[IT강의실] 내 PC를 방문한 불청객 - 스파이웨어

이상우 lswoo@itdonga.com

[용어로 보는 IT 2015 개정판] 스파이웨어(spyware)는 스파이(spy)와 소프트웨어(software)의 합성어로, 사용자 몰래 PC에 설치되어 정보를 수집하는 악성코드를 말한다. 팝업광고를 반복해서 띄우거나 특정 홈페이지로 사용자를 유도하는 등 상업적인 용도로 주로 사용되며, 일부 스파이웨어는 PC의 설정을 변경하거나 자신을 삭제하기 어렵게 만들어 불편을 야기한다. 하지만 바이러스처럼 스스로를 복제하지는 않는다.

내 PC의 불청객, 스파이웨어
내 PC의 불청객, 스파이웨어

<내 컴퓨터를 기습 방문한 반갑지 않은 손님 스파이웨어, 출처: pixabay 무료 이미지>

사용자의 동의 없이 몰래 설치되는 스파이웨어

스파이웨어는 종종 광고 프로그램, 즉 애드웨어(adware)와 혼용해서 쓰이기도 한다. 하지만 엄밀히 이야기하면 동의어는 아니다. 합법적인 경로로 설치되는 애드웨어도 있기 때문이다. 무료로 사용할 수 있는 프로그램인 프리웨어(freeware)를 설치할 때 사용자의 동의를 얻고 함께 설치되는 애드웨어가 바로 그것이다. 반면 스파이웨어는 사용자의 동의 없이 몰래 설치된다는 점이 다르다. 즉, 애드웨어에는 합법적인 애드웨어와 불법적인 애드웨어가 있는데, 이 중 불법적인 애드웨어만이 스파이웨어에 해당한다고 할 수 있다.

합법적인 애드웨어
합법적인 애드웨어

<합법적인 애드웨어의 예>

스파이웨어의 기준은 국가마다 조금씩 다르다. 국내 기준은 2007년 방송통신위원회가 개정/발표한 내용에 따르면 다음 7가지 유형의 기준에 하나라도 해당하는 프로그램을 스파이웨어로 간주한다. 그리고 액티브X 보안 경고창만을 이용한 설치는 사용자 동의로 보지 않으며, 해당 웹 사이트 서비스 이용을 위해 특정 사이트에서만 실행되는 프로그램은 예외로 한다.

1. 웹 브라우저 같은 정상 프로그램 또는 시스템의 설정을 변경하는 행위
2. 정상 프로그램 또는 시스템 운영을 방해, 중지, 삭제하는 행위
3. 정상 프로그램 또는 시스템의 설치를 방해하는 행위
4. 정상 프로그램 외의 프로그램을 추가로 설치하게 하는 행위
5. 운영체제 또는 타 프로그램의 보안설정을 제거하거나 낮게 변경하는 행위
6. 이용자가 프로그램을 제거하거나 종료해도 프로그램이 제거/종료되지 않는 행위
7.
*키보드 입력 내용, 화면 표시 내용, 시스템 정보를 수집/전송하는 행위

정상프로그램이란 사용자가 용도를 명확하게 인지하고, 설치를 동의한 프로그램을 말한다
*다만, 정보통신서비스제공자가 사용자의 개인정보를 수집하는 경우는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조 5의 규정을 적용한다.

스파이웨어의 주요 침투 경로

스파이웨어는 컴퓨터 바이러스나 웜처럼 감염되지 않는다. 따라서 다른 사람에게 파일을 전송받거나 단순히 이메일을 열어본다고 해서 스파이웨어가 설치되지는 않는다. 대부분의 스파이웨어는 사용자 스스로가 자신도 모르게 설치하는 경우가 많다.

액티브 엑스
액티브 엑스

<액티브X는 사용자에게 해당 프로그램을 설치할 것인지 묻는 대화상자를 띄우지만, 대부분의 사용자들이 아무 의심 않고 '예'를 선택한다>

과거 스파이웨어는 P2P 파일공유 프로그램에서 받은 프리웨어를 설치시 번들 형태로 함께 설치되는 경우가 많았다. 하지만 지금은 주로 액티브X를 통해 설치된다. 예를 들어 특정 웹사이트에서 동영상을 보려면 관련 프로그램을 액티브X를 통해 설치해야 하는데, 이 때 전혀 상관 없는 스파이웨어가 함께 설치되는 것이다. 물론 액티브X는 사용자에게 해당 프로그램을 설치할 것인지 묻는 대화상자를 띄우지만, 대부분의 사용자들이 아무 의심 않고 ‘예’를 선택한다. 따라서 신뢰할 수 없는 웹사이트에서는 함부로 액티브X를 통해 프로그램을 설치하지 않는 것이 좋다.

