사이버 개인정보 보호망에 적색경보!!

인터넷이 있어 즐거운 것은 사실이다. 수줍음 많이 타는 남성들이 당당하게 자신을 소개하고 마음에 드는 짝짓기에 매진하는 일이나, 연예인이어야 가능할 법했던 ‘TV는 사랑을 싣고’식의 만남이 아주 평범한 사람들에게도 쉽게 일어난다. 또, 안방에 앉아 원하는 책을 주문하고 어제 못보고 놓친 드라마를 재탕, 삼탕하며 반복 시청한다. 이 얼마나 아름다운 디지털 세상인가? 하지만 양지가 있으면 음지가 있듯, 환상적인 사이버 세상의 이면에는 풀기 힘든 난제가 있다. 바로 프라이버시 침해 논란이자 누군가 나를 엿보고 있다는 두려움이다. 정확히 말하면 선견지명이 있던 “1984년”의 작가 조지 오웰식 ‘빅 브라더’가 인터넷에서 음탕한 웃음을 짓고 있다. 서서히 허물을 벗고 있는 디지털 사회의 통제 시스템과 허술한 프라이버시 보호망을 파헤쳐 본다.

하루 15시간 이상, 잠자는 시간을 뺀 나머지를 모두 인터넷에서 보내는 필자의 디지털 라이프 주기는 이렇다. 출근하자마자 인터넷 신문 사이트들을 돌아다니며 최신 뉴스를 훑어보고 오후에는 E-mail로 작업상황 체크 및 취재에 들어간다. 저녁쯤 되면 ICQ(오프라인상에서 핸드폰과 같은 역할을 해 주는 메신저 프로그램)로 동료들과 최신 소프트웨어를 주고 받고, 설치해 실행한 결과 분석표를 만들어 제출한다. 그리고 퇴근해서는 각종 엔터테인먼트 요소나 놀 거리 등을 인터넷에서 해결하는 편이다. 출·퇴근길에도 5대 PC통신사의 무선 인터넷을 번갈아 사용하니 거의 인터넷을 떼어놓는 시간이 없다 해도 과언이 아니다.

하지만 이러한 생활을 즐기는 동안 필자는 문득문득 누군가 나의 인터넷 공간을 엿본다는 생각도 많이 들었고, 실제로 이런 경험을 겪고 있다. 요컨대 실행시키지도 않은 프로그램이 갑자기 팝업되어 실행되거나 이상한 파일들이 시스템에 남겨져 있는 경우가 왕왕 생긴다. 물론 이는 BO2K와 같은 일종의 해킹 툴에 의해 내 IP(네트워크 상에서 커뮤니케이션을 위해 전화번호처럼 부여받은 일종의 주소)가 점유된 상황이었고, 가시적으로 그 결과가 돌출되기 때문에 쉽게 대처할 수 있다. 하지만 문제는 눈에 보이지 않는 누군가의 지배이다.

대표적인 예로 필자가 자주 찾는 웹 사이트 중 하나인 CNN(http://www.cnn.com)을 꼽을 수 있다. 어쩌면 독자 중 몇몇은 이 사이트를 북마크로 등록해 두어 잘 이용하고 있을 테지만, 이 사이트에 접속하는 순간 사용자의 개인정보, 최소한 사용자의 인터넷 사용 내역인 쿠키는 정확히 3곳의 업체인 CNNaudience.com과 static. admazimize.com, doubleclick.com에 유출될 수 있다. 이 사실은 정보유출 보호 프로그램인 ‘ID사이드 프라이버시 캠패니언’(http://www.idcide.com)을 설치해야 발각되는 일이므로 일반 사용자들은 인지하지 못한 채 해당 사이트에 접속하게 된다. 아주 편안한 마음으로 CNN뿐만 아니라 익사이트(http://www.exceit.com)를 가도, 알타비스타의 쇼핑몰 센터(http://shopping.altavista.com)에 접근해도 개인 정보 유출의 위험성은 끊이지 않고 있다.

