(사)한국침해사고대응팀협의회(CONCERT)에서는 최근 사용자들의 거듭된 혼란에도 불구하고 명확한 기준이 제시되고 있지 못한 스파이웨어에 대한 집중분석을 시도했다. 또한 시중에 널리 활용되고 있는 안티스파이웨어 15종에 대한 비교평가를 했다. 특히 이번 벤치마크 테스트(BMT)는 일반 수요자들의 안티 스파이웨어 제품에 관한 몇가지 의구심을 해소하는데 초점을 뒀다. 이번 테스트 결과를 요약 정리한다. <편집자>
필자는 이번 BMT를 실시하는 과정에서 안티 스파이웨어 업체들의 전화와 방문을 받았다. 그들의 가장 주된 관심사는 무엇보다도 이번 BMT를 통해 안티 스파이웨어 제품들의 소위 '순위 매기기'를 시도하는지의 여부였다. 테스트의 기준에 대해 항의를 하는 곳도 있었으며, BMT 같이 민감한 사안을 추진함에 있어 으레 등장하는 모종의 '압력' 또한 없진 않았다.
이 모두가 'BMT = 순위매기기'라는 통상적 인식에 기인하는 것이었으나, 결론적으로 현재 국내시장의 안티 스파이웨어 제품들은 그 순위를 매기는 것 자체가 의미가 없을 정도로 미성숙해 있었다. 따라서 이번 BMT는 안티 스파이웨어 제품들의 순위 매기기가 아닌, 앞서 언급한 바와 같이 철저히 수요자의 관점에서 이들 제품에 제기되고 있는 여러 가지의 의구심들을 집중 검증하는 방향으로 이루어졌다.
"우리는 상 주는 BMT 아니면 안해요"라는 이유로 이번 BMT에 대한 협조를 거부하는 우스꽝스런 업체도 있었다. 당사자의 바람(?)과는 달리 이 업체 또한 이번 테스트에 포함됐으며, 유감스럽게도 그 결과는 썩 좋지 못했다. 이렇듯 동네 시장 상인 같은 태도를 견지하는 업체에 대해서는 그 실명과 더불어 극히 좋지 못했던 테스트 결과를 거론하고 싶은 생각이 굴뚝같았지만, 참기로 했다.
테스트 개요
안티 스파이웨어 제품의 허와 실을 파악하고 사용자의 선택을 돕는 객관적인 선택기준을 마련하는 데 초점을 맞춘 이번 테스트는 CONCERT 사무국에서 기획, 주관하고 CONCERT 운영위원사 한 곳과 대학 연구실 2곳이 함께 실제 테스트를 수행했다.
대상 제품은 온라인 5개 제품, 오프라인 10개 제품 등 총 15개 제품이었으며, 다양한 환경에서의 테스트를 위해 대학, 가정, PC방, 기업 등의 장소에서 2대씩, 여기에 치료용 PC 2대를 합해 총 10대의 PC에서 테스트를 수행했다.
안티 스파이웨어가 곧 스파이웨어?
언론지상에도 자주 오르내렸던 바와 같이, A사의 안티 스파이웨어 제품이 B사의 제품을 스파이웨어로 간주, 삭제해버린다든지, 또는 이와 반대의 경우가 있다는 소문이 있었으며, 이번 테스트에서는 이 점을 먼저 실제 테스트를 통해 확인했다. <그림 1>에서 보듯, 타사 제품을 스파이웨어로 탐지하는 경우는 실제로 상당히 많았다.
그렇다면 타사 제품을 스파이웨어로 간주하는 행위는 의도된 것일까? 혹시 나를 도둑으로 몬다고 해서 상대방까지 도둑으로 모는 경우는 없을까? 제품개발 업체의 숨은 의도까지 파악한다는 것은 현실적으로 쉽지 않은 일이다.
다만, 이런 경우는 있었다. A라는 제품은 무려 6개의 타사 제품을 스파이웨어로 간주하고, 그 6개의 타사 제품 중 5개 제품이 A라는 제품을 스파이웨어로 간주하고 있었다. 둘 중 하나다. 경찰이 실제 도둑을 도둑으로 간주하고 있거나, 아니면 경찰이 실제 경찰을 도둑으로 오인하고 있거나. 각 업체들의 대화와 각성이 필요한 부분이 아닐 수 없다.
모든 탐지결과는 돈 내고 치료할 가치가 있다?
