Home > 전체기사
애드웨어 설치해 판매했던 레노버, 730만 달러 합의금 지출
  |  입력 : 2018-12-04 11:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
슈퍼피시 스캔들...광고를 페이지에 주입하고 중간자 공격 통해 정보 수집
가짜 인증서 사용해 피해 확산시키기도...20년 동안 보안 점검 받는 조건도 붙어


[보안뉴스 문가용 기자] 컴퓨터 제조사인 레노버가 2015년 발생한 슈퍼피시 애드웨어 스캔들(Superfish Adware Scandal)에 대한 집단 소송의 합의금으로 730만 달러를 지불하기로 했다.

[이미지 = iclickart]


슈퍼피시 애드웨어 스캔들이란 2015년 2월에 일부 보안 전문가들이 발견한 것으로, 슈퍼피시(Superfish)에서 만든 윈도우쇼퍼(WindowShopper) 혹은 비주얼디스커버리(VisualDiscovery)라는 브라우저 애드온이 수십 만대의 레노버 랩톱 모델들에 설치되어 있었던 사건이다. 이 애드온은 로컬 프록시와 스스로 서명한 루트 인증서를 사용해 웹 페이지들에 광고를 주입하고 있었다.

조사를 진행해보니 윈도우쇼퍼는 광고만 주입하는 애드웨어가 아니었다. 중간자 공격을 통해 사용자 세션에 개입하고, 이로써 민감한 정보를 탈취하고 있었다. 게다가 정상적인 인증서를 슈퍼피시가 직접 서명한 인증서로 교체함으로써 레노보 사용자들을 가짜 인증서를 기반으로 한 악성 웹사이트를 통한 공격에 노출시킨다는 점도 문제로 지적됐다.

레노버와 슈퍼피시가 멀웨어를 심어놓은 채 제품을 시중에 내놓았다는 소식이 퍼지자 집단 소송이 시작됐다. 이에 슈퍼피시는 1백만 달러를 합의금으로 지불하는 데에 동의했었다. 그리고 오늘 레노버가 730만 달러를 내기로 했다.

보상의 대상이 되는 사람들은 두 가지 옵션 중 택일할 수 있다.
1) 보유한 레노버 장비 하나 당 40달러를 현금으로 지급받는다.
2) 슈퍼피시 애드웨어를 처리하느라 쓴 비용을 증명할 수 있는 문서를 낸다. 이 경우 최대 750달러까지 보상을 받을 수 있다.

작년 미국의 연방거래위원회(FTC)는 동일한 사건으로 소송을 걸었고, 레노버는 350만 달러를 내는 데에 동의한 바 있다. 이 돈은 미국 32개 주에서 피해보상금으로 사용될 것이었다. 거기에 더해 레노버에는 이런 종류의 소프트웨어를 활성화시키기 전에 동의를 받아야 한다는 것과, 앞으로 20년 동안은 사전 설치된 애플리케이션들에 대한 보안 점검을 받아야 한다는 조건도 걸렸다.

최근 5억 명의 고객 정보 유출 사건을 겪은 메리어트 호텔에 대한 집단 소송도 이미 여러 건 시작됐다. 보상 금액이나 방법에 대한 최종 판결은 아무리 빨라야 내년 하반기가 될 것으로 예상되고 있다.

3줄 요약
1. 레노버, 2015년 발생한 슈퍼피시 스캔들로 730만 달러 합의금 내기로 함.
2. 애드웨어 및 중간자 공격 가능한 멀웨어를 새 제품에 탑재시켜 출시한 사건이었음.
3. 그 외에도 레노버는 앞으로 20년 동안 사전 설치 앱들에 대한 보안 점검을 필수적으로 받아야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)