'스파이웨어 퇴출 기대주'로 꼽혔던 스파이웨어 기준안이 사실상 무용지물로 전락하고 있다.
스파이웨어 기준안(이하 기준안)은 정보통신부가 스파이웨어 유포자들에 대한 처벌 근거를 마련하겠다면서 지난 해 8월 야심적으로 선보인 것. 하지만 기준안을 도입한 지 1년이 다 되어가도록 이렇다 할 성과를 보지 못하고 있다는 지적이 제기되고 있다.
기준안이 제 기능을 못하는 가장 큰 이유는 바로 법적인 지위가 애매모호하기 때문이다. 기준안이라는 것이 일종의 '가이드라인' 성격을 갖는 것이어서 확실한 법적인 지위를 부여받지 못하고 있는 것이다.
주무 부처인 정통부 역시 기준안을 마련한 뒤 적극적인 시행 의지를 보이지 않고 있어 이 같은 혼란을 부채질하고 있다는 비판도 만만치 않은 편이다.
◆ 보안업체들 "기준안 실효성 적다"
정통부는 지난해 3월 보안업계를 포함한 공동 연구반을 꾸리고 스파이웨어 퇴치작전에 본격 착수했다. 공동 연구반은 이후 수 개월 동안 머리를 맞댄 끝에 8월 들어 기준안을 발표했다. 기준안은 동의를 얻지 않거나 이용자를 속여 설치되는 프로그램을 스파이웨어로 규정하면서 7가지 세부 기준을 제시했다.
기준안 발표 당시 보안업계 관계자들은 "스파이웨어 범위 통일의 계기가 됐다"면서 큰 기대를 감추지 않았다.
2005년 국내 발견 신종 스파이웨어 통계(출처 : 안철수연구소)
월 | 웜 | 트로이목마 | 드롭퍼 | 스크립트 | 파일 | 기타 | 소계 | 스파이웨어 | 총계 |
1월 | 197 | 84 | 7 | 5 | 0 | 8 | 301 | 177 | 478 |
2월 | 204 | 43 | 2 | 0 | 1 | 11 | 261 | 226 | 487 |
3월 | 106 | 87 | 2 | 0 | 1 | 20 | 216 | 306 | 522 |
4월 | 116 | 98 | 8 | 5 | 0 | 6 | 233 | 639 | 872 |
5월 | 106 | 132 | 21 | 5 | 1 | 13 | 278 | 766 | 1,044 |
6월 | 81 | 142 | 41 | 16 | 3 | 21 | 304 | 668 | 972 |
7월 | 63 | 102 | 29 | 7 | 1 | 28 | 230 | 726 | 956 |
8월 | 70 | 123 | 29 | 2 | 1 | 11 | 236 | 321 | 557 |
9월 | 58 | 116 | 30 | 7 | 0 | 14 | 225 | 477 | 702 |
10월 | 39 | 101 | 25 | 2 | 0 | 8 | 175 | 969 | 1,144 |
11월 | 40 | 136 | 30 | 3 | 0 | 3 | 212 | 348 | 560 |
12월 | 53 | 189 | 34 | 1 | 1 | 7 | 285 | 214 | 499 |
합계 | 1133 | 1353 | 258 | 53 | 9 | 150 | 2,956 | 5,837 | 8,793 |
하지만 기준안 도입 1년이 다 되어가는 지금, 보안업계와 사용자들의 평가는 냉담하다. 갈수록 힘을 더하고 있는 스파이웨어의 기세를 꺾는 데 아무런 역할을 하지 못하고 있다는 반응이다.
이들은 무엇보다 기준안이 일종의 '유권해석' 수준에 머물러 있는 점이 가장 큰 문제라고 지적했다. 법률로서 기능하기 힘든 상황이라는 것이다.
보안 업계의 한 관계자는 "정통부와 업계 관계자들이 기준안을 마련할 때 '스파이웨어 유포로 징역형을 살 수도 있으니 운영 과정에서 많은 검토를 해야 한다'는 분위기가 있었다"면서 "이 때문에 기준안이 지나치게 신중하게 운용되고 있는 경향이 있다"고 말했다.
일부에서는 정통부의 정책 의지에 곱지 않은 시선을 보내기도 한다. 기준안이라는 것 자체가 법적으로 애매모호한 성격인 탓에 정통부가 움직이지 않으면 활성화되기 어려운 구조라는 지적이다. 힘들여 만든 기준안이 '개점 휴업' 상태로 전락한 것은 사실상 정통부의 책임이라는 지적이다.
