삼성몰 사건, 고객정보 유출은 없었다
최근 발생한 삼성쇼핑몰 사건은 ‘스파이웨어(spyware, 공개 소프트웨어에 포함돼 프로그램 사용자의 각종 정보를 공개적으로 빼내가는 모듈)’와 거리가 먼 광고솔루션 오작동에 불과했던 것으로 밝혀졌다.
25일 관련 기관에 따르면 이번 삼성몰 사건의 진상은 광고솔루션을 설치하면 광고와 관련된 정보가 일반 사용자 PC에서 삼성광고사이트(Sholink) 쪽으로 전송된 것인데, 이는 개인 정보라기보다 개인식별이 불가능한 광고 선호도 분석을 위한 통계목적의 자료에 불과한 것으로 나타났다.
이같은 사실은 삼성몰이 경기경찰청 사이버수사대 자문교수(명지대) 및 2개 보안 업체, 한국정보보호진흥원에 의뢰해 검토한 결과 밝혀진 것이다.
하지만 광고솔루션에 ‘스파이웨어’ 기능이 없다 하더라도, 이번 사건이 정보통신망이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)에 저촉될 수도 있다는 점을 배제할 수 없어, 최종 결과는 두고봐야 한다.
정보통신망법 제 28조 제2항에 있는 악성프로그램 유포 혐의에 대한 관계부처의 판단이 아직 정해지지 않았기 때문이다.
◆스파이웨어는 아니다
한국정보보호진흥원(원장 조휘갑 www.kisa.or.kr)는 9월 3일 삼성몰이 배포한 광고솔루션에 ‘스파이웨어’가 심어져 개인정보 유출 기능이 있는가에 대해 조사를 벌였다.
‘스파이웨어’란 PC 이용자의 이름이나 주민등록번호, IP 주소 등 개인식별이 가능한 신상자료를 미리 설정된 특정 서버로 보내 외부에서 인터넷을 통해 특정 이용자의 개인정보를 확인할 수 있도록 해주는 프로그램이다.
주로 소프트웨어 회사에서 광고효과 측정을 위해 사용자의 동의를 구한 후 사용자 PC에 설치하지만, 개인정보 획득 과정에서 개인정보의 악용이나 ID와 패스워드까지도 빼낼 수 있다는 점에서 문제가 되고 있다.
그렇다면 삼성몰의 광고솔루션에는 ‘스파이웨어’ 기능이 있었을까.
임재명 한국정보보호진흥원 해킹바이러스상담지원센터장은 “실제로 광고솔루션을 클릭하고 실행해 본 결과 dll파일이 있어 해당 쇼핑몰을 빠져 나오거나, 브라우져를 종료시키면 광고와 관련된 정보가 일반 사용자 PC에서 삼성광고사이트(Sholink)쪽으로 전송됐지만, 이를 개인정보를 유출하는 스파이웨어로 보기는 어렵다”고 말했다.
한국정보보호진흥원에 따르면 전송되는 정보는
▲시리얼키(SerialKey, 사용자 PC 요청에 의해 삼성광고사이트 서버에서 생성하여 주는 ID값. 프로그램 설치를 위한 단순한 PC 구분자에 불과)
▲사이트아이디(SiteId, 삼성광고사이트에서 여러 쇼핑몰을 관리할 때 쇼핑몰의 구분자로 사용. 여러 번 테스트시 매번 1로 표기)
▲광고리스트아이디( AdListId)
▲ParamTarget (Parameter Target, 사용치 않는 정보로 전송하지 않았음)
▲광고정보(AdInfo, Advertisement List ID 광고 이미지와 관련된 정보로 추정되며, 여러번 Test 결과 7개 변수값중 6개는 1, 0으로 고정돼 있었으며, 나머지 1개 값만 변화했음. 1개값이 매번 틀린 것으로 보아 시간과 연관으로 추정) 등.
주민등록번호나 IP주소, 패스워드 같은 개인식별 정보는 없기 때문에 ‘스파이웨어’로 보기엔 어렵다는 것이다.
