스파이웨어 업계 흑막 파헤친「25살 법대생」

스파이웨어 업계에 있어 가장 위협적인 존재는 누구일까? 시만택? 맥아피? 오히려 이들보다 벤 에델만이 이들에게는 가장 강력한 적일 것이다.벤 에델만은 수년동안 스파이웨어와 애드웨어 프로그램이 어떻게 동작하는지 분석하고 해법을 모색하는 데 열중해온 만 25살의 청년이다. 그의 연구 분야에서는 서로 핏대 올려가며 논쟁하는 경우가 다반사이지만 심할 경우 웬유(WhenU)나 前 게토(Gator)였던 클라리아(Claria)와 같은 회사들로부터 소송 위협을 받기도 한다.에델만은 스파이·애드웨어를 테스트할 때 윈도우 XP 컴퓨터 한대를 희생양으로 쓰기보다는 VM웨어를 이용해 윈도우 가상 머신을 만드는 방법을 사용하고 있다. 그는 “가상 머신을 감염시켜본다. 애드웨어나 스파이웨어는 여지없이 감염된 가상 머신을 뭉개버린다”이라고 말했다.하버드대의 법학도인 에델만은 경제학 박사 과정을 밟고 있기도 하다. CNET 뉴스닷컴의 자매 사이트인 다운로드닷컴이 후원한 컨퍼런스에서 연설을 마친 그와 인터뷰를 가졌다.스파이웨어에 관심을 갖게 된 동기가 무엇인가?난 워싱턴 포스트가 게토를 고소한 사건에서 원고인 워싱턴 포스트로부터 전화를 한 통 받았다. 그들은 게토가 하는 일이 인터넷 컨텐츠의 자유로운 이용에 절대적으로 해를 끼친다고 생각하고 있었다. 광고주가 워싱턴 포스트 독자에게 광고하려 할 때 게토로부터 광고를 구매할 수 있다면 누가 워싱턴 포스트로부터 광고를 직접 구매하겠는가?나는 워싱턴 포스트가 옳다고 생각했다. 하지만 공판 직전 법원이 아닌 다른 곳에서 사건이 해결되는 바람에 게토 사업의 합법성 여부를 확실히 알아내지 못했다.이후 스파이웨어 관련 주제를 놓고 얼마나 공을 들였나?생각만 해도 끔찍하다. 수업도 아니고 논문 연구도 아닌 것인데도 밤을 꼬박 새곤 했다. 아마도 일주일에 30시간씩은 스파이웨어에 소비한 것 같다. 과거 15개월 동안 쉴 틈이 없었다. 그전까지는 그처럼 열정적으로 매달리지 않았었다.발견한 것 중 가장 흥미로운 부분이 있다면?엄청난 돈이 걸려있다는 걸 알게 됐다. 가장 크고 가장 부자인 미국 회사들이 스파이웨어를 통해 광고를 구매하고 있었다. 가장 크고 가장 큰 부자 벤처 캐피탈 회사가 사람들이 원치 않는 소프트웨어를 만드는 이들에게 투자하고 있었다. 아메리칸 익스프레스, 스프린트 PCS, 디즈니, 엑스피디아, 가이 가와사키의 벤처 캐피탈 회사인 게라지 테크놀러지 벤처스 같은 업체들이 바로 그런 곳들이다.‘스파이웨어’라는 단어를 사용하고 있는데, 팝업 광고가 있는 광고 기반 네트워크를 말하는 게 맞나?바로 그거다. 내가 주장하는 건 소위 말하는 애드웨어 네트워크를 구성하는 각 소프트웨어가 제대로 된 공지도 하지 않고 사용자가 확실히 동의했다고 말할 수는 없는 제한된 동의만을 구하고는-어쩔 때는 아예 그런 것도 없지만-사용자 컴퓨터에 설치돼 왔으며, 지금도 여전히 그런 식으로 설치되고 있다. 사용자가 동의하지 않았는데도 사용자 컴퓨터에 설치돼 활동하고 사용자 활동을 감시하거나 내용을 전송하는 것, 그게 바로 스파이 행위다.스파이웨어 업체나 애드웨어 업체들에게 위협당한 적은 없는지?있다. 어떤 업체들은 무슨 권리로 그러느냐고 시비를 걸어오기도 했다. 예를 들어 게토가 경쟁업체의 팝업 광고가 게재되는 사이트를 목표로 삼는 방법에 대해 웹사이트 운영자라면 누구든 확인할 수 있도록 웹서비스를 시작한 적이 있었는데 게토 측에서 상당히 격노했다. 그들은 나와 하바드 버크만 센터의 당시 상사에게 연달아 법적 문서를 보내고 이의 제기를 하며, 게다가 위협까지 했다.아마도 웬유였던 것 같은데, 이 애드웨어 프로그램이 무슨 일을 하는지 테스트하는 역 소프트웨어를 만들었던 걸로 기억한다그에 대해서는 말할 게 없다.애스크 지브스는 공정한 회사인 것 같은데, 어떤 점 때문에 문제 제기를 하는가?문제의 핵심은 애스크 지브스의 설치 과정에 있다. 보통 애스크 지브스의 소프트웨어는 보안 구멍이 악용될 위험성에 대해 전혀 알리지 않거나 동의를 구하지 않고 설치된다. 설치 시 권한이 필요하다고 사용자에게 요청할 때, 사용자들이 제시된 정보에 따라 권한을 줄지 주지 않을지 결정하기 위해 알아야 하는 내용을 항상 모두 다 이야기하진 않는다는 것이다.