스파이웨어 기준 및 사례 개정

정보통신부는 인터넷 이용자 보호를 위해 이용자의 명시적인 동의 없이 설치되는 액티브(ActiveX) ActiveX는 윈도우즈 사용자들이 인터넷을 편리하고 쉽게 이용하도록 마이크로소프트사에서 개발한 것으로 인터넷 익스플로러를 위해 고안된 기술이다. 방식의 프로그램을 스파이웨어 스파이웨어(Spyware)는 스파이(Spy)와 소프트웨어(Software)의 합성어로 이용자의 개인정보 등을 몰래 빼내는 행위를 하는 프로그램이었으나 인터넷 환경 변화에 따라 사용자의 PC에 동의없이 설치되어 인터넷 시작페이지의 임의 변경, 광고창 페이지 팝업, 개인정보 유출 등 악의적인 행위를 하는 프로그램으로 의미가 확대되었다. 프로그램으로 분류 하는 등 현행 스파이웨어 분류기준을 현실에 맞게 개정한다고 밝혔다.

’05년부터 스파이웨어를 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣ 제48조제2항의 규정 제48조제2항 (정보통신망 침해행위 등의 금지) 누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니된다.에 의한 악성프로그램의 일종으로 보고 이에 대한 구체적인 기준을 마련하여 시행해 오고 있으나, 최근 스파이웨어 제거 프로그램 실태조사 결과 이용자의 명시적인 동의 없이 액티브X 방식으로 설치되는 프로그램이 이용자에게 피해를 입히는 경우가 많다는 지적이 있어 이를 기준에 반영하게 되었다.

현행 스파이웨어 기준은 이용자의 동의 없이 설치하거나 속여 설치하는 프로그램을 금지하고 있으나, 액티브X 보안 경고창만을 이용하는 경우 이용자와 프로그램제공자간 동의여부에 대해 논란이 있어 이번에 개정된 스파이웨어 기준에서는 이용자 이익보호를 위해 원칙적으로 이를 이용자의 동의를 구한 것으로 간주하지 않는다는 점을 명확히 규정하였다.

다만, 액티브X 설치 방식을 일률적으로 동의로 보지 않고 스파이웨어 프로그램으로 분류할 경우 금융기관 또는 전자정부 사이트의 액티브X와 같이 안전한 서비스 이용을 위해서 설치해야하는 프로그램까지 포함되는 문제가 발생할 수 있으므로, 이용자가 방문한 사이트에서만 실행되고 그 사이트를 벗어나면 실행되지 않는 프로그램은 예외로 허용하기로 하였다.

그동안 현행 기준에서 규정한 ‘정상 프로그램’의 의미가 관점에 따라 달리 해석되는 경우가 많아 ‘이용자가 그 용도를 명확하게 인지하고 동의한 프로그램’으로 명확히 정의하였다. 아울러 정상 프로그램의 운영을 방해·중지·삭제하는 행위와 정상 프로그램의 설치를 방해하는 행위 뿐만 아니라, 호스트 파일 변경 등 시스템의 설정 변경 또는 운영 방해·중지·삭제도 악성행위에 포함시켜 규정하였다.

또한, 현행 기준은 컴퓨터 키보드 입력 내용 또는 화면 표시 내용을 수집·전송하는 행위만 규정하고 있으나, 스파이웨어가 파일·레지스트리 등 시스템 정보를 수집하여 전송하는 경우도 다수 확인되어 이를 기준에 포함시켰다.

한편, 스파이웨어 사례집을 보호나라(www.boho.or.kr) 홈페이지에 게재하여 실제 어떤 유형의 스파이웨어가 있는지와 어떤 형식으로 설치되고 어떤 행위를 하는지 구체적인 사례를 제시하였으며, 이와같은 스파이웨어 프로그램을 전달 또는 유포하는 자는 ｢정보통신망 이용촉진 및 정보보호 등에 관한법률｣ 제71조의 규정에 따라 5년이하의 징역 또는 5천만원이하의 벌금에 처해 질 수 있다고 밝혔다.

앞으로 정보통신부는 이용자의 명시적인 동의 없이 액티브X 방식으로 설치되는 프로그램은 스파이웨어로 분류된다는 사실을 프로그램 제작업체가 인지하도록 하여 스파이웨어 기준에 해당되는 부분을 삭제하도록 조치하고, 실태조사을 통해 적발된 스파이웨어는 경찰청에 수사의뢰하거나 공정거래위원회에 시정조치하도록 요청하는 등 적극적으로 대응해 나갈 것이라고 밝힘에 따라 인터넷 이용자의 피해가 상당부분 해소할 것으로 기대되고 있다.

항목	현행(’05.8)	개정(‘07.12)
공통	이용자의 동의 없이 또는 이용자를 속여 설치되어 다음 각호의 1에 해당하는 행위를 수행하는 프로그램은 스파이웨어에 해당	이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 다음 각 호의 어느 하나에 해당하는 행위를 수행하는 프로그램은 스파이웨어에 해당 (ActiveX 보안 경고 창만을 이용한 설치는 동의로 간주하지 않으나, 해당 웹사이트의 서비스를 이용하기 위해 그 사이트를 방문 때만 실행되는 프로그램은 예외로 함)
1	웹브라우저의 홈페이지 설정이나 검색 설정을 변경 또는 시스템 설정을 변경하는 행위	웹브라우저 등 이용자가 그 용도를 명확하게 인지하고 동의한 프로그램(이하 ‘정상 프로그램’이라 한다) 또는 시스템의 설정을 변경하는 행위
2	정상 프로그램의 운영을 방해, 중지 또는 삭제하는 행위	정상 프로그램 또는 시스템의 운영을 방해, 중지 또는 삭제하는 행위
3	정상 프로그램의 설치를 방해하는 행위	정상 프로그램 또는 시스템의 설치를 방해하는 행위
4	다른 프로그램을 다운로드하여 설치하게 하는 행위	정상 프로그램 외의 프로그램을 추가적으로 설치하게 하는 행위
5	운영체계 또는 타 프로그램의 보안설정을 제거하거나 낮게 변경하는 행위	삭제(개정 1항에 통합)
6	이용자가 프로그램을 제거하거나 종료시켜도 당해 프로그램(당해 프로그램의 변종도 포함)이 제거되거나 종료되지 않는 행위	현행기준 유지
7	컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집, 전송하는 행위 (다만, 정보통신서비스제공자가 이용자의 개인정보를 수집하는 경우는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제50조의5의 규정을 적용한다)	키보드 입력 내용, 화면 표시 내용 또는 시스템 정보를 수집, 전송하는 행위 (다만, 정보통신서비스제공자가 이용자의 개인정보를 수집하는 경우는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제50조의5의 규정을 적용한다)