“과연 그게 가능한 일이냐?”고 반문하는 이가 있다면 한번 프라이버시넷(www.privacy.net)을 찾아가 보기를 권한다. 이 사이트는 여러분이 접속하는 순간, 여러분의 IP 주소를 탐지하고, 컴퓨터 등록 이름까지 ‘아무개’라고 적어 보여 주는 놀라운 실력(?)을 발휘할 것이다. 여기에 한술 더 떠 이 사이트는 사용자가 몇 월 몇 일에 방문한 적이 있는지, 사용중인 운영체제와 웹 브라우저는 무엇인지, 데스크톱 해상도는 몇으로 쓰고, 현재 몇 개의 윈도 창을 띄우고 있는지 미아리 고개의 점쟁이마냥 지적한다. 이게 바로 2000년 7월 현재, 여러분의 인터넷 사생활이 언제든 침해될 수 있다는 단적인 증거다.

라이버시 침해 기술의 변천사 ―

DIVX·펜티엄III·IE5.0에 이어 논란 일으킨 ‘스파이웨어’

국내에서는 제5공화국 헌법에서 ‘사생활의 비밀과 자유’가 명문화된 이후 ‘프라이버시’에 대한 인식을 달리하기 시작했고, 지난 5월부터는 정보통신부가 ‘개인정보 보호지침’을 시행할 정도로 개인정보 보호 부분에서 많은 변화가 있었다. 하지만 프라이버시 권리는 맨 처음 ‘홀로 있을 권리’라는 소극적 개념에서 출발했고, 오늘날 정보화가 확산되면서 ‘정보통제권’이라는 적극적 개념까지 포괄해 정립되고 있는 과도기적 상황임은 분명하다. 따라서 이런 와중에 첨예하게 발전하여 새롭게 선보이는 IT 기술에 발빠르게 대처하기는 현실적으로 역부족이라 볼 수 있다.

단적인 예로 디지털과 관련한 사생활 침해는 바이러스 침투나 해킹을 통한 의도적인 개인정보 침해 정도로 생각했지만, 1998년경 DVD가 한창 물이 오를 당시 DIVX (DVD 미디어에 담긴 영화를 한번만 볼 수 있게 잠금장치를 건 비디오 포맷)는 사용자가 어느 시간에 어떤 영화를 보았는지 모니터링할 수 있다는 점 때문에 한 차례 논란이 일어난 바 있었다. 또 지난해 초에는 인텔이 개발한 펜티엄III 칩에는 고유번호인 PSN(Process Serial Number)이 부착돼 인터넷망을 통해 세계 어느 곳에서 누가 어떤 컴퓨터를 통해 무슨 정보를 얻고 있는지를 확인하는 통로로 이용될 수 있다고 발표되었고, 전 세계 프라이버시 보호단체의 강력한 반발을 산 적도 있다.

사용자층이 두터운 MS사의 인터넷 익스플로러도 지난해 3월경 5.0버전이 출시되자마자 사용자의 사생활을 침해할 소지가 있는 것으로 밝혀졌다. 이는 IE 5.0의 즐겨찾기 기능에 특정 웹사이트를 추가하면 ‘favicon. ico’이라는 아이콘도 자동으로 다운로드되면서 북마크에 기록되는 기능에 대한 것으로, 사용자 입장에서는 웹사이트에 favicon.ico 파일이 있는지 파악할 수도 없고, 즐겨찾기에 추가할 때 다운로드를 거부할 수 있는 기능도 없다.

하지만 웹사이트 운영자가 이 기능을 역이용할 경우 사용자의 북마크에 로그를 생성해 놓거나 쿠키 등을 통해 사용자들의 주소를 추적할 수 있게 된다. 물론 더 나아가 사용자들이 즐겨 찾는 웹사이트도 알 수 있어 종국에는 개인의 신상정보까지 노출될 수 있는 일이었다.
하지만 지금까지의 하드웨어나 소프트웨어적인 정보 침해보다 인터넷을 통한 정보침해가 더욱 다양하고, 그 파급효과도 크다는 점이 큰 문제다. 더욱이 사용자도 모르게 거의 스파이처럼 정보를 침해하는 것도 식은 죽 먹기다.

이는 현재 대두되고 있는 ‘스파이웨어’(Spyware, http://www.radiate.com)로 설명될 수 있는 부분이다. 문제의 스파이웨어는 ‘시스템의 뒷구멍이라 할 백채널(Back Channel)을 통해 개인정보를 유출하는 프로그램 모듈’이다. 하지만 동일한 기능을 수행하는 트로이 목마(Trojan Horses)나 백도어(BackDoor)류의 해킹 프로그램과는 차원이 다르다. 이들 프로그램은 악의적인 목적으로 개인정보를 빼내는 반면, 스파이웨어는 정품 소프트웨어의 평가판을 무료로 제공하는 조건으로 개인정보를 빼가기 때문이다. 즉, 무료로 배포되는 공개 소프트웨어에 들어 있는 정보 유출 모듈을 통칭해 스파이웨어라고 말할 수 있다.