예를 들어 웹브라우저 툴바를 설치할 때 그들은 명확하고 자연스러운 단어인 “툴바”를 사용하는 대신 “웹 브라우저에서 직접 액세스할 수 있는”이란 말과 같이 완곡한 어법을 사용한다.웬유나 클라리아가 무슨 일을 하는지 사용자들에게 알린다면 이 회사들의 팝업 애플리케이션에 대해서는 반대하지 않을 것인가?웬유에 관계된 내용에 대해서는 할 말이 없다. 클라리아의 경우 핵심 사업이 너무 사용자에게 의존만 해서 문제가 많은 것 같다. 클라리아는 사용자들 덕택에 광고를 보여줄 수 있다. 그런데 그 광고에서 얻은 수익을 사용자들에게 나눠주지는 않는다.어떤 웹사이트가 수퍼볼 광고에 백만달러를 쓰거나 구글 페이퍼클릭(pay-per-click) 광고에 3달러를 쓴다고 가정해보라. 클라리아의 팝업은 사용자로부터 막대한 이득을 얻는다. 이런 방식은 합법적으로 자신을 광고하는 웹사이트가 얻어야 하는 보상을 깎아먹는 행위다.애드웨어 방지 소프트웨어 업체에 대해 스파이웨어 업계가 최근 가한 위협은 무엇인가?역사적으로 볼 때 사용자들은 어떤 형태든 간에 원치 않는 소프트웨어가 자신들 컴퓨터로 들어오게 될 때에는 대부분 속아넘어간 경우가 대부분이었다. 이로 인해 컴퓨터는 느려지고 불안정해진다. 애드웨어 방지 소프트웨어 업체들은 탐지 프로그램을 제공해 도움을 주겠다고 나서고 있다.스파이웨어 업체의 입장에서 본다면 이런 탐지 프로그램은 적이다. 그들은 스파이웨어 업체들이 컴퓨터를 감염시키는 상태까지 가면 사용자 컴퓨터에서 스파이웨어를 분리시킨다. 그래서 스파이웨어 업체들은 이런 스파이웨어 제거 프로그램에서 특정 광고 소프트웨어의 제거 기능을 빼도록 강요하는 협박 전술을 구사하고 있다.어느 업체가 가장 소송에 적극적인가? 사명을 거명해달라소송을 제기한 회사 중 한 곳은 클라리아다. PC 핏스톱이 사용자들에게 클라리아 소프트웨어에 대한 자신들의 견해를 이야기하자 2003년 PC 핏스톱을 불공정 사업 협의로 고소했다. 그리고 뉴닷넷(New.net)은 좀 색다른 방법으로 라바소프트를 연방 법원에 고소했다.이런 위협들의 대부분은 소송으로 이어지진 않는다. 스파이웨어 업체가 포기하거나 법정에 가지 않고 협박 전술로 끝내버리기도 한다. 지난 몇 달 동안 적어도 여섯 건의 유사 사례가 있었다.시만택과 맥아피가 이런 일에 어떻게 대응하는지 보고 있노라면 아주 흥미롭기까지 하다. 이런 문제는 이 회사들이 전에 겪었던 것과 아주 다른 문제이다. 바이러스 제작자들은 반대로 싸움을 걸어오진 않으니깐 말이다.최근 애스크 지브스를 공격했는데 이유가 뭔가?애스크 지브스는 어린이 대상 웹사이트에 애스크 지브스 소프트웨어 설치 페이지를 넣고 있다. 나는 이런 프로그램이 얼마나 많이 설치돼 있는지 산출해보려고 기를 쓰고 있다. 제정신이라면 누가 자신의 컴퓨터를 팝업 광고의 수단으로 사용하는 데 동의하겠는가?대부분의 이런 프로그램들은 어린이를 목표로 삼는 것으로 밝혀졌다. 그들은 어린이용 웹사이트에서 소프트웨어를 광고하고 있고 비디오 게임에도 그걸 넣고 있다. 게다가 스마일리 같은 데에도 광고 이미지를 사용하고 있다.애스크 지브스의 검색엔진에는 정말이지 아무도 가고 싶어하지 않는다. 그럼에도 불구하고 이 업체는 방문을 늘리기 위해 툴바를 사용자 컴퓨터로 밀어 넣고 있는 것이다. 하지만 툴바가 적절한 고지나 동의 없이 설치된다면 사업은 완전히 망하게 된다. 애스크 지브스에는 웹사이트에 어떤 실질적인 트래픽을 유발하게 할 합법적인 사업 내용이 없다.애스크 지브스는 사람들이 툴바를 다운로드하도록 장려하는 게 전부다. 그런데도 애스크 지브스의 툴바를 스파이웨어나 애드웨어로 볼 수 있는가?다른 것들처럼 이 툴바를 확실히 스파이웨어라고 할 순 없다. 팝업 광고도 보이지 않는다. 내가 아는 한 방문한 모든 웹사이트 기록을 추적해 서버로 보내지도 않는다. 그렇지만 애스크 지브스의 툴바도 스파이웨어와 동일하게 사용자를 속여 설치하게끔 하는 전술을 사용하고 있다(편집자 주 : CBS 마켓워치는 지난 주 애스크 지브스가 18억달러의 가치가 있으며 애드웨어 배포 근원지로부터 검색 트래픽의 2/3를 받고 있다는 산출치를 내놓았다.)지금껏 애드웨어 방지 업체에 컨설팅을 제공하고 벌어들인 돈은 얼마나 되나?대학원 학비를 댈 수 있을만큼 받았다.다음엔 어떤 것을 할 계획인가?아직은 확실하지 않다. 난 평생 가르치는 일을 할 것 같긴 하다. 법 관련 일이 내 일이고 미래에는 전문 컨설턴트로도 일할 수 있을 것이다. @