스토커웨어에 대항하기 위해 보안 업체와 피해자 보호 단체가 뭉쳤다

>기술적으로 정확히 규정하기 힘든 스토커웨어, 사회적 문제로 대두되고 있어
피해자 고립시키고 위험에 빠트리는 공격...피해자 보호하는 것부터 시작하기로

[보안뉴스 문가용 기자] 일명 ‘스토커웨어(stalkerware)’라고 불리는 소프트웨어들이 사회적 문제가 되고 있다. 해결이 쉽지 않은 복잡한 문제로, 선뜻 접근 방법이 떠오르고 있지 않은 가운데 다양한 조직들이 스토커웨어 문제를 다루고자 손을 잡았다. 그리고 ‘스토커웨어 대항 연합(Coalition Against Stalkerware)’을 결성했다.

[이미지 = iclickart]

창단 멤버는 1) 아비라(Avira), 2) 전자프런티어재단(EFF), 3) 유럽가정폭력가해자재활네트워크(European Network for the Work with Perpetrators of Domestic Violence), 4) 지데이터 사이버 디펜스(G DATA Cyber Defense), 5) 카스퍼스키(Kaspersky), 6) 멀웨어바이츠(Malwarebytes), 7) 가정폭력중단네트워크(National Network to End Domestic Violence), 8) 노턴라이프락(NortonLifeLock), 9) 안전한탈출작전(Operation Safe Escape), 10) 바이세르 링(WEISSER RING)이다. 대부분 피해자들의 구제와 가해자들의 재활과 관련된 기관들과 사이버 보안 업체들이다.

스토커웨어와 관련된 문제는 크게 세 가지로 분류된다.
1) 스토커웨어에 대한 정확한 기술적 분류가 어렵다. 기본적으로는 모바일용 스파이웨어를 말하는 것이나 모든 스파이웨어가 불법적인 건 아니다.
2) 스토커웨어에 대한 금지 규정이 존재하지 않는다. 심지어 판례도 아직 충분히 쌓인 상태가 아니다.
3) 피해자 입장에서 스토커웨어에 대한 피해를 신고한다는 게 쉬운 일만은 아니다. 멀웨어바이츠의 부회장인 모린 커티스(Maureen Curtis)는 “폭력 행위가 중단되는 걸로 끝났으면 좋겠다고 의사 표현 하는 피해자들이 많다”며 “경찰이 개입되면 상황이 악화될 것으로 생각하기 때문”이라고 설명한다.

어떤 면에서 스토커웨어의 문제는 ‘잠재적 비요구 프로그램(Potentially Unwanted Program, PUP)’ 문제와 비슷하다. 백신 등의 보안 솔루션을 가지고 탐지하는 것 자체가 어려운 건 아니나, 그 후 조치를 취할 때 다음 몇 가지 이유로 애매해지기 때문이다.
1) 위험하다고 판단할 수는 있지만 명확하 불법인 앱이 아닐 수 있다. 사실 PUP나 스토커웨어는 제작자의 의도보다는 사용자의 의도에서 문제가 되는 경우가 많다.
2) 불법이 아닌 경우라면 이를 삭제한다는 게 오히려 문제를 악화시킬 수 있다.
3) 삭제를 하거나 경찰에 신고할 경우 가해자가 더 공격적이고 폭력적으로 변할 수 있다.

보안 업체 카스퍼스키는 ‘2019 스토커웨어 현황 보고서(State of Stalkerware in 2019)’를 통해 “2019년 1월부터 2019년 8월 사이의 기간 동안 탐지된 스토커웨어의 숫자가 작년 동기간 대비 373% 증가했다”고 밝히고 있다. 2019년 1~8월 사이 스토커웨어에 적어도 한 번 이상 당한 사용자는 37,532명으로 작년보다 35% 증가했으며, 발견된 스토커웨어의 수는 380개로 작년 대비 31% 증가했다.

스토커웨어 대항 연합은 결성 직후 ‘스토커웨어를 중단하라(Stop Stalkerware)’라는 이름의 웹사이트를 만들었다. 스토커웨어 피해자들을 돕는 데 집중된 사이트다. “기술적으로도 피해자를 돕는 게 가능하지만 그것만으로는 불충분합니다. 사람 대 사람으로 다가갈 필요도 있습니다. 스토커웨어는 피해자를 심리적으로 대중들로부터 멀어지게 하고, 따라서 점점 더 고립시킵니다. 또한 피해자가 목소리를 낸다고 해도 주변에 안 들리는 경우가 많죠. 주변 사람도 알아차리기 힘든 유형의 공격이라는 겁니다. 남모를 공격을 받아온 피해자들을 도와주는 게 먼저고, 그 다음이 스토커웨어 자체와 싸우는 것이 될 것입니다.” 커티스의 설명이다.

카스퍼스키의 안티 멀웨어 부문 책임자인 비아체슬라브 자코르제브스키(Vyacheslav Zakorzhevsky)는 “기술적이면서 사회적인 문제에 대항하기 위해 기술 업체와 사회적 기관들이 손을 잡는 건 당연하면서도 중요한 일”이라며 “기술 업체는 스토커웨어의 탐지율을 높이는 데 일조하고, 인권 단체는 피해자들을 직접 만남으로써 필요을 채워줘야 한다”고 강조했다. “그렇게 하는 가운데, 서로가 서로에게 올바른 가이드라인을 제시할 수 있을 겁니다. 이런 협력 체계가 가장 적합한 스파이웨어 대응책이 될 것으로 보입니다.”

3줄 요약
1. 규정도 애매하고, 공격 자체도 은밀해 다루기 까다로운 스토크웨어 문제.
2. 일부 인권 및 피해자 보호 단체와 사이버 보안 업체들이 손잡고 단체 결성.
3. 보안 업체들은 기술적 탐지율 높이고, 보호 단체들은 피해자 보호에 힘쓰고.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)