스파이웨어

스파이웨어란 첩자라는 뜻의 'spy'와 소프트웨어의 'ware'가 합쳐져 생긴 단어로, 사용자가 설치사실을 모르거나 정확한 용도를 모르는 상태에서 컴퓨터에 설치되어 광고화면을 강제로 보여주는 등 사용자를 불편하게 하는 악성 프로그램 또는 데이터를 말한다. 본래 사용자 컴퓨터의 정보를 인터넷을 통하여 프로그램 제작회사로 전송해 주는 프로그램으로, 미국의 인터넷 광고전문회사인 라디에이트(Radiate)에서 개인 사용자의 취향을 파악하여 광고주에게 제공하기 위하여 개발한 것으로 알려져 있다. 메신저 프로그램, 비디오 플레이어, 파일공유 프로그램 등을 내려받을 때 덩달아 다운로드되는 경우가 많다.

 

그러나 스파이웨어는 사용자가 무료샘플 프로그램인 셰어웨어나 프리웨어를 다운받거나 특정한 사이트를 접속하였을 때 사용자의 컴퓨터에 몰래 설치된다. 웹사이트 방문 시 이용자도 모르는 사이에 자동으로 프로그램을 설치하거나 윈도의 설정 정보를 담고 있는 레지스트리에 특정 사이트 주소를 넣어 두었다가 해당 사이트로 이동하도록 하는 방식의 스파이웨어도 생겨났다. 또한 리얼 플레이어와 같은 공개 소프트웨어에 포함되어 PC 이용자의 이름과 인터넷 프로토콜(IP)주소, PC에 설치된 소프트웨어 종류, 방문한 웹사이트 목록, 내려 받은 파일 정보, 클릭한 배너 광고 등 프로그램 사용자의 각종 정보를 미리 설정된 특정 서버로 보내는 역할을 하기도 한다. 이 때문에 바이러스보다 더 무서운 악성 프로그램이라고 알려져 있다.

 

일반 팝업(pop-up) 광고와 달리 광고창을 지속적으로 띄우거나, 임의로 특정 웹사이트에 연결하기도 한다. 이게 바로 애드웨어(ad-ware)다. 스파이웨어와 애드웨어와의 가장 큰 차이점은 정보의 방향이다. 간단히 말해서 정보가 외부로 새는 방향성을 가진 경우 스파이웨어류로 분류하는 것이 원칙이다. 키보드 입력, 브라우저 사용 습관 등을 추적, 모니터링하는 경우도 스파이웨어류로 분류한다.

 

한편 정보통신부가 2005년 8월 발표한 '스파이웨어 기준'은 웹브라우저의 홈페이지 설정이나 시스템 설정을 변경, 정상 프로그램의 운영을 방해ㆍ삭제, 정상 프로그램의 설치를 방해, 다른 프로그램을 다운로드 받아 설치, 운영체계의 보안설정을 낮게 변경, 이용자가 프로그램을 제거하지 못하도록 막는 프로그램, 키보드 입력ㆍ화면표시 내용을 임의로 수집ㆍ전송하는 행위 등 7가지이다. 따라서 이 '스파이웨어 기준'에 해당하는 프로그램을 유포한 사람은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 5년 이하의 징역이나 5000만 원 이하의 벌금에 처해진다.

 

스파이웨어의 주요 배포 루트는 액티브 X가 가장 많이 사용되지만, 다운로더를 통한 배포도 꾸준히 증가하는 추세에 있다. 바이러스처럼 사용자에게 직접적 피해를 입히지 않는 경우도 있지만, 해킹이나 바이러스와 달리 본래의 프로그램을 삭제하여도 백업파일 형태로 계속 남아 있어 사용자도 모르는 사이에 정보가 유출된다는 것이 가장 큰 문제점으로 지적되고 있다.

 

2004년 10월 마이크로소프트와 미 의회가 ‘애드웨어 뿌리뽑기’에 나섰다. 해킹, 바이러스, 쓰레기메일에 이어 애드웨어가 컴퓨터 사용자를 괴롭히는 골칫거리로 등장했기 때문이다. 초고속 인터넷에 접속된 컴퓨터의 90%가 최소한 한 가지 이상의 애드웨어 프로그램에 오염된 것으로 추정되었다. 이로 인해 생산성이 떨어지고 수리비용을 추가로 부담하게 된다는 것이다. 애드웨어가 깔리면 컴퓨터를 자기 의도대로 사용하지 못할 뿐 아니라 작업처리 속도가 현저하게 떨어지고, 심하면 고장의 원인이 되기도 한다. 마이크로소프트 회장 빌 게이츠는 “내 PC가 지금까지 바이러스에 걸려본 적이 없는데 스파이웨어는 피하지 못했다”고 토로했다고 한다.

 

한편, 2005년 6월 정보통신부는 스파이웨어를 유포하면 5년 이하의 징역이나 5,000만 원 이하의 벌금형에 처하는 내용의 기준안을 마련했다. 기준안은 스파이웨어를 “이용자 동의 없이 웹브라우저의 홈페이지 설정을 변경하고 프로그램을 임의 설치하는 등 불편을 초래하는 프로그램”으로 규정했으며, 정상적인 프로그램의 작동을 방해하거나 중지·삭제하고 이용자 동의 없이 키보드 입력 내용과 화면 표시 내용을 수집해 전송하는 행위도 스파이웨어 범주에 포함시켰다.

 

그렇지만 아직까지 법적 구속력이 있는 정의와 처벌 규정이 없어 실효를 거두지 못하고 있다. 2007년 들어 국내 스파이웨어의 제작과 유포가 UCC를 중심으로 활발해지면서 매달 200개가량의 스파이웨어가 발견되고 있다. 2007년 10월에만 999건의 피해 신고가 있었다. 그런데도 단속은 쉽지 않다. 스파이웨어에 대한 사전 지식을 갖고 피해 에방을 잘 하는 것이 죄선이다.