불법소프트웨어 뒤에 숨은 보안위협   |   2008.10.01
이 글을 읽고 있는 여러분은 인쇄된 매체가 아닌 디지털화된 자료로서 보고 있을 것이며, 디지털화된 정보를 보기 위하여 컴퓨터 또는 그와 동등한 장치를 통하여 볼 것이다. 컴퓨터가 동작하기 위해서는 하드웨어뿐만 아니라 이를 동작시키고 제어하기 위한 소프트웨어들이 존재해야 한다. 이런 소프트웨어의 표현은 개발자에 의해 무궁무진하게 만들어질 수 있으며, 그 수는 셀 수 없을 만큼 많다. 바로 오늘날 기술과 정보를 이용한 ‘지식산업’ 중에 하나가 이 소프트웨어 산업이며, 소프트웨어의 역할은 그 범위가 더욱 넓어지고 있으며 활용범위 또한 크게 확대되고 있다. 그런데 이 소프트웨어의 산업이 불법소프트웨어로 인해 성장이 저해되고 있으며 피해가 크다는 사실은 이미 많이 알려져 있고, 언론에서도 지속적으로 언급을 해 오고 있다. 하지만, 이러한 사실에 대한 인식만 공유되고 있을 뿐이지 실질적인 행동들은 잘 나타나지 않고 있다. 시장조사 기관인 IDC에서는 불법소프트웨어를 구입하여 사용할 경우 조직과 개인에게 심각한 보안위협이 될 수 있다고 보고하였고, 이러한 소프트웨어의 불법 복제 피해는 전 세계적으로 400억 달러의 손실을 가져온다고도 하였다.

필자는 이미 수 차례 언급되어온 불법 소프트웨어의 현황 등에 대해서는 언급하지 않겠다. 다만 이번 컬럼은 불법소프트웨어의 현실이 아니라 그 뒤에 숨은 보안 위협에 대해서 한번 이야기해 보고자 한다.

왜 불법소프트웨어는 근절이 어려운가

자 그럼 “왜 불법소프트웨어 사용이 끊이질 않는가?”라는 가장 기본적인 질문에 대한 답에 대해서 한번 논의해 보도록 하자. ‘불법소프트웨어’ 이것을 아마 한번도 사용해 보지 않은 사용자는 거의 드물 것이다. 친구들에게도 쉽게 구할 수 있고, 인터넷이라는 인프라가 대중화 되어 있어 요즘의 인터넷 환경에서는 필요로 하는 소프트웨어 하나쯤 구하는 것은 어려운 일이 아니게 되었다. 또, 이런 소프트웨어의 불법 판매는 음성적이지만 공공연하게 이루어지고 있고 개인 대 개인의 파일 교환을 가능하게 해주는 P2P 서비스는 불법소프트웨어 유통에 기름을 부었다. 특히 우리나라의 경우 컴퓨터를 사면 당연하다는 듯이 많은 소프트웨어가 이미 설치되어 고객들에게 전달된다. 우리는 소프트웨어를 불법적으로 사용할 수 있는 적절치 않은 환경에 이미 노출되어 있는 것이다.

이렇게 ‘공짜'로 사용할 수 있는 소프트웨어인데 과연 누가 비용을 지불하고 구매를 하겠는가? 우리는 삶을 영위하기 위해 많은 물품들을 필요로 하고 또한 이것을 얻기 위해 비용을 지불하는 것을 당연히 여긴다. 그 중 소프트웨어와 짝이 되는 하드웨어도 그 자체가 존재해야 하므로 비용을 지불해야 한다. 하지만 유독 무형의 자산인 소프트웨어라는 것은 무형자산이오 복사만 하면 쉽게 얻어올 수 있는 것으로 인식한다. 개발자/개발사들은 고객의 편의를 위하여 소프트웨어를 미리 일정 기간 동안 무료로 사용해 볼 수 있도록 하는 합법적인 ‘공짜’ 사용이 가능하다. 하지만 인터넷을 찾아보면 제품 등록 키를 쉽게 구해 불법적인 ‘공짜’ 사용이 그리 어렵지 않은 것이 현실이다. 소프트웨어를 구매하는데 있어 작은 비용이든, 큰 비용이든 이것은 중요치가 않아졌다. 다른 비용은 다 지불할지 몰라도 소프트웨어라는 이 놈은 공짜로 구할 수 있다는 사실 때문에 비용을 지불하고 구매하는 사람이 더 이상한 사람이 되어버렸다. 이것이 현재 소프트웨어 시장의 현실이다.