스파이웨어를 개발한 미국 라디에이트(Radiate·옛Aureate)사의 에렌 매지(Ehren Maedge) 사장은 “고품질의 프로그램을 사용자에게 무료로 제공하는 게 라디에이트의 비전”이라고 설명한다. 사용자들은 무료로 필요한 소프트웨어를 사용할 수 있고, 프로그램 개발업체들은 대신 해당 소프트웨어 사용자의 행태를 조사하고 시장을 분석할 수 있는 기회를 가질 수 있도록 하기 위해 스파이웨어를 만들었다는 얘기다. 또, 스파이웨어야말로 누이 좋고 매부 좋은 중개툴이 아니냐고 주장한다.

하지만 그저 공짜인 줄로만 알고 써왔던 프로그램 안에 개인정보를 빼가는 스파이웨어가 숨어 있다는 사실은 국내 사용자들에게 적지 않은 충격으로 다가왔다. 게다가 스파이웨어가 탑재된 프로그램으로 공식 확인된 것만 270여종인데, 이들 프로그램 중에는 큐트FTP(Cute FTP)·겟라이트(GetRight)·고!질라(Go!Zilla), 큐트FTP(CuteFTP) 3.0 등 국내 사용자들이 애용하는 인기 프리웨어들도 다수 포함되어 문제의 심각성은 크다. 현재 이들 프로그램을 사용중이라면 사용계약서를 한번 살펴보기 바란다. 영문이라서, 혹은 좋은 프로그램을 공짜로 써본다는 생각에 미처 보지 못한 ‘프로그램 설치시 발생할 수 있는 사용자의 모든 피해에 대해 책임지지 않는다’는 문구와 함께 ‘광고용 배너의 효율성을 위해 사용자의 정보를 광고회사에서 가져갈 수 있으며, 이에 대한 책임 또한 없다’는 내용을 보고 뒤통수를 얻어맞는 충격을 받을지도 모를 일이다.

공짜는 없다. 대신 개인정보 상납해야

인터넷을 통한 개인정보 침해 영역은 크게 ‘프리웨어 다운로드’ ‘웹 서핑’ ‘전자상거래’로 요약된다. 이중 프리웨어 다운로드를 통한 프라이버시 침해는 앞서 언급한 스파이웨어가 대표적이다. 이와 더불어 리얼네트워크사의 리얼오디오(http://www.real.com)처럼 자체적으로 사용자의 인터넷 행동양태를 탐지하기 위해 특별한 모듈을 장착한 소프트웨어를 포함시키는 경우도 있다. 특히 리얼오디오사는 주크박스 프로그램을 통해 개인 사용자가 청취하는 CD 정보를 빼간 데 이어 최근에는 리얼플레이어를 사용하는 네티즌이 어떤 노래를 듣고 어떤 영화를 보는지까지 수집하는 것으로 밝혀져 법적 논란까지 야기된 상태다.

웹 서핑을 통한 정보 유출은 인터넷상에 마치 지뢰처럼 심어져 있는 ‘웹 버그’(Web Bug) 기술로 주로 행해지고 있다. 퀴큰(http://www.quicken.com/),FedEx(http://www. fedex.com/us/tracking/)에서 사용하는 것으로 밝혀진 웹 버그는 사용자의 IP 주소, 이전 쿠키값, 사용자가 웹 버그를 발견한 시간 등의 정보들을 수집하는데, 이 웹 버그는 1×1픽셀의 눈에 보이지 않는 작은 GIF 이미지로 웹 혹은 E-mail 메시지상에 심어져 있기 때문에, 일반 네티즌이 식별하기는 거의 불가능하다. 정보유출감시 프로그램인 옵트아웃(grc.com) 류의 모니터링 프로그램을 설치하기 전까지는 말이다.

