방송통신위원회와 한국인터넷진흥원이라는 곳에서 스마트폰 악성코드 감염을 예방한다며 올해 하반기부터 대한민국에서 출시되는 모든 스마트폰에 백신 프로그램을 자동 실행토록 의무화한다고 2013년 2월 26일 발표했다. 그렇지 않아도 통신사 기본 앱/서비스 프로세스들 때문에 폰이 버벅거린다며 괴로워하던 많은 사람들은 더더욱 패닉에 빠졌다.

방통위, 스마트폰 백신 프로그램 자동 실행 의무화 발표

스마트폰 악성코드가 유포되는 것은 분명한 사실이고, 이로 인한 피해가 발생한 것도 분명 사실이다. 하지만 질병이 퍼진다고 해서 어떤 국가도 전국민에게 백신 의무 접종을 명령하지는 않는다. 어떤 백신 프로그램을 설치할지 조차 소비자들이 선택할 일이다. 그럼에도 불구하고 정부가 국가의 이름으로 개개인의 스마트폰 단말기에 특정 프로그램의 자동 실행을 의무화한다고 한다. 모든 컴퓨터에 감시 프로그램 ‘그린댐’ 설치를 의무화했었던 중국이 떠올려진다. (편집자 주: 중국 내외의 강력한 반대에 부딪혀 이후 공식 철회했다)

내 스마트폰에 설치되는 백신 프로그램이 단지 악성코드로부터 내 정보를 지켜주기만 하는 것일까? 이 백신 프로그램은 어떤 원리로 악성코드로부터 나를 지켜주겠다는 것인가? 이해를 도울만한 힌트. 아래 내용은 현재 서비스 중인 PC 버전 안랩(구 안철수연구소)의 V3 Ahnlab Smart Defense가 수집하는 데이터에 관한 약관 내용이다. 모두들 다 안 읽어보고 그냥 ‘동의’에 체크하는 그 이용약관 말이다.

[box type=”info”]

Next V3 AhnLab Smart Defense 데이터 수집 동의서

중요한 내용이므로 자세히 읽고 숙지하시기 바랍니다.
AhnLab Smart Defense는 새로운 보안 위협과 신종 악성코드에 보다 신속하게 대응하기 위해 개발된 새로운 개념의 악성코드 대응 기술입니다.
AhnLab Smart Defense는 PC에 저장된 악성코드 정보를 바탕으로 감염 여부를 판단하는 기존 방식과 달리 유형별로 분류된 대규모 악성코드, 악성 코드 유포 URL, 악성코드 C&C IP 등의 데이터베이스를 중앙 서버에서 관리하며 PC에 설치되어 있는 AhnLab Smart Defense 엔진이 파일ㆍURLㆍIP 분석을 의뢰하면 분석 결과를 알려줍니다.
안랩은 AhnLab Smart Defense 서비스를 제공하기 위하여 “사용자” PC의 일부 정보를 수집합니다. 해당 정보는 개인정보보호정책에 따라 익명으로만 저장되고, 외부에 공개되지 않습니다.
본 프로그램이 수집하는 정보는 아래와 같습니다.

* 귀하의 컴퓨터의 하드웨어 및 소프트웨어 정보.
예: 운영체제 버전, 서비스팩 버전, 실행 가능한 파일에 대한 정보(이름, 파일명, 날짜, HASH값, 압축여부, 버전 정보) 및 악성 행위를 유발한 비실행 파일에 대한 정보(이름, 파일명, 날짜, HASH값, 압축여부, 버전 정보)
* 시스템 파일의 조작이나 중요 프로세스에 접근하는 것과 같은 잠재적 보안 위협이 될 수 있는 프로그램의 행위 정보와 그 행위를 수행한 것으로 판단 되는 프로세스와 응용프로그램 정보.
예: 악성 행위를 유발하는 함수들의 파라메터, 행위를 수행하는 모듈명과 모듈 해시값. 악성 행위를 수행하는 프로세스가 로드한 모듈 목록, 악성 행위를 수행한 코드가 있는 스택 또는 힙 메모리 컨텐츠, 악성 코드가 배포되는 URL 정보
* 잠재적인 보안 위협에 대한 응답으로 보내진 데이터 샘플.
예: DDoS 공격을 수행하는 것으로 의심되는 프로세스가 주고 받은 패킷 또는 생성한 파일
* 웹 브라우저 등을 통해 다운로드 된 응용프로그램에 대한 정보.
예: 파일명, URL, IP, 파일 크기, 서명자

