소수의 기업들이 이른바 웹 버그들을 찾아 퇴치하기 위한 툴로 웹 서퍼들을 무장시키고 있다. 웹 버그란 비밀리에 사람들의 웹 여행을 트래킹하는 일에서부터 컴퓨터 파일들을 도용하는 일에 이르기까지 다양한 용도로 사용될 수 있는, 보이지 않는 코드들이다.
많은 사이트 운영자들과 넷 광고기업들은, 예를 들어 ''어떤 페이지가 가장 많이 읽혀지는가''와 같은 정보를 수집하기 위해 그들의 웹 페이지에 웹 버그를 설치해둔다. 너무 작아서 독자들이 눈치채지 못하는 이런 버그들은 방문자의 IP 주소를 파악하거나 해로운 파일들을 설치하는 등 좀더 침략적인 방식으로 사용될 수 있다.
이런 버그들은 또한 쿠키와 결합될 수도 있다. 쿠키는 PC에 저장돼 이름이나 e-메일 주소 같은 개인 정보를 담을 수 있는 전자 파일이다.
하지만 방문자들은 자신들의 서핑 습관을 탐지하기 위해 이런 버그가 사용되고 있다는 것을 흔히 인식하지 못하고 있다. 이런 점을 우려해 보안 기업들은 성가신 버그들을 찾아낼 수 있는 툴로 웹 서퍼들을 무장시키기 시작했다.
보안 기업인 인텔리틱스(Intelytics)의 토미 왕은 "사람들은 웹 버그와 관련된 잠재적 위험을 이해하지 못한다. 웹 버그를 통해, 당신의 컴퓨터는 해당 하드드라이브에 있는 프로그램으로부터 파일이나 정보를 빼낼 수 있는 악의적인 사이트에 완전히 노출될 수 있다. 사람들은 이런 문제에 대해 교육받을 필요가 있다"고 지적했다.
지난 1일 인터넷 트래킹 및 보안 기업인 시큐리티 스페이스(Security Space)는 웹 광고 네트워크인 더블클릭, 링크익스체인지닷컴, 익사이트닷컴 등이 써드 파티 페이지에 있는 소비자들을 트랙하기 위해 웹 버그를 사용하는 주요 사이트에 속한다고 인정한 보고서를 발표했다.
한편, 인텔리틱스는 2주 후에 웹 서퍼들이 스파이들을 탐지하기 위해 사용할 수 있는 무료 서비스를 공개할 계획이다. ''개인 파수꾼(Personal Sentinel)이''라는 이름의 이 소프트웨어는 은밀히 작동하고 있는 웹 버그 수를 나타내줌으로써 특정 웹사이트의 ''위험수준''을 소비자들에게 알려줄 것이다.
인텔리틱스는 점차 증가하고 있는 이런 기술의 중요성을 묘사하면서, 연휴동안 주요 전자상거래 사이트들에 대한 보고서를 발표했다. 이 보고서는 조사 대상이 된 5100만 페이지 중에서 약 1600만 페이지가 광고 네트워크 같은 써드 파티에서 붙여진 웹 버그를 적어도 하나 이상 갖고 있다고 폭로했다.
타인의 e-메일을 몰래 엿본다
이러한 감시 수법은 입법자들에게도 더욱 중요한 문제로 부각되기 시작했다. 지난 1일, 개인의 프라이버시에 대한 연구를 책임지는 상하 양원 의원들의 단체인 의회 프라이버시 간부 위원회(Congressional Privacy Caucus)는 온라인 추적 기술이 주는 위협에 대해 논의하기 위한 모임을 가졌다.
프라이버시 위원회와 인텔리틱스는 한 실험에서 웹 버그가 부정하게 사용될 경우 버그가 있는 웹 페이지를 클릭하기만 하면 컴퓨터 사용자의 e-메일 주소록 전체를 도용할 수 있다는 것을 보여줬다.
비영리 단체인 프라이버시 협회 CPO(chief privacy officer), 리차드 스미스는 "윈도우의 보안 결함을 통해, 그들은 사람들이 소비자의 하드드라이브에서 정보를 빼내는 것이 얼마나 쉬운지를 보여줬다"고 밝혔다. 그는 지난 1일 공청회에서 증언한 바 있다.
프라이버시 협회는 웹 버그 탐지기라고 불리는 브라우저 플러그 인 베타 버전을 실험하고 있다. 웹 버그 탐지기는 사람들이 웹 버그를 확인할 수 있도록 해준다.
스미스는 웹 버그를 메시지에 붙이기만 하면 다른 사람들의 e-메일을 몰래 엿볼 수 있다고 증언했다. 스미스의 말에 따르면, 버그가 포함된 e-메일을 보내면 그 메일에 대한 회신이 발송될 때 해당 버그가 원래 발송자에게 은밀하게 사본을 보내준다고 한다.
스미스는 "e-메일이 의회에서도 도청될 수 있다면, e-메일이 안전할 수 있는 곳이 어디 있겠는가? 아무 곳도 없다"고 말했다.