한 보안업체 연구소장도 “시리얼키의 경우 소프트웨어 설치를 위한 기술적인 정보에 불과하고 나머지는 개인식별이 어려운 통계적인 정보에 불과하기 때문에 질나쁜 스파이웨어로 보기는 어렵다”고 말했다.
하지만 한국정보보호진흥원을 포함한 보안전문가들은 “정확한 진실규명을 하려면 이번 프로그램을 제작한 ㈜쇼테크로부터 소스코드를 받아 1달여 동안 정밀분석을 해야 할 것”이라고 밝히고 있다.
◆정보통신망법 위반여부는 두고봐야
삼성몰 광고솔루션에 고객의 개인정보를 유출하는 ‘스파이웨어’ 기능이 없었다 해도 정보통신망법의 위반 소지가 아예 없는 것은 아니다.
만약 이번 광고솔루션 오작동으로 소비자 PC고장에 대해 “누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니된다”는 망법 조항(제28조 2항)을 적용할 경우 삼성몰은 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해지게 된다.
이에대해 정통부 정보보호기획과 관계자는 “법률검토를 위해 자문을 의뢰한 상황”이라며 “위반여부에 대한 입장이 정해지지는 않았다”고 말했다.
한편 개인의 실질적인 동의 없이 홈페이지 공지 정도만으로 광고성 정보를 전송한 일이 광고성 정보전송을 제한하는 망법 제50조를 위반한 게 아닌가에 대해서는 문제가 없다는 게 정부 입장이다.
정통부 관계자는 “망법 50조는 영리목적의 광고성 정보를 전자우편으로 전송하고자 하는 자에 대해 규제하고 있어 (망법이 개정되지 않는 한) 광고솔루션에 적용하기는 힘들다고 본다"고 말했다.
따라서 이번 삼성몰 사건은 삼성몰과 피해 소비자간에 손해배상에 대한 합의여부와 함께, ‘악성프로그램’ 유포 혐의에 대한 정통부의 판단에 따라 시정명령 등 후속조처가 잇따를 것으로 보인다.
또한 이번 사건을 계기로 쇼핑몰이나 포털 등에서 CRM(고객정보관리) 데이터 수집시 어떠한 원칙에 따라 정보를 수집하고 이를 활용해야 하는가에 대한 법제도적인 기준이 마련돼야 한다는 목소리가 높아지고 있다.
◆[참고자료] 종료시 전송되는 정보의 예
POST /servlet/deliver.Tracker? HTTP/1.1..Content-Type: application/ x-www-form-urlencoded; charset=euc-kr..65 Accept: */*..Use61 r-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)..Host: 210.217.28.9:50000..Content-Length:71..Cache-Control: no-cache.... SerialKey=21&SiteId=1&AdListId=1&ParamTarget=&AdInfo=1|1|1 30|0|0|0|0| ,
-1∼4번째줄 : 개인용PC에서 삼성광고사이트(Sholink)로 전송한다는 명령어.
-5번째줄 : 전송하는 정보.
◆[참고자료]일반고객 임장에서본 광고 솔루션 동작단계
-1단계 : 접속 단계:고객이 Sholinkdp 접속하여 초기화면과 Shop.JS 화일 다운로드.
-2단계 : DLL화일 설치단계 (맨처음에만 시행), SSMPSASW.cab화일이 고객PC에 다운로드하여 SSMPSASW.ocx, SSMPSASW.inf로 압축이 풀린 후, SSMPSASW.ocx에 의하여 3개 DLL화일을 Window 디렉토리에 설치 (WndPosSch.dll, WndPos.dll, WndPosxSch.dll).
-3단계 : Serial Key 생성 (맨처음에만 시행). 고객 PC가 Sholink 서버에 Serial Key를 요청하여 받아, 고객 PC의 Registry에 값을 설정.
-4단계 : 광고 디스플레이. 쇼핑몰 광고 이미지가 고객PC로 전송되어 디스플레이.
-5단계 : 일반 고객 아이쇼핑.
-6단계 : 종료시 광고관련 정보 전송. 해당 쇼핑몰을 빠져 나오거나, 브라우져를 종료시키면 광고 관련 정보로 추정되는 정보가 Sholink서버로 전송.