이에 대해 정통부 관계자는 "기준안은 정보통신망법으로 스파이웨어를 처벌하기 위한 '가이드라인' 역할에 초점을 맞추고 있는 게 사실"이라며 "다양한 스파이웨어를 일정한 잣대로 정의하는 건 어려운 일인 만큼 기준안도 탄력적으로 바뀔 것이다"는 입장을 밝히고 있다.
◆ 업체 간 소송전 배제 못해
안철수연구소 자료에 따르면 지난해 국내에서 새로 발견된 스파이웨어 건수는 5천837건에 이른다. 같은 기간 웜과 트로이목마를 포함한 기타 악성코드는 2천956건이었다. 적어도 양적으로는 보안 위협의 무게 중심이 스파이웨어로 기울고 있다는 방증이다.
하지만 기준안이 제 기능을 못하면서 보안 업체와 스파이웨어 유포 '혐의자' 간 소송 전쟁 가능성도 대두되고 있다.
지난해 한글 키워드 업체 디지털네임즈가 안철수연구소를 상대로 가처분 신청을 낸 것처럼 '소송 전쟁'의 개연성이 점차 커지고 있다는 게 보안 업계의 분석이다. 우리나라의 발달된 IT인프라와 성장 중인 인터넷 업계를 볼 때 스파이웨어 분쟁 가능성은 더욱 높아지고 있는 셈이다.
보안 전문가들은 '5년 이하의 징역이나 5천만 원 이하의 벌금'을 규정하고 있는 정보통신망법의 '고강도' 처벌이 오히려 원활한 스파이웨어 제거에 걸림돌이 되고 있다고 지적한다. 처벌이 너무 가혹한 탓에 기준안을 적극적으로 활용하기가 어렵다는 것이다.
이들은 "스파이웨어 기준을 마련하는 건 외국 관계 기관과 보안 업체들도 골머리를 앓고 있는 문제"라며 "탄력적인 대응으로 처벌의 실효성을 높이는 것을 고려해야 한다"고 지적한다.
◆ 국방백서엔 '독도'가 없고 국가정보보호 백서엔 '스파이웨어'가 없다? 국가정보원 산하 국가사이버안전센터가 매년 발간하는 국가정보보호백서에 스파이웨어 관련 통계가 게재되지 않고 있는 것으로 나타났다. 국내에서는 스파이웨어 신규 발생 건수가 급증하고 있고 외국에서는 스파이웨어를 통한 개인정보 도난 사건이 일어나고 있는 상황. 이 때문에 국가사이버안전센터가 스파이웨어에 대한 기본 자료 축적에 나서야 한다는 주장이 설득력을 얻고 있다. 지난 해와 올해 발간된 국가정보보호백서에는 ▲공공기관 및 민간의 보안장비 도입 실태 ▲침해사고 발생 현황 ▲사이버 범죄 유형별 검거 실적 ▲정보보호 교육기관들의 운영 현황까지 실로 방대한 분량의 정보보호 관련 자료들이 집약돼 있다. 하지만 이 백서에는 새로운 보안 위협으로 떠오르고 있는 스파이웨어는 찾아볼 수가 없다. 웜, 바이러스와 합산돼 집계되고 있기 때문. 국가사이버안전센터 관계자는 "스파이웨어의 경우 외국에서는 별도의 지표를 통해 관리하고 있는 게 사실"이라며 "스파이웨어는 백신에서 치료 가능한 경우가 많기 때문에 따로 통계를 작성하지는 않고 있다"고 말했다. 그러나 보안 업계 관계자들은 백신을 통해 잡을 수 없는 스파이웨어가 있는 만큼 스파이웨어는 별도 관리되는 것이 바람직하다는 견해를 보이고 있다. 위협의 방식이 서로 다른 만큼 증감 추이와 피해 상황을 따로 살펴봐야 한다는 지적이다. 이들은 "백신 중에는 스파이웨어를 같이 치료할 수 있는 것도 있지만 생산업체의 판매 정책 상 바이러스 치료에 집중하는 제품도 있다"며 "백신을 깔았으니 스파이웨어도 걱정 없을 것이라는 식의 생각은 곤란하다"고 지적했다. /이정호기자 sunrise@inews24.com포토뉴스
|
--comment--
첫 번째 댓글을 작성해 보세요.