프라이버시 위원회와 제휴관계를 맺고 있는 인텔리틱스는 지난 1월, 기업들이 소비자들에 대한 프라이버시 위험을 평가하면서 독자적인 사이트에서 보고서를 발표할 수 있는 웹 버그 조사 서비스를 발표했다. 인텔리틱스는 기업 e-메일 및 인트라넷용 웹 버그 툴을 런칭할 계획이다.
예컨대 메시지 파수꾼(Message Sentinel)은 도청을 비롯해 e-메일을 통해 전해지는 프라이버시 위협을 점검하기 위한 것이다. 이미 정부 당국과 금융 서비스 기업들로부터 관심을 모으고 있는 이 제품은 오는 4월초에 런칭될 예정이다. 하지만 가격은 아직 결정되지 않은 상태다.
인텔리틱스의 왕에 따르면, ''개인 파수꾼''은 3월 15일에 공급될 예정이며, 소비자들이 감시의 눈길을 피할 수 있도록 웹 버그를 없애주는 서비스를 판매할 계획인 기업들로부터 지원을 받을 예정이다.
5가지 웹 버그 발견
왕은 자체 조사를 통해 인텔리틱스가 5가지 타입의 웹 버그를 확인했다고 밝혔다. 가장 단순하고 논란이 되는 버그는 방문자의 온라인 여행에 대한 정보를 제 3자에게 보내기 위해 쿠키와 함께 작동하는 작은 GIF이다.
좀더 악의적인 형태의 웹 버그는 ''실행 버그(executable bugs)''이다. 이런 버그는 사람들이 인터넷에 접속할 때마다 정보를 수집하기 위해 그들의 하드드라이브에 파일을 설치할 수 있다. 예컨대 이런 버그는 ''금융''이라는 단어를 포함하고 있는 모든 문서에 대한 정보를 보내기 위해 사용자의 기기를 스캔할 수 있다.
왕은 가장 사악한 버그는 통보도 없이 "당신의 컴퓨터에서 문서를 빼낼 수 있는 스크립트 기반 실행 버그"일 것이라고 말했다. 그는 컴퓨터에 연결된 웹 카메라나 녹음기를 통해 생생한 사적인 기록을 추적할 수 있는 프로그램에 대해 경고했다.
다른 스크립트 기반 버그들도 파일을 실행하지만 개인 PC에 설치돼있지는 않다. 이런 버그들은 자체 서버로부터 개인의 컴퓨터를 통제하는 것뿐만 아니라 은밀하게 소비자의 웹 여행을 추적하는 것을 시도할 수 있다.
이런 버그의 일례는 인기있는 엔터테인먼트 사이트인 패스디스온닷컴(PassThisOn.com)에서 발견될 수 있다. 이 사이트는 사람들이 사이트를 빠져 나오려 할 때 무수한 브라우저 창을 띄운다.
매월 리포트를 발행할 계획인 시큐리티 스페이스의 기술 담당 이사인 토마스 라인키는 웹 버그 리포트가 이런 웹 버그들을 알려주고 있지만, 대부분의 소비자들은 그에 대해 "관심을 갖지 않을 것"이라고 말했다. 하지만 "한 두 단체들이 웹 트래픽과 사용자 취향에 관한 정보를 얼마나 많이 얻느냐를 아는 것이 중요하다."
5년 된 보안 및 인터넷 탐지 기업인 시큐리티 스페이스는 버그를 찾기 위해 10만 개 이상의 현행 웹사이트들, 즉 전체 웹사이트의 약 4%를 스캔하고 있다. 크롤러가 홈페이지와 모든 링크를 차례차례 자동 방문하는 방식을 취하고 있다.
이것은 ''웹에서의 권위성''에 기초해, 또는 얼마나 많은 사이트들이 링크돼있는지를 기준으로 사이트를 평가한다. 예컨대, 야후가 자체 사이트에 10만 개의 링크를 갖고 있다면, 100개의 링크만을 갖고 있는 사이트에 비해 좀더 중요하게 평가된다.
더블클릭은 최고의 트래픽율을 가지고 웹 버그를 사용하는 주요 사이트로 등록돼있다. 어떤 회사가 설치한 순수한 버그 수를 추적하는 또 다른 리포트에 따르면, 이 광고 네트워크는 웨더닷컴(Weather.com)의 326개나 넷스케이프닷컴의 306개에 비해 보다 많은 약 535개의 웹 버그를 써드 파티 사이트에서 사용한다고 한다.
그러나 더블클릭 대변인들에게서는 논평을 얻을 수 없었다.
라인키는 "만약 당신이 그런 정보를 수집해 사용자들에게 연관시킨다면, 정보를 남용할 수 있는 입장이 되는 것"이며, "우리 회사는 앞으로 그에 대한 리포트를 판매하기 시작할 것"이라고 덧붙였다.
라인키는 "광고 회사로서 어떤 가족이 소형 화기(火器)나 폭탄 제조에 관한 웹사이트에 방문한다는 것을 알게 되면 어떻게 되는가? 그 광고업체가 그 정보를 갖고 있음으로써 지게되는 책임은 무엇인가? 그들은 정보를 법 집행부에 넘겨야 하는 것인가?"라며 반문했다.