/김현아기자 chaos@inews24.com
최근 발생한 삼성쇼핑몰 사건은 ‘스파이웨어(spyware, 공개 소프트웨어에 포함돼 프로그램 사용자의 각종 정보를 공개적으로 빼내가는 모듈)’와 거리가 먼 광고솔루션 오작동에 불과했던 것으로 밝혀졌다.
25일 관련 기관에 따르면 이번 삼성몰 사건의 진상은 광고솔루션을 설치하면 광고와 관련된 정보가 일반 사용자 PC에서 삼성광고사이트(Sholink) 쪽으로 전송된 것인데, 이는 개인 정보라기보다 개인식별이 불가능한 광고 선호도 분석을 위한 통계목적의 자료에 불과한 것으로 나타났다.
이같은 사실은 삼성몰이 경기경찰청 사이버수사대 자문교수(명지대) 및 2개 보안 업체, 한국정보보호진흥원에 의뢰해 검토한 결과 밝혀진 것이다.
하지만 광고솔루션에 ‘스파이웨어’ 기능이 없다 하더라도, 이번 사건이 정보통신망이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)에 저촉될 수도 있다는 점을 배제할 수 없어, 최종 결과는 두고봐야 한다.
정보통신망법 제 28조 제2항에 있는 악성프로그램 유포 혐의에 대한 관계부처의 판단이 아직 정해지지 않았기 때문이다.
◆스파이웨어는 아니다
한국정보보호진흥원(원장 조휘갑 www.kisa.or.kr)는 9월 3일 삼성몰이 배포한 광고솔루션에 ‘스파이웨어’가 심어져 개인정보 유출 기능이 있는가에 대해 조사를 벌였다.
‘스파이웨어’란 PC 이용자의 이름이나 주민등록번호, IP 주소 등 개인식별이 가능한 신상자료를 미리 설정된 특정 서버로 보내 외부에서 인터넷을 통해 특정 이용자의 개인정보를 확인할 수 있도록 해주는 프로그램이다.
주로 소프트웨어 회사에서 광고효과 측정을 위해 사용자의 동의를 구한 후 사용자 PC에 설치하지만, 개인정보 획득 과정에서 개인정보의 악용이나 ID와 패스워드까지도 빼낼 수 있다는 점에서 문제가 되고 있다.
그렇다면 삼성몰의 광고솔루션에는 ‘스파이웨어’ 기능이 있었을까.
임재명 한국정보보호진흥원 해킹바이러스상담지원센터장은 “실제로 광고솔루션을 클릭하고 실행해 본 결과 dll파일이 있어 해당 쇼핑몰을 빠져 나오거나, 브라우져를 종료시키면 광고와 관련된 정보가 일반 사용자 PC에서 삼성광고사이트(Sholink)쪽으로 전송됐지만, 이를 개인정보를 유출하는 스파이웨어로 보기는 어렵다”고 말했다.
한국정보보호진흥원에 따르면 전송되는 정보는
▲시리얼키(SerialKey, 사용자 PC 요청에 의해 삼성광고사이트 서버에서 생성하여 주는 ID값. 프로그램 설치를 위한 단순한 PC 구분자에 불과)
▲사이트아이디(SiteId, 삼성광고사이트에서 여러 쇼핑몰을 관리할 때 쇼핑몰의 구분자로 사용. 여러 번 테스트시 매번 1로 표기)
▲광고리스트아이디( AdListId)
▲ParamTarget (Parameter Target, 사용치 않는 정보로 전송하지 않았음)
▲광고정보(AdInfo, Advertisement List ID 광고 이미지와 관련된 정보로 추정되며, 여러번 Test 결과 7개 변수값중 6개는 1, 0으로 고정돼 있었으며, 나머지 1개 값만 변화했음. 1개값이 매번 틀린 것으로 보아 시간과 연관으로 추정) 등.
주민등록번호나 IP주소, 패스워드 같은 개인식별 정보는 없기 때문에 ‘스파이웨어’로 보기엔 어렵다는 것이다.
