Jerry's BLOG

지난번은 허위 안티 스파이웨어에 대한 글이였다. 이번엔 외국산 엔진을 도입해 서비스하는 업체들에 관한 이야기이다. 다소 개인적 소견이 들어간 글이지만 아무런 감정도 의도도 없음을 밝힌다.

최근 보안 시장에 또 하나 트렌드라고 하면 비 보안 업체들이 보안쪽으로 사업을 확장한다는 것이다. 당연한 일인듯 싶다. 하지만 여기엔 눈에 보이지 않는 크나큰 문제점이 존재한다.

바로 무료 보안 제품이다. 비 보안 업체의 경우 주된 수익원은 보안 사업을 하기 이전의 사업일 것이다. 하지만 전문 보안 업체의 경우 주된 수익원은 보안 그 자체이다. 따라서 보안에 새로 뛰어든 업체는 아무런 상관이 없겠지만 기존 보안 업체에겐 사활이 걸린 문제이다.

국내 대형 업체와 다른 업체들이 보안 시장에 무료 제품을 출시한다는데 개인 고객으로서는 두손 들고 환영할 일이다. 단기간엔 모든것이 긍정적이다. 하지만 장기적으로 보면 그 피해는 고스란히 소비자가 떠 안게 된다.

현재 국내에 판매되고 있는 외국산 소프트웨어중 유일하게 보안 소프트웨어만 외국보다 훨씬 낮은 가격에서 판매되고있다. 그 이외의 프로그램은 적게는 2배 많게는 4배 이상 비싼 가격에 판매가 되고 있다. 그 이유는 국내에 경쟁력을 가진 업체가 없기 때문이다. 자국 소프트웨어가 없어 발생하는 문제이다. 예전 MS Office가 매우 싼 가격에 국내에 들어왔었다. 하지만 지금은 그 가격이 많이 올랐다. 이는 한글과컴퓨터의 아래한글이 경쟁력이 약화 되었기 때문이다. 하지만 보안 소프트웨어는 외국에선 10만원에 판매되지만 국내에선 2만원에 판매 되고 있다.

현재 국내 무료 서비스를 제공하겠다는 회사의 대부분이 외국산 엔진을 라이센싱해서 사용하거나 할 계획을 가지고 있다. 상대적으로 저렴한 가격에 높은 퀄리티의 엔진을 적용할 수 있으므로 최선의 방법으로 생각된다. 하지만 이들 업체중 24시간 265일 악성코드에 대해 대응할 수 있는 전문 분석 및 대응팀을 갖춘 회사는 거의 없다. 따라서 새로운 악성코드가 나타났을때 분석 및 대응을 외국 회사에 맡길 수 밖에 없다. 물론 부분적으로는 대응할 수 있지만 그속엔 분명 한계가 존재한다.

이렇게 무료로 배포되는 소프트웨어의 증가로 현재 보안 업체들이 문을 닫게 되면 결국 자국의 힘으로 보안을 유지할 수가 없다. 국내 보안을 외국에 맡겨야 하는 상황에 이르게 된다.

그 뿐 아니라 2만원 하던 소프트웨어는 어느새 10만원을 넘어서고 있을 것이다.

무턱대고 하지 말라는것은 아니다. 하지만 무엇이 고객을 위한 길이며 나아가서는 사회를 위한 길인지 그리고 그 방법이나 절차에서 잘못된 점은 없는지 깊이 생각해 볼 필요가 있다.

또한 현재의 보안 업체 역시 보다 고객을 위한다는 초심을 한번 더 생각해 보아야 할 것이다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

 보안 업계에서 제작년부터 국내에 꾸준히 문제가 되고 있는 부분중 상당 부분을 차지하는것이 바로 허위 안티 스파이웨어(Rogue Anti-Spyware)이다. 이들이 문제가 된것은 사용자의 정당한 권리를 침해한다는 부분이 있기 때문인데, 바로 사용자의 동의 없이 프로그램이 설치된다는 것이다.

 대부분의 업체들이 프로그램을 배포할때 사용하는 방식이 ActiveX이다. 인터넷 익스플로러(Internet Explorer)을 통해 손쉽게 배포가 가능해 한국에선 가장 대중적인 프로그램 배포 방식으로 자리를 잡았다. 하지만 이 방식에는 큰 문제점이 있다.

 첫째, 인터넷 익스플로러(Internet Explorer)의 보안 설정에 따라 경고창이 나타나지 않을 수 있다. [그림 1] 에서 알 수 있듯, 각각의 항목에 대해 "사용"을 체크해 버리면 웹 서핑을 하는것 만으로 나의 컴퓨터엔 컴퓨터가 동작하기 어려울 만큼 수 많은 프로그램이 설치되는것을 경험할 수 있을 것이다.

하지만 이러한 설정이 변경되었다 해도 일반적인 사용자들은 그 여부 조차 알지 못한다. 하지만 대다수의 업체들인 ActiveX 경고창이 사용자 동의라고 우긴다. 사용자의 설정에 따라 나올수도 있고, 나오지 않을수도 있다면 그것이 정당한 동의라고 할 수 있을까?

둘째, 제휴 마케팅을 통해 엄청난 확산력을 가진다.
소위 말하는 제휴 마케팅이라는 사이트를 통해 일반인에게 배포 코드를 제공한다. 따라서 우리는 카페나 기타 웹 서핑시 나타나는 다양한 사이트를 방문할때 알 수 없는 ActiveX경고창이 뜨는것을 자주 볼 수 있다. 즉, 불특정 다수의 사이트에서 프로그램이 사용자 동의 없이 설치되게끔 마구잡이로 배포되는 것이다. 즉, 자체 확산력이 없는 스파이웨어와 애드웨어에 날개를 달아준 꼴이 된다. 성난 호랑이 등을 타고 전국 방방 곳곳에 퍼지게 되는 것이다.

배포나 설치 방법 문제보다 더욱더 심각한 문제는 바로 품질이다. 안티 스파이웨어(Anti Spyware)를 표방하지만, 그 내막을 살펴보면 오진과 허위 진단 투성이다. 또한 자체 분석 및 대응 센터가 없는 경우가 대다수이다. 업계 관계자 말을 들어보면 바지 사장을 내세워 영업을 하며 실제 엔진은 2~3개 정도에 불과하다고 한다. 바꿔 직설적으로 말하면, 제품의 내용은 똑같지만 껍데기만 다르게 포장해 다른 제품으로 판매하고 있다는 것이다. 그 목적은 바로 돈을 벌기 위해서이다.

보안 제품은 사용자의 잃어버린 정당한 권리를 되찾아 주기 위해 존재하여야 한다. 하지만 이런 허위 안티 스파이웨어는 사용자의 권리를 찾아주는것은 뒷전이고, 어떻게 하면 자사의 이익을 더욱더 높일 수 있을지만 고민한다.

또한 안티 바이러스 역활도 가지고 있다고 하는데 실제 국내에서 많은 문제를 일으키고 피해를 주고 있는 바이럿, 바이킹을 진단하고 치료할 수 있냐고 물어보면 아직 개발중이라고 하는 답변만 받을 수 있다. 이런 제품은 안티 바이러스가 아니다.

기술력과 신뢰성이 없는 이런 회사와 제품은 돈을 벌기 위한 목적으로 앞으로도 꾸준히 나올 전망이다. 이들 업체들은 한번만 더 생각을 해 보안 제품이 가져야할 기본적인 요소와 목적을 잃지 않았으면 한다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.