동의없이 설치되는 '액티브X'는 스파이웨어


앞으로 이용자의 동의 없이 액티브X(ActiveX) 프로그램을 설치할 경우엔 스파이웨어로 분류돼 처벌을 받게 된다.

정보통신부는 23일 스파이웨어 분류 기준을 개정하고 액티브X도 스파이웨어 프로그램으로 분류하기로 했다고 발표했다. 정통부는 지난 2005년부터 스파이웨어를 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제48조제2항의 규정에 의한 악성 프로그램의 일종으로 간주해왔다.

정통부가 액티브X를 스파이웨어로 분류키로 한 것은 관련 피해 사례가 늘고 있다는 지적을 반영한 것으로 풀이된다. 실제로 스파이웨어 제거 프로그램 실태조사 결과에 따르면 이용자의 명시적인 동의없이 '액티브X' 방식으로 설치되는 프로그램이 이용자에게 피해를 입히는 경우가 많은 것으로 나타났다.

스파이웨어 프로그램을 전달 또는 유포하면 '정보통신망 이용촉진 및 정보보호 등에 관한법률' 제71조의 규정에 따라 5년이하의 징역이나 5천만원이하의 벌금에 처해 질 수 있다.

◆방문한 사이트에서만 실행될 경우엔 예외

현행 스파이웨어 기준에서는 이용자의 동의 없이 설치하거나 속여 설치하는 프로그램을 금지하고 있다. 하지만 액티브X 보안 경고창만을 이용하는 경우 이용자와 프로그램 제공자간 동의 여부에 대해 논란이 있어 왔다.

정통부는 이번에 스파이웨어 분류 기준을 개정하면서 액티브X도 원칙적으로 이용자로부터 동의를 구하지 않은 것으로 간주하기로 한 것이다. 다만 액티브X 설치 방식을 모두 스파이웨어 프로그램으로 분류할 경우 금융기관 또는 전자정부 사이트의 액티브X와 같이 안전한 서비스 이용을 위해 설치해야 하는 프로그램까지 포함되는 문제를 막기 위해 '이용자가 방문한 사이트에서만 실행되고 그 사이트를 벗어나면 실행되지 않은 프로그램'은 예외로 허용키로 했다.

그동안 현행 기준에서 규정한 '정상 프로그램'의 의미가 관점에 따라 달리 해석되는 경우가 많아 '이용자가 그 용도를 명확하게 인지하고 동의한 프로그램'으로 명확히 정의했다.

아울러 정상 프로그램의 운영을 방해·중지·삭제하는 행위와 정상 프로그램의 설치를 방해하는 행위 뿐만 아니라, 호스트 파일 변경 등 시스템의 설정 변경 또는 운영 방해·중지·삭제도 악성행위에 포함하는 것으로 규정했다.

또한 현행 기준은 컴퓨터 키보드 입력 내용 또는 화면 표시 내용을 수집·전송하는 행위만 규정하고 있으나, 스파이웨어가 파일·레지스트리 등 시스템 정보를 수집해 전송하는 경우도 이를 기준에 포함시켰다.

한편 정통부는 스파이웨어 사례집을 보호나라(www.boho.or.kr) 홈페이지에 게재해 확인할 수 있도록 했다.

강호성기자 chaosing@inews24.com







포토뉴스