아울러 알렉사닷컴(http://www.alexa.com)·더블클릭(http://www.doubleclick.com)처럼 사용자의 동의 하에 하드디스크에 저장된 쿠키를 이용, 웹 행태를 분석하고 그 결과를 내놓는 곳도 우후죽순으로 늘고 있어, 이런 인터넷 조사에 참여하려는 사용자들에게 날카로운 사이트 분별 능력이 요구되고 있다. 더욱이 가장 큰 규모를 자랑하던 더블클릭사도 최근 자사가 보유한 정보를 마케팅 데이터베이스로 결합하려다 들통나 사용자들을 격분시킨 사건이 발생한 상황이지 않은가.

마지막으로 전자상거래를 통한 개인정보 유출은 ‘개인정보 수집이 곧 고객 확보’라는 인식이 팽배해지면서 늘어나고 있는데 업체간에 공공연히 개인정보가 거래되기도 한다. 이는 지난 4월11일 네이버컴과 삼보컴퓨터를 상대로 개인정보 유출에 따른 손해배상 소송을 제기한 사용자가 국내 처음으로 나오면서 가시화된 문제다. 웹마스터로 활동하는 지승훈씨는 네이버컴이 운영하는 마이비즈(MyBiz)에 가입할 당시 회원가입 신청서 화면에는 비밀번호와 E메일을 다른 업체와 공유하지 않는다고 명시되어 있었으나, 가입한 적도 없는 삼보컴퓨터 트라이젬으로부터 쇼핑몰 관련 스팸메일을 받게 되면서 네이버컴과 트라이젬 쇼핑몰 사이트의 개인정보 공유를 지적하게 된 것이다. 특히 인터넷 기업들의 잦은 합병과 인수로 인해 개인 사용자의 정보는 원치 않는 업체의 손에 들어갈 소지가 농후하며, 최근 닷컴 기업들이 몰락하면서 자사가 보관해 온 개인 사용자들의 정보를 다른 업체에 넘기는 사례도 발생해 사용자들의 불안감은 불어나고 있다.

이밖에도 프라이버시 침해는 전화 감청처럼 감행되고 있는 E-mail 감시, 전자우편 가로채기, 패스워드 크래킹, 메시지 보드에 게시물 올리기 등으로도 쉽게 벌어질 수 있는 일이다.
또 최근 뜨고 있는, ‘eCRM’(Customer Relation- ship Management)이라는 예쁘게 포장된 DB 마케팅으로도 개인정보가 한꺼풀 벗겨져 공개될 수 있다.

eCRM을 문자 그대로 풀이하면 ‘고객 관계 관리 솔루션’으로, 개인 고객의 성향에 맞춰 차별화된 정보를 제공한다든지, 사후 서비스를 지원하는 등의 기술이 모두 여기에 포함된다. 물론 그러려면 고객의 정보가 필요하기 때문에 고객 정보를 취득하는 기술도 CRM의 한 부분이다. 특히 최근에는 e비즈니스와 연계된 eCRM과 함께 모빌 비즈니스를 위한 mCRM까지 등장하는 추세여서 CRM을 놓치면 인터넷 비즈니스에서 실패하고 만다고 전문가들은 떠들어댄다.

하지만 이런 움직임을 두고 ‘사기’라고 일축하는 이들도 적지 않다. 이들은 ‘공짜’를 대가로 개인정보를 노출해야 하는 위험을 감수하듯이 편의성 때문에 프라이버시를 침해당할 수 있다고 우려한다. 웹마스터클럽(WMC)의 한 웹 전문가는 그 예로 국내 프로그램인 웹패턴테크놀로지의 nTaker(www.ntaker.com)를 꼽는다. 그는 “nTaker의 사용계약서에는 ‘맞춤서비스를 제공하기 위해 여러분의 동의 하에 사용자의 인터넷 사용 정보를 수집하고 있다’는 문구가 쓰여 있다.

프라이버시 보호는 여전히 네티즌 개인의 몫

하지만 이 사실을 인지하고 있는 사용자가 얼마나 될지는 의문이다. 더욱이 nTaker는 웹 테크놀로지에 노하우가 있는 전문가보다 인터넷 초보자들을 겨냥한 프로그램이기 때문에 사용계약서를 꼼꼼히 살펴보는 이는 드물다고 본다”고 지적하고 “하지만 결국 사용자는 특정 화면보호기에서 자신이 관심있는 주식 종목과 시황 뉴스를 보다 자연스레 날아오는 관련 주식 동향 메일을 받아보며 세상 참 좋아졌다고 박수칠 것이다. 이미 본인의 웹 행동패턴이 업체로 넘어갔지만 말이다”라며 편의를 미끼로 한 개인정보 누출 위험을 경고했다.