그렇다면 이렇게 이야기 하고 있는 필자는 정당한 소프트웨어만을 이용하고 있는 것일까? 필자 또한 떳떳하지 못한 경험이 있으며, 부끄러운 행동을 한적이 있다. 하지만, 이제 이러한 행동들은 바뀌어야 할 것이며 이 글을 읽고 있는 여러분들과 함께 불법소프트웨어 뒤에 가려진 그늘과 이에 대한 대안을 한번 찾아보고자 한다.

불법소프트웨어 사용의 기회비용

불법소프트웨어 사용이라는 유혹의 손길 뒤에는 정당한 소프트웨어의 사용시 드는 비용보다 더 큰 비용을 지불해야 하는 상황이 발생할 수도 있다. 수 천장의 사진, 음악 및 중요한 정보는 물론 회사의 중요 데이터까지 악성코드의 감염으로 사라지거나, 바이러스에 의해 날아가버린다고 상상해 보면 눈앞이 캄캄해 질것이다. 운영체제나 소프트웨어야 다시 설치한다고 하지만 사라진 소중한 가족, 연인들의 사진, 경쟁사 정보 및 회사 데이터들 이런 것은 어떻게 할 것인가? 백신 프로그램을 사용하고 조심하면 되겠지 하고 생각할 수도 있지만 한번의 실수가 큰 피해를 가져올 수 있음을 명심해야 한다. 이러한 이유는, 불법적으로 배포되는 인터넷상의 소프트웨어들이 고의적으로 악성코드에 감염되어 배포되는 사례가 많기 때문이다. 이런 악의적인 코드의 특징들을 보면 다음과 같다.

 •시스템 손상
 •데이터 손실
 •개인정보 유출
 •스팸메일 발송
 •원격의 관리자에 의한 컴퓨터 제어
 •과도한 컴퓨터 자원의 소요에 따른 시스템 성능 저하

위에 언급된 특징 이외도 제작자가 의도적으로 악의적인 코드를 첨부하여 배포하는 경우 의도에 따라 다양한 위협사례가 발생될 수 있다. 실제 이런 사례로 피해를 본 A씨의 경우를 보겠다. 친구로부터 얻은 불법소프트웨어의 등록키가 필요하였고, 등록키를 얻기 위하여 인터넷사이트에서 크랙 파일을 다운로드 후 실행하는 순간 컴퓨터가 느려지기 시작하였으며 앞서 언급하였던 악성코드의 특징들이 나타났다고 하였다. A 씨는 나름 보안에 관심을 가지고 있었던 지라 다른 사람들에 비해 컴퓨터가 안전한 것으로 믿고 있었지만 결국 잘못된 행동으로 포맷이라는 최후의 방법까지 선택하게 된 것이다. 그 놈의 파일 하나 때문에…

불법소프트웨어의 사용은 보안위협 높여

이러한 것을 보았을 때 불법소프트웨어 뒤에 숨겨진 보이지 않는 어둠의 위협은 시사하는 바가 크다. 소프트웨어 이상으로 더욱 값진 것을 잃게 될 수 있는 것이다. 비용뿐만 아니라 시간, 자원 등 그 이상이 되는 것이다. 보안적 관점에서 조금 더 들여다 보도록 하자. 흔히 소프트웨어를 구매하고 일반적으로 따라오는 것이 기술지원, 업데이트가 있다. 여기서의 업데이트라 함은 소프트웨어의 잘못된 동작과 같은 버그, 보안취약점등을 해결한 파일이다. 만약 여러분이 사용하고 있는 소프트웨어에서 중대한 결함이 발견되었다고 하면 어떻겠는가? 어떠한 경로로 이러한 사실을 통보 받을 수 있겠는가? 단순히 취약점 유형이 로컬에만 해당된다고 하면 그 위험성은 낮겠지만, 원격의 사용자에 의해 공격을 받을 수 있다면, 소프트웨어를 사용한다는 그 자체가 큰 잠재적 위험성을 갖고 있는 것이다. 불법소프트웨어의 사용은 이러한 보안위협으로부터 안전하지 못할 가능성이 정당한 비용을 지불하고 사용하는 사람보다 가능성이 높다. 다음은 CERT/CC 에서 발표한 수치로, 1995년부터 보고된 소프트웨어 취약점 현황을 보면 그 수치가 지속적으로 증가되고 있음을 알 수 있으며, 이러한 부분이 이제 갈수록 얼마나 중요해 가고 있는 가를 보여준다.


