[기고] 보안업체의 두 얼굴 / 김기창

김기창 고려대 교수·법학

기고

위협적 바이러스 프로그램이 이따금 국내에 유포되면, 언론은 “○○○연구소 ○○바이러스 백신 긴급배포”라는 헤드라인으로 뒤덮이기 마련이다. 국민적 영웅 대접을 받는 든든한 보안업체가 있는 셈이다. 그러나 다른 한편으로는 인터넷뱅킹 사고 소식이 종종 들려오고, 스팸메일 발송국, 분산 서비스거부(DDoS) 공격 진원지로 흔히 한국이 지목되는 사태를 접하기도 한다.(이미 공격자에 의하여 장악된 컴퓨터들의 많은 곳이 이런 처지가 된다.) 이렇게 한편으로는 안도하고, 다른 한편으로는 거듭 터지는 전자금융 사고에 불안해하며, 사람들은 은행이 시키는 대로 보안 프로그램을 꾸역꾸역 자신의 컴퓨터에 설치하고 있다.

국내 보안업체들이 견지해 온 영업 방법에 대하여 문제제기가 없었던 것은 아니다. 제대로 보도되고 공론화하지 않았을 뿐이다. 상식적으로 이해가 가지 않는 점이 몇 가지 있다. 첫째, 보안업체들은 개인방화벽 프로그램을 은행을 통해 강제로 배포하고 있다. 그러나 개인방화벽은 이미 윈도(XP 서비스팩2)에 기본으로 포함되어 있다. 게다가 윈도에 포함된 개인방화벽은 상시로 이용자 피시(PC)를 보호하지만, 은행이 강제로 배포하는 개인방화벽은 그 은행 사이트를 벗어나면 꺼져버린다. 둘째, 은행이 배포하는 안티바이러스 프로그램 역시 그 은행 사이트에 접속해 있는 동안만 실행된다. 은행이 제공하는 ‘보안 프로그램’이 이처럼 은행 사이트를 벗어나는 순간 이용자를 무방비 상태로 빠뜨린다는 사실을 아는 사람은 극소수지만, 보안업체는 이 문제를 분명히 안내하지 않고 있다.

가장 이해하기 어려운 일은 이런 프로그램들이 배포되는 방법이다. 프로그램을 배포하는 손쉽고 덜 위험한 방법은 그 프로그램의 용도와 제공자가 누군지를 설명하고 내려받기 링크를 제시하는 것이다. 그러면 이용자는 그 프로그램을 왜 설치하는지 영문이나마 알고 설치 여부를 결정할 수 있다. 그러나 보안업체들은 웹브라우저 플러그인 형태로 이들 프로그램을 배포하기 때문에, 이용자는 어떤 사이트에 접속했을 뿐인데, 난데없이 영문을 알 수 없는 보안 경고창이 뜨고, “이 소프트웨어를 설치하시겠습니까?”라는 메시지를 보게 된다. “보안경고창이 나타나면 반드시 ‘예’ 하라”는 지시를 거듭 받아 온 한국의 이용자들은 이제 보안 경고창은 그저 ‘예’를 눌러 없애는 것쯤으로 생각한다.

외국의 보안 전문가들이 이구동성으로 지적하는 점은 바로 이런 방식으로 프로그램을 배포하지 말라는 것이다. 무수한 바이러스 프로그램이 이런 방식으로 배포되기 때문이고, 보안 경고창이 이용자의 화면에 뜨고 경고음까지 울리도록 웹브라우저의 설계가 변경된 이유도 바로 이것이다.

국내 보안업체들이 무슨 ‘의도’로 지금까지 “보안 경고창이 나타나면 반드시 예를 누르라”고 안내했는지를 두고 논란을 벌일 필요는 없다. 의도가 무엇이었든, 국민들은 업체의 안내에 따라 ‘예’를 눌러 왔고, 그 결과 바이러스 확산에 최적화된 환경은 조성되어 있다. ‘예’를 누르면 누를수록 퍼지는 바이러스에 이용자들과 관계 공무원은 일종의 ‘공황 상태’에 빠져서 보안 프로그램 의존 증세에서 헤어날 수 없게 되는 것이다.

은행 사이트를 벗어나면 이용자도 모르는 사이에 작동을 멈추는 ‘보안 프로그램’을 바이러스 전파 수법과 동일한 방법으로 배포해 온 이유를 알고 싶다. 은행이 하라는 대로 했을 뿐이라고만 대답한다면, 지금까지 국내에는 제대로 된 보안업체가 아예 존재하지 않았다는 말이 될 것이다. 은행은 보안 전문 업체가 아니다.

김기창 고려대 교수·법학