다 아는 사실이지만 모든 도구는 사용자의 의도에 따라 변하는 양날의 칼이다. 이제까지 발전해온 컴퓨터 기술과 인터넷 기술이 역으로 우리의 자유와 프라이버시를 막는 덫이 될 수도 있다. 쿠키 기술이 인터넷의 맞춤서비스를 앞당겼지만, 사용자의 정보를 마구 유출해내는 도구로 사용되는 것이 대표적 예이다.

또한 국내 전자메일 기술은 모니터링까지 가능한 솔루션이 나올 정도로 발전한 상태다. 하지만 이 솔루션 보유 업체는 고객사를 밝히기를 꺼려한다. 솔루션을 채택한 기업으로서는 직원들이 기밀서류를 노출시키는 것을 막기 위해 취한 최상책이었을 테지만, 해당 기업의 직원들은 사생활을 침해당했다고 발끈할 수 있기 때문이다.

최근 정보통신법에 의거해 개인정보의 유출 및 목적 이외의 사용도 엄격히 금지되고 있다. 즉, 사용자의 개인정보를 수입 목적이나 이용 목적 이외의 용도로 이용하면, 제3자에 제공한 자는 1년 이하의 징역 또는 1,000만원 이하의 벌금에 처하도록 규정하고 있다. 또, 최근에는 정보통신망법에 기초해 개인정보 보호지침이 마련되었다.

하지만 사용자 입장에서는 마른 땅에 내리는 단비처럼 반갑기만 한 일련의 법적 시행령은 테헤란밸리의 인터넷산업을 위축시킬 소지가 농후하다는 이유로 비난받고 있다. 따라서 어떤 법규나 보안 신기술이 나와도 프라이버시 보호를 둘러싼 목소리는 마치 권력자와 피권력자간의 이해관계처럼 양분화될 수밖에 없는 상황이다. 결국 완벽한 프라이버시 보호란 있을 수 없으며, 이 역시 전적으로 개인의 몫이라는 결론으로 흘러갈 수밖에 없다. 장밋빛 세상으로만 알았던 디지토피아(Digitopia) 한편에서는 얼굴을 감춘 ‘빅 브라더’의 진두지휘 아래 사이버 제도(Cybercracy)가 자리잡고 있다.

개개인 스스로 온라인 사생활을 지킬 몇가지 예방책을 정리하면, 우선 FBI·CIA·MI5 등의 단체가 E-mail을 감시한다는 공모론에 휩쓸리기보다 잘 알려져 있는 암호화 프로그램인 PGP(www.pgpi.org) 등을 다운로드받아 설치하는 것부터 꼽을 수 있다. 최소한 주민등록번호 등 개인정보가 담긴 E-mail이 허술하게 크래킹되는 일은 막을 수 있을 것이다.

방문한 적이 있는 사이트가 네티즌의 재방문을 알아차리는 것이 꺼림칙하다 싶으면 인터넷 익스플로러의 ‘도구→옵션’ 메뉴에서(넷스케이프 네비게이터 사용자는 ‘편집→등록정보’ 메뉴) 쿠키가 활성화되지 못하도록 차단할 수 있다. 또, 개인정보 유출 모니터링 툴로 앞서 소개한 ‘옵트아웃’(OptOut)과 ‘ID사이드 프라이버시 캠패니언’ 프로그램을 설치해 사생활 침해 여부를 체크하는 주의도 필요하다. 개인정보 보호 관련 사이트를 북마크해 두고 수시로 찾아가 보는 것도 최근 동향을 파악하여 대책을 마련하는 지름길이다.

프라이버시 보호 캠페인(http://www.privacy.or.kr), 개인정보침해신고센터(http://www.cyberprivacy.or.kr), 온라인 신뢰 구축을 위한 공동체 사이트(http://www.webtrustkorea.org), 프라이버시 페이지(http://www.privacy.org), 일렉트로닉 프라이버시 인포메이션 센터(http://www.epic.org) 등을 통해 최근 사용자의 요청에도 불구하고 개인정보를 파기하지 않는 양상으로 프라이버시가 침해되고 있음을 직시해야 하며 뜻맞는 네티즌과 함께 연대행동으로 목소리를 한껏 높일 수도 있을 것이다.