… 중략 …

안랩은 “사용자”가 당사가 제공하는 서비스를 이용하는 동안 및 사용자가 당사의 서비스 이용을 종료한 후 상기 수집된 정보를 계속적으로 보유하며, 향후 보다 나은 서비스 제공을 위하여 활용될 수 있습니다. 안랩은 위 기간동안 보유하는 정보는 일체 익명화처리되어 본 동의서에 명시된 목적으로만 이용되며, 사용자의 사전 동의없이 다른 목적으로 활용되지 않습니다.

전문 : http://pastebin.com/HUrdZn2t

[/box]

이 이용약관은 예시이다. 어느 업체 제품이 그렇다고 이야기하지는 않겠는데 이런 종류 시스템의 기업용/관공서용 중앙관리프로그램을 구경해 본 사람들은 알겠지만, PC/스마트폰에 에이전트가 설치되어 있다면, 이 기기에 설치된 어플 내역, 현재 실행 중인 프로세스 내역은 물론 그간 이용해 온 인터넷 사이트 주소, 그동안 다운받은 프로그램이나 블로그 또는 메일 내용도 일제히 저장되고 수집될 수 있다.

약관도 읽지 않는 묻지마 승낙과 결합하면…

이런 약관들에는 악성코드와 연관된 것으로 의심되면 데이터를 수집하겠다고 써놓았지만 어디까지 악성코드로 여길지에 대한 기준은 업체 마음대로이다. 이미 경쟁업체 백신을 악성코드로 탐지해 삭제하는 백신들이 등장했던 것처럼 정보수집 범위는 업체 마음대로 정할 수 있다. 이는 사실 까놓고 말해 모조리 악성코드로 여긴다면 모든 정보를 수집하는 것도 가능하다는 이야기이다. 그리고 사실, 대다수는, 모든 정보를 수집한다.

이런 약관들에는 ‘익명화 처리된다’고 하지만 정말 익명화 처리되는지는 아무도 모른다. 기업이나 공공기관용 솔루션은 고정된 로그인 유저명이나 도메인명을 쓰지 않더라도 네트워크 MAC 주소나 IP 주소와 실제 사용자와 매칭시킨 정보를 제공한다. 백신업체는 익명으로 가지고 있다 하더라도 다른 곳에 있는 정보와 매치시킨다면 얼마든지 해당 데이터의 실제 소유주 신원을 금방 확인할 수 있다. 이미 각 브로드밴드 업체들은 자사 고객들의 MAC 주소를 고객명과 매칭시켜 트래픽을 관리하고 있지 않은가. 즉. 익명이 익명이 아니라는 이야기이다.

이런 약관들이 사용자 동의 없이 데이터를 다른 목적으로 활용하지 않겠다고 약속한다 한들 그걸 누가 믿는가. 지난 정부의 민간인 상대 패킷 감청이 당사자의 동의 없이 비밀리에 이루어져 왔음은 모두가 다 알고 있는 사실이다.

프라이버시 대책은 나 몰라라? 그냥 넘길 일 아니다

우리가 흔히 쓰는 동영상 플레이어들도 재생 중인 동영상의 파일명과 사이즈, 제목을 수집하고 있으며, 덕분에 해당 업체들은 어떤 ‘야동’이 가장 많이 재생되고 있는지에 대한 정보를 실시간으로 보유하고 있을 정도이다. 알집, 알약, 알툴바를 만든 이스트소프트가 왜 네이버, 다음 같은 포털과 함께 빅데이터 시장의 중요한 플레이어로 거론되고 있겠는가? 수집 데이터가 어마어마하기 때문이다. 바이러스를 잡고 악성코드를 차단하는 건 옳은 일이다. 하지만 이를 위한 기술적 메커니즘은 프라이버시 침해를 항상 수반할 수밖에 없다. MBC가 직원 컴퓨터에 설치했다는 보안 프로그램도 같은 원리이다. 각 기업들이 메신저 대화, 이메일 내용을 감청하는 것도 같은 뿌리의 기술이다.

