. 하나의 기준에 해당된다 하여 모두 스파이웨어라 판정하는 것은 아니며 그 정도와 다른 기준에 해당여부를 고려하여 판정한다.
1. 프라이버시 침해, 정보 유출, 시스템설정변경, 등 보안성 훼손의 정도
- 시작페이지고정, 광고창 팝업 등으로 사용자 불편 유발 (평온한 컴퓨터, 인터넷 생활 방해)
- 사용자 및 시스템의 정보 수집, 외부 유출 (정보의 양과 질을 함께 판단)
- 시스템 설정 변경 (IE설정, 보안설정 등)
- 다른 보안위협으로 유도 (그 자체로는 위험성이 적으나 다른 SW를 다운로드 또는 설치할 수 있도록 하는 경우)
- 보안SW의 작동 방해 (백신SW, 방화벽SW 등 보안조치를 우회, 실행 방해)
2. 설치 시 사용자 동의 수준
- 사용자의 명시적인 동의 여부 (단순히 홈페이지, 약관 게재 뿐 아니라 일반 사용자 입장에서 이를 인지하여 동의했다고 볼 수 있는가를 기준으로 판정)
- 동의 철회가 용이한가 (제거의 곤란성 정도, 제어판 또는 시작메뉴에서 제거 항목을 제공하며 제대로 작동하는가
- 제거 시 특정인터넷페이지 방문 또는 일정한 정보제공을 조건으로 하지 않는가
- 작동의 은밀성 정도 (광고노출, 정보수집 등 민감한 기능의 수행을 백그라운드로 사용자 모르게 실행)
3. 시스템 / 네트워크 성능에 미치는 악영향의 정도
- 시스템 자원 사용 정도, 트래픽 증가의 정도
4. 사용자 불만, 항의 접수 건수
- 보고된 사용자의 신고 건수
- 배포자의 불만 처리 대응 수준 등 (배포자의 홈페이지, 전화, 이메일 등 불만처리 원활한가)
5. 기타
- 자체 오류 발생
- 유관기관의 권고, 관계법 저촉 등 악성 여부가 이미 널리 알려진 경우
웹사이트: http://www.vpower.co.kr
연락처
김혜경 실장 011-9944-5823