한 보안업체 연구소장도 “시리얼키의 경우 소프트웨어 설치를 위한 기술적인 정보에 불과하고 나머지는 개인식별이 어려운 통계적인 정보에 불과하기 때문에 질나쁜 스파이웨어로 보기는 어렵다”고 말했다.
하지만 한국정보보호진흥원을 포함한 보안전문가들은 “정확한 진실규명을 하려면 이번 프로그램을 제작한 ㈜쇼테크로부터 소스코드를 받아 1달여 동안 정밀분석을 해야 할 것”이라고 밝히고 있다.
◆정보통신망법 위반여부는 두고봐야
삼성몰 광고솔루션에 고객의 개인정보를 유출하는 ‘스파이웨어’ 기능이 없었다 해도 정보통신망법의 위반 소지가 아예 없는 것은 아니다.
만약 이번 광고솔루션 오작동으로 소비자 PC고장에 대해 “누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니된다”는 망법 조항(제28조 2항)을 적용할 경우 삼성몰은 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해지게 된다.
이에대해 정통부 정보보호기획과 관계자는 “법률검토를 위해 자문을 의뢰한 상황”이라며 “위반여부에 대한 입장이 정해지지는 않았다”고 말했다.
한편 개인의 실질적인 동의 없이 홈페이지 공지 정도만으로 광고성 정보를 전송한 일이 광고성 정보전송을 제한하는 망법 제50조를 위반한 게 아닌가에 대해서는 문제가 없다는 게 정부 입장이다.
정통부 관계자는 “망법 50조는 영리목적의 광고성 정보를 전자우편으로 전송하고자 하는 자에 대해 규제하고 있어 (망법이 개정되지 않는 한) 광고솔루션에 적용하기는 힘들다고 본다"고 말했다.
따라서 이번 삼성몰 사건은 삼성몰과 피해 소비자간에 손해배상에 대한 합의여부와 함께, ‘악성프로그램’ 유포 혐의에 대한 정통부의 판단에 따라 시정명령 등 후속조처가 잇따를 것으로 보인다.
또한 이번 사건을 계기로 쇼핑몰이나 포털 등에서 CRM(고객정보관리) 데이터 수집시 어떠한 원칙에 따라 정보를 수집하고 이를 활용해야 하는가에 대한 법제도적인 기준이 마련돼야 한다는 목소리가 높아지고 있다.
◆[참고자료] 종료시 전송되는 정보의 예
POST /servlet/deliver.Tracker? HTTP/1.1..Content-Type: application/ x-www-form-urlencoded; charset=euc-kr..65 Accept: */*..Use61 r-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)..Host: 210.217.28.9:50000..Content-Length:71..Cache-Control: no-cache.... SerialKey=21&SiteId=1&AdListId=1&ParamTarget=&AdInfo=1|1|1 30|0|0|0|0| ,
-1∼4번째줄 : 개인용PC에서 삼성광고사이트(Sholink)로 전송한다는 명령어.
-5번째줄 : 전송하는 정보.
◆[참고자료]일반고객 임장에서본 광고 솔루션 동작단계
-1단계 : 접속 단계:고객이 Sholinkdp 접속하여 초기화면과 Shop.JS 화일 다운로드.
-2단계 : DLL화일 설치단계 (맨처음에만 시행), SSMPSASW.cab화일이 고객PC에 다운로드하여 SSMPSASW.ocx, SSMPSASW.inf로 압축이 풀린 후, SSMPSASW.ocx에 의하여 3개 DLL화일을 Window 디렉토리에 설치 (WndPosSch.dll, WndPos.dll, WndPosxSch.dll).
-3단계 : Serial Key 생성 (맨처음에만 시행). 고객 PC가 Sholink 서버에 Serial Key를 요청하여 받아, 고객 PC의 Registry에 값을 설정.
-4단계 : 광고 디스플레이. 쇼핑몰 광고 이미지가 고객PC로 전송되어 디스플레이.
-5단계 : 일반 고객 아이쇼핑.
-6단계 : 종료시 광고관련 정보 전송. 해당 쇼핑몰을 빠져 나오거나, 브라우져를 종료시키면 광고 관련 정보로 추정되는 정보가 Sholink서버로 전송.
/김현아기자 chaos@inews24.com