근데 ‘그걸’ 이제 전국 모든 스마트폰에 심는다고?

우리가 중요하게 생각해야 하는 것은 악성 행위로 의심된다는 모호한 이유로 얼마든지 모든 네트워크 패킷과 PC/스마트폰 이용 정보가 보안업체, 나아가 정부기관에 전송될 수 있는 ‘가능성’을 백신에이전트들이 가지고 있다는 것이며, 우리가 주시해야 하는 것은 우리의 정보가 누군가에게 수집된 이상 반드시 누군가에 의해 이용될 수밖에 없는 위험성 바로 그것이다. 스마트폰 백신 프로그램, 그냥 넘길 일이 아니다.

한겨레 - 구글 지메일도 국정원이 감청 (2011-09-16)
우리는 이런 기사를 그냥 넘기고 있다 (한겨레 – 구글 지메일도 국정원이 감청)

[box type=”note” head=”덧붙이는 말”]

기술적으로 더 깊이 있는 이야기를 할 수도 있겠지만, 아무것도 모르는 컴맹 내 친구도 이해할 수 있도록 쓴 글이라 풀어썼다. 정치적으로는 결벽에 가깝도록 설명했지만, 기술적으로는 뭉뚱그려 표현한 내용이 있다. 이 글은 기술문서가 아니기 때문이다.

안랩이 잘못하고 있다는 글이 아님을 다시 지적해 둔다. 공공성과 프라이버시 보호를 위한 거버넌스가 없는 상태에서 누군가가 활개치고 다니는 상황을 탓해야 할 것이다. 물론 안철수 씨는 지금 이 모든 상황을 알고 있을 것이다.

Smart Defense는 V3를 설치할 때 부수적으로 설치가 권유되는 프로그램이다. 엄밀히 말해 백신은 아니지만, 백신과 늘 함께 설치되곤 한다. 이런 종류의 에이전트가 설치되지 않아도 백신 사용은 가능하지만 어떤 제품은 고급 기능 사용에 제한을 두어 결국 불편을 이기지 못하고 마지 못해 설치하곤 한다. 그냥 대놓고 백신 프로그램과 에이전트를 묶어버리는 일도 있다. 악성코드의 다른 표현으로 어뷰징 방지, 해킹 방지 같은 표현을 쓰는 곳도 있다.

기업체 보안 솔루션 역시 같은 원리이며 이 경우 ‘악성코드 대응을 위해’ 대신 ‘보안문서 유출 방지를 위해’ 라는 이름으로 직원의 프라이버시를 점유한다. 금융결제원은 각종 보안 솔루션을 액티브엑스를 통해 강제 설치토록 하고 있는데 여기에도 이 프로그램이 함께 들어가곤 한다. 공공기관 전자민원 서비스도 마찬가지이다. 심지어 ‘게임 런처’도 마찬가지이다. 결국, 사용자가 원치 않아도 결국 한 번쯤은 설치하고 있다는 이야기이다. ‘프로그램 강제설치’란 단순한 기술적 이슈를 뛰어넘어 굉장히 ‘정치적인’ 의미를 지닌다. (편집자 주: ‘게임 런처’는 일반적으로 게임 실행기를 의미한다. 기본적으로 게임 실행, 업데이트 체크 및 다운로드, 공지사항 노출 등의 역할을 한다. 더불어 아이디 패스워드 탈취 및 핵 프로그램 차단 명목 백신 설치 및 체크 역할을 하는 경우도 있다.)

[/box]

관련 글