한국인터넷진흥원에 따르면 스파이웨어 무단 설치를 의심할 수 있는 증상은 다음과 같다.

1. 웹 브라우저의 시작 페이지 설정이나 즐겨찾기 등이 변경되는 경우
2. 원하지 않는 광고창이 뜨거나 불법 사이트(성인, 도박 등)로 접속되는 경우
3. 이용자가 프로그램을 삭제하거나 종료할 수 없는 경우

위와 같은 증상이 나타나서 스파이웨어 설치가 의심된다면 KISA가 운영하는 보호나라(http://www.boho.or.kr/kor/download/download_01.jsp)에서 관련 백신을 내려받아 치료해야 한다.

'인질'잡고 '몸값' 요구하는 스파이웨어 등장

스파이웨어는 사용자 모르게 설치돼 정보를 가로채거나, 각종 설정을 마음대로 바꿔버린다. 그런데 최근에는 이보다 더 악질적인 스파이웨어가 기승을 부리고 있다. 일명 '랜섬웨어(Ransomware)'의 등장이다. 랜섬웨어는 이름 그대로 사용자의 PC를 인질로 잡고, 몸값(Ransom)을 요구하는 악성 프로그램이다.

사용자가 특정 웹 사이트에 접속하거나 이메일에 들어있는 첨부파일을 실행했을 때 자동으로 설치되며, 이후 다양한 방법으로 사용자를 협박해 금품을 요구한다. 예를 들면 사용자가 포르노사이트에 접속했을 때 사법기관을 들먹이며 사용자를 협박하는 방식이 있는가 하면, 컴퓨터에 있는 데이터를 완전히 암호화한 뒤 금품을 내놓지 않으면 모든 파일을 지워버리겠다고 공갈하는 경우도 있다.

후자의 경우 일명 '크립토락커(Cryptolocker)'라는 이름으로 외국에서 성행했으며, 지난달 19일부터는 한국어 버전으로 탈바꿈해 국내에 상륙했다. 특히 2,048비트로 암호화하고, 시한폭탄처럼 제한시간을 걸어놓기 때문에 사실상 암호화 해제는 불가능하다. 또한, 실제로 돈을 지불하더라도 암호 키를 받은 사용자는 거의 없는 것으로 알려져 있다.

크립토락커
크립토락커

<'한글 패치'를 마친 크립토락커>

안티 스파이웨어

스파이웨어는 사용자로 하여금 자신의 존재를 알아채지 못하게 숨어있는 경우가 많으며, 알아챘다고 하더라도 쉽게 삭제할 수 없도록 만든다. 이렇게 골치아픈 스파이웨어가 늘어나면서 스파이웨어를 전문적으로 탐지하고 제거해주는 안티 스파이웨어가 각광받기 시작했다.

하지만 안티 스파이웨어 중에는 스파이웨어보다 더 악질인 경우도 있다. 일단 무료로 진단해주겠다고 사용자를 현혹한 후, 스파이웨어에 감염되었다고 허위로 보고해 결제를 유도하는 것이다. 게다가 한 번 결제를 하게 되면 소비자가 별도로 해지하지 않는 이상 매달 자동 결제되는 경우도 많다. 또한 이들 프로그램 역시 삭제가 어렵도록 만들어져 결국 스파이웨어나 다를 바가 없다. 따라서 비교적 유명한 업체가 만든 안티 스파이웨어를 쓰는 것이 좋다. 현재 대부분의 유명 무료 백신 중에는 안티 바이러스 엔진과 안티 스파이웨어 엔진을 함께 통합한 제품이 많다. 다만 이들 제품들을 여러 개 동시에 사용하면 서로 충돌할 수 있다.

가짜 백신의 사례
가짜 백신의 사례

<골치아픈 스파이웨어가 늘어나면서 스파이웨어를 전문적으로 탐지하고 제거해주는 안티 스파이웨어가 각광받기 시작했다>

하지만 안티 스파이웨어를 맹신하기보다 평소 PC 사용 습관을 잘 들이는 것이 더 중요하다. 윈도우 보안 업데이트는 항상 최신으로 유지하고, 믿을 수 없는 웹사이트에서는 액티브X로 프로그램을 설치하지 않으며, P2P 파일공유 프로그램에서 불법복제 제품을 내려받지 않는 것이 스파이웨어를 막는 최우선책이다.

글 / IT동아 이상우(lswoo@itdonga.com)

※본 기사는 네이버캐스트(http://navercast.naver.com/)의 '용어로 보는 IT' 코너에도 함께 연재됩니다.

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.