만일, 모든 안티 스파이웨어 제품들이 무료로 공개되어 있는 프로그램이라면 이들에 던져지고 있는 다양한 의구심들이 그다지 큰 문제가 아닐 수도 있다.
하지만 대부분의 안티 스파이웨어 제품들은 '진단=무료, 치료=유료'라는 정책을 펴고 있기 때문에, 그 치료라는 것이 과연 비용지불을 감수할만한 가치가 있는 것인지에 대해 생각해볼 수밖에 없는 것이 사실이다. 테스트 대상이었던 한 제품이 제공하는 <그림 2>의 의아한(?) 화면을 보자.
여기에 또 한가지. 많든 적든 '돈'을 지불하고 치료를 하려면 그 돈을 내는 주체에게는 돈을 내고 삭제해야 할 객체에 대한 일정수준 이상의 정보가 제공되어야 하는 것이 마땅하다.
즉, 어떤 것이 어디에 있는지, 또 그것이 무슨 악성행위를 하는지 정도의 정보는 제공되어야 한다는 것이다. 하지만 불행하게도 다수의 제품들이 이러한 상세정보를 제공하고 있지 않았다.
탐지만 많이 하면 좋은 제품이다?
옛말에 '다다익선(多多益善)'이라고 했다. 안티 스파이웨어 제품에도 이같은 옛말이 통할까? 물론, 스파이웨어를 많이 탐지할수록 좋은 제품인 것은 명백한 사실이다. 단, 많이 탐지하면서도 '정확히' 탐지하는, 즉 명백한 스파이웨어를 많이 탐지하는 것이 좋은 제품이란 얘기다.
거꾸로 얘기하자면, 스파이웨어가 아님에도 스파이웨어로 간주하는, 즉 '오탐지'를 합한 수치는 아무리 많아봤자 의미가 없다. 그렇다면, 안티 스파이웨어 제품들에 이러한 오탐지가 존재할까? 물론 존재한다. 그리고 그 원인 또한 다양하다.
먼저, 오탐지를 야기하는 첫 번째 원인은 검색시 파일명을 기반으로 검색을 수행한다는 데 있다. <그림 4>를 보자
<그림 4>를 보면 공통적으로 setup.inf 라는 파일이 스파이웨어로 진단되어 있는 결과를 볼 수 있다. 이들 파일이 실제로 스파이웨어일까? <그림 4>는 한 PC에서 4개의 안티 스파이웨어 제품이 진단결과로 내놓은 화면이다. 즉, 여기서 지목하고 있는 setup.inf 파일은 모두 C:WIN DOWSDownloaded Program Files 라는 폴더 안에 있는 하나의 파일이다. 그럼 이 파일을 보다 자세히 분석해보자. 먼저 이 setup.inf 파일(설치정보파일)의 내부정보를 출력해보면 다음과 같은 결과가 나온다.
<그림 5>의 아랫부분을 보면 kisti_client.cab 이라는 파일이 보이는데, 이 파일은 KISTI에서 ActiveX로 설치된 정상파일이다. 이는 <그림 6>에서 보듯 해당 파일의 등록정보를 보면 더욱 명백해진다.
조금은 복잡한 이야기지만, <그림 6>의 kisti_client.cab 명과 <그림 5> setup.inf의 내부 문자열(kisti_client.cab)이 일치하기 때문에, 이는 setup.inf 파일이 악성코드가 아니라 KISTI에서 설치된 정상 파일임을 입증하고 있는 것이다.
실제로 파일명을 기반으로 검색하는 대다수의 제품에서 이같은 오탐지는 무수히 발생하고 있었다.
또 한가지, 탐지된 결과수치를 실제와 관계없이 부풀릴 수 있는 요소는 탐지된 결과를 이름을 바꿔 다시 게재하는 '반복탐지'다. <그림 7>을 보면 default.inf라는 한 개의 파일을 여러 개의 스파이웨어로 탐지하고 있는 것을 볼 수 있다.
또한, 앞서 언급했듯 이 파일명으로만 탐지를 하기 때문에 반복되어 탐지될 뿐만 아니라, 이렇듯 부풀려진 탐지개수 자체가 모두 허위일 수도 있다는 얘기다.