[도표 1] 년간 보고되는 소프트웨어 취약점 현황: CERT/CC 데이터


필자는 여기서 불법소프트웨어 사용으로 인한 여러 피해 중, 보안위협 노출을 강조하였지만 이외도 기술지원을 받을 수 없다는 점, 불법소프트웨어 단속으로 인한 피해 그리고 불법소프트웨어 사용으로 인한 문제가 발생하였을 시 보상받을 길이 없다는 점등이 있다.

오픈소스 활용도 한가지 방법
자 그러면, 이러한 현실 속에 어떤 대안이 제시될 수 있을까? 가장 쉽게 접근해 볼 수 있는 것이 자유롭게 사용 가능한 ‘오픈소스(OpenSource)’ 이다. 최근의 오픈소스들을 보면 상업용 수준 또는 그 이상의 기능을 포함한 것들이 많이 있다. 더불어 전세계 시장에서도 인정받아 점유율을 꾸준하게 올려가고 있다. 대표적인 오픈소스 브라우저인 파이어폭스가 그러하고, 세계 1위의 웹 서버 시장 점유율을 갖고 있는 아파치 웹 서버만 보아도 그 우수성을 짐작해 볼 수가 있다. 지금 여러분들이 사용하고 있는 소프트웨어의 많은 기능들이 오픈소스로 개발되어 있거나 진행 중에 있는 것들이 많을 것이다. 물론 아직 상업용에 비해 부족한 부분이 있을진 모르겠으나, 불법소프트웨어가 아닌 정당한 사용자로서 소프트웨어를 사용할 수 있다. 더불어 상업용 소프트웨어는 온라인 판매를 통한 현실적인 가격의 제시와 필요한 기능만을 포함한 제한된 버전의 제시 그리고 웹 2.0 의 열풍과 같이 온라인을 기반으로한 서비스로의 준비 등 소비자에게 좀더 쉽게 다가갈 수 있는 방법들이 필요하다.

현 지식산업 시대의 중심을 차지하고 있는 소프트웨어를 보호하고 확대하기 위해서 여러 정책적인 안도 필요하지만, 가장 중요한 것은 소프트웨어를 사용하는 사용자들의 마인드 변화가 가장 큰 부분이 아닌가 생각한다. 필자는 보안적인 관점에서 올바른 소프트웨어 사용을 주장하고자 했지만 필자 스스로도 반성하는 부분이 크다. 분명한 것은 지금 불법소프트웨어의 뒤에 드리워진 보안위협이 언제든지 여러분의 디지털 자산을 위협할 수 있다는 생각은 잊지 말아야 한다. 경제 용어 중에 승자의 저주(The Winner’s Curse)라는 것이 있다. 경쟁에서는 이겼지만, 그 과정에서 너무 많은 것을 투자해 결과적으로 많은 것을 잃는 현상을 뜻하는 말인데, 이 소프트웨어에도 불법소프트웨어를 쉽게 구할 수 있어 비용을 지불하지는 않을 수 있었지만 그 소프트웨어를 사용하는 과정에서 악성코드와 같은 감염으로 인해 더욱 많은 것을 잃지는 않는 것인지 깊게 생각해 보아야 할 것이다. 이제 소프트웨어 산업을 살리는 주체는 바로 여러분들인 것이다.

[저자] 시큐리티 분석가 정관진
현재 안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “IT칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 특히 오픈소스(Open Source)에 많은 관심을 가지고 있어 아파치 웹 서버의 정보를 제공하는 아파치사용자그룹(http://www.apache-kr.org) 사이트를 운영하고 있다.

보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로, 무단 도용 및 배포를 금합니다.