본문 바로가기

벌새::Security

악성코드 프로그램의 저작권 주장

반응형
가끔 국내 광고 툴바, 적립금 프로그램, 검색 도우미 등의 프로그램들을 설치하다보면 다음과 같은 경고 문구를 볼 때가 있습니다.


자신이 배포하는 프로그램은 애드웨어(Adware)가 아닌 정상적인 동의 과정을 거쳐 사용자의 컴퓨터에 설치되는 프로그램으로 만약 자신들의 프로그램을 삭제할 경우 법적 대응을 한다는 무서운 문구를 포함하고 있는 경우가 있습니다.

심지어 어떤 프로그램은 자신이 삭제되는 것을 방지하기 위하여 제어판에서 프로그램을 삭제할 경우 특수 기능을 넣어 일종의 자기 보호를 하는 과잉 방어까지 일삼고 있습니다.

일단 보안업체에서 특정 업체 서비스가 마음에 들지 않는다는 이유로 감정적으로 진단에 포함할리는 만무하고, 자신의 프로그램이 어떤 문제가 있는지는 전혀 고려하지 않고 모든 제작된 프로그램은 저작권을 가지는 것처럼 자신의 권리만 주장하는 것도 잘못일 것입니다.

예를 들어 국내에서 제작되어 현재 시점까지 프로그램이 동작하는 것으로 확인된 악성코드 프로그램을 통해 좀 더 쉽게 이해를 도모해 보겠습니다.


해당 프로그램은 국내 보안업체 정보를 검색해 본 결과 2007년경부터 배포되어 당시에 악성코드로 진단이 이루어진 상태로 지금까지 정상적으로 프로그램 설치가 이루어지고 있습니다.

설치 초기는 제작사 사이트에서 제공하는 설치 파일을 이용할 경우 그림과 같이 사용자의 동의 과정을 거쳐서 이루어지고 있습니다. 물론 국내외 정상적인 프로그램 중에서도 배포 과정에서 변질되어 트로이목마와 같은 매체를 통해 사용자 몰래 설치가 되는 방식으로 초기 인지도를 올린 후 나중에 정상적인 운영을 하는 배포 방식도 간혹 보입니다.

아무튼 여기서 한 가지 사용자 입장에서는 과연 프로그램 설치 단계에서 동의를 하였다면 자신은 결백할 수 있다는 단순 논리는 잘못된 것이라고 볼 수 있습니다.

악성코드 중에서도 상당수는 마치 정상적인 프로그램처럼 동의 과정을 거쳐 사용자가 설치하도록 유도하는 것들이 많은 현실에서 동의를 하였기에 나를 진단하지 말라는 협박은 더 이상 통하지 않는다고 볼 수 있습니다.


설치 파일 중 가장 사용자가 판단하기 어려운 배포 방식이 설치 파일의 용량은 작게 구성하고 실제 설치 단계에서 특정 서버와 연결하여 그림과 같이 파일을 다운로드하는 방식이 아닌가 생각됩니다.

해당 프로그램 역시 특정 호스트에서 프로그램 구성 파일을 다운로드하여 설치를 하는 방식으로 구성되어 있으며, 이 프로그램의 경우 초기 설치 단계에서 프로그램 생성 폴더 정보 등을 사용자에게 제시하고 있지 않기에 설치 후 프로그램의 위치를 파악하기가 어렵게 되어 있습니다.

생성 폴더, 파일 정보


실제 설치된 프로그램은 WebSite 폴더 이외에 Esearch 폴더가 추가로 생성되어 사실상 2개의 프로그램이 설치된 것을 확인할 수 있습니다.

[생성 파일 진단 정보]

C:\Program Files\Esearch\BNKeyword.dll (nProtect : Trojan-Clicker/W32.Esearch.32768.B)
C:\Program Files\Esearch\BNKeyword2.dll (nProtect : Trojan-Clicker/W32.Esearch.32768)
C:\Program Files\Esearch\Esearch.exe (nProtect : Trojan-Downloader/W32.Small.36864.L)
C:\Program Files\Esearch\EsearchUnInstall.exe (nProtect : Trojan-Clicker/W32.Esearch.24576)

C:\Program Files\WebSite\WebSite.dll (nProtect : Trojan-Clicker/W32.WebSite.90112.B)
C:\Program Files\WebSite\WebSite.exe (nProtect : Trojan-Clicker/W32.WebSite.40960)
C:\Program Files\WebSite\WebSiteUnInstall.exe (nProtect : Trojan-Clicker/W32.WebSite.24576)
C:\Program Files\WebSite\WebSiteUpdate.exe (nProtect : Adware/WebSite.D)

하지만 현재 보안제품을 통해 검사를 해보면, 위와 같이 악성코드로 진단을 하는 것을 확인할 수 있으며, 최소한 2종 이상의 변종이 출현하였던 것으로 추정이 됩니다.

만약 초기 해당 프로그램이 배포되면서 보안제품에서 진단이 된다면 자신들의 프로그램 배포 방식이나 보안업체 진단 정책에 맞는 부분을 수정하여 정상적인 프로그램으로 수정해야 할텐데, 오로지 자신들의 프로그램에 대한 저작권을 주장하며 악성코드가 아니라고 식으로 대응을 한다면 벌써 이 진단으로 인해 문제가 있지 않았을까 생각이 듭니다.

해외의 경우에도 얼마 전 Kaspersky 제품과 유명 광고 프로그램간의 법적 다툼에서 보안업체의 손을 들어준 것을 고려한다면 합리적인 진단 정책을 가지고 악성코드 프로그램과 정상 프로그램을 분류하는 보안업체를 향해 저런 식으로 협박만 하는 프로그램들은 법에 대해 잘 모르는 사용자들만 혼란을 겪을 것으로 보입니다.

특히 국내의 일부 프로그램의 경우 해외 유명 보안제품에서는 절대 다수가 악성코드로 진단을 하는데 반하여 국내 보안제품은 진단 정책과 법적 이유로 진단하지 않기에 사용자 입장에서 국내 보안제품을 이용하다가 어느날 해외 보안제품을 설치하여 발견된 악성코드로 인하여 오해만 늘어갈 것으로도 생각이 듭니다.

이런 부분이야 보안에 종사하시는 분들이 잘 판단할 문제지만, 사용자 입장에서는 저런 프로그램 배포자의 협박과 국내 보안제품에서 진단되지 않는 파일에 대한 해외 보안제품의 진단으로 인한 협박 아닌 경고로 인해 누구를 믿을지 난감할 때가 있습니다.

그런데 과연 악성코드의 저작권은 인정을 해줄까요?
728x90
반응형