<그림 7>과 같이 하나의 파일을 중복해서 탐지하고, 파일명 기반 탐지의 오류 때문에 여러 개의 파일을 잘못 탐지하고 하다보면, 그 진단결과 탐지된 총 수치는 기하급수적으로 늘어나게 되어 있다. 즉, 안티 스파이웨어에서 만큼은 무조건 '다다익선(多多益善)'은 아닌 셈이다.
BMT 결과의 요약
▶ 검색기능
타사 안티스파이웨어를 악성코드로 탐지하는 경우가 많았으며, 정상적인 Active-X나 레지스트리를 악성코드로 오탐지하는 경우가 많았다. 또한, 동일 파일을 서로 다른 이름의 악성코드로 반복해서 탐지하는 경우도 있었다.
▶ 치료기능
바이러스 백신제품들과 달리 검역소가 없어 오탐지시 복구가 불가능했다. 또한 치료시에 사용자의 동의 없이 활성창을 닫거나 일방적인 삭제를 실행함으로써 사용자를 당황케 하는 경우도 잦았다.
▶ 정보제공
앞서 수차례 언급했듯 탐지된 스파이웨어들의 상세경로가 표시되는 경우가 드물었으며, 검색된 스파이웨어에 대한 상세정보 또한 제대로 제공되지 않고 있었다
▶ 가격정책
안티 스파이웨어 제품들의 가격정책이 주 단위, 월 단위 등으로 제각각 달라 사용자의 입장에서는 가격적인 면에서 직접 비교를 수행함에 있어 혼란을 느낀다.
사용자, 그리고 개발업체들을 위한 제언
안티 스파이웨어는 일반 가정에서까지 무수히 접할 수 있는 솔루션이다. 이에 따라 보안에 대해서는 전혀 관심이나 지식이 없는 일반 사용자들까지 PC를 사용하며 하루에도 몇 번씩 접할 수 있다.
기업 전용의 덩치 큰 정보보호 솔루션들과는 그 접근방식 자체가 판이하게 다르며, 또 그래야 한다. 실제로 필자의 가족들도 이들 안티 스파이웨어의 유료 서비스를 사용하기 위해 비용을 지불한 적이 있을 정도니 말이다.
최근에는 그 횟수가 다소 감소했지만, 060 등으로 대변되는 스팸 전화에 골머리를 앓았던 적이 있다. 우리같이 젊은 사람들이야 이러한 스팸 전화를 받았을 때 무심코 통화버튼을 누르는 경우가 거의 없지만, 우리나라에 우리 같은 젊은 사람만 사는 건 결코 아니다.
실제로 시골의 우리 부모님 세대의 어르신들을 포함한 상당수가 이같은 스팸 전화를 받고 '비용부과'를 의미하는 '통화' 버튼을 누른다고 하며, 이들로부터 스팸 전화 업체들이 벌어들인 돈 또한 어마어마한 수치에 이르렀다고 한다. 이같은 상황은 PC 사용자들 또한 크게 다르지 않다. PC와 인터넷에 대한 풍부한 지식을 갖추고 있는 사람은 전 국민을 놓고 보면 그렇게 많지 않다.
요즘은 가정 내 PC 사용자들의 경우 스팸 전화로부터의 노출 빈도보다 온라인 안티 스파이웨어 제품들로부터의 노출빈도가 더 높은 것 같은 느낌이다. 툭하면 "OO개의 스파이웨어가 검색되었습니다. 치료하시겠습니까?"라고 묻는 그 제품들 말이다. 이러한 문제의 심각성을 감안할 때 우리 사용자들과 개발업체, 그리고 정책당국은 지금의 혼란스런 상황에 대한 해결책을 시급히 모색해야 할 시점이다.
아울러 CONCERT에서는 이번에 수행한 안티 스파이웨어 15종 BMT 결과에 대한 여러 의견들을 받아들여 향후 한층 업그레이드 된 방법으로 다시 한번 테스트를 수행할 예정이다. 독자 여러분들을 비롯한 많은 분들께서 향후의 테스트 방법론에 대한 다양한 의견을 제시해 주시기를 본 지면을 통해 요청드리는 바이다.
부록으로, 이번 BMT 결과비교표를 공개한다. 단, 불필요한 논란의 싹을 자르기 위해 테스트 대상 업체들의 실명은 배제했다. 현재 국내의 안티스파이웨어 제품들의 평균적 수준이 어느 정도나 되는지를 가늠하는데 참고로 사용할 수 있을 것이다.