세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

보안 위협

스파이웨어

포스팅 뷰287

스파이웨어의 정의

스파이웨어는 정당한 권한 없이 신용카드번호, 비밀번호 등 사용자의 중요 정보를 획득하여 외부로 유출하는 악성코드의 한 종류이다.


사용자가 자판을 통해 입력하는 것을 감시, 획득, 유출하는 키로거(Key logger)나 화면에 나타나는 모든 것을 획득, 유출하는 원격 제어(Remote Administration Tool, RAT) 악성코드도 스파이웨어로 분류할 수 있다. 지금은 주로 좁은 의미로 사용된다.


넓은 의미에서 스파이웨어는 스파이처럼 정당한 권한 없이 사용자 몰래 또는 사용자의 동의 없이 사용자 컴퓨터에 설치되는 모든 프로그램을 의미한다. 2000년대 중반 스파이웨어를 차단하는 별도의 솔루션으로 안티스파이웨어 제품이 시장에 나오면서 안티스파이웨어를 가장한 허위 안티스파이웨어가 기승을 부렸는데, 허위 안티스파이웨어가 전형적으로 넓은 의미의 스파이웨어이다. 안티바이러스를 가장한 악성코드 역시 동일하게 분류할 수 있다.


스파이웨어의 차단을 위해 운영체제에서 설치 시 사용자의 동의를 받는 체계를 갖췄으나 사용자가 동의하지 않을 만한 충분한 정보를 갖고 있지 못하거나, 동의하는 데 익숙한 환경이어서 스파이웨어를 차단하는 실질적인 효과를 거두진 못했다. 상대적으로 심각한 보안취약점이 적은 맥(Mac)에서 악성 행위자가 악성코드를 설치하기 위해 주로 사용자가 스스로 악성코드를 설치하도록 유도하는 사회공학적 공격 방식을 사용한다. 넓은 의미의 스파이웨어로 분류되는 악성코드 유형이다.


스파이웨어 피해 사례

  • 2021년 이스라엘 NSO그룹에서 개발한 스파이웨어 Pegasus가 프랑스 마크롱 대통령을 비롯한 세계 유수의 정상 및 유명인의 스마트폰에 설치되어 정보를 빼내는 것이 알려지면서 큰 파문이 일었다. 안드로이드폰뿐 아니라 상대적으로 보안이 잘 되어 있다고 했던 아이폰에도 취약점을 악용하여 설치하였다.
  • 보통 스파이웨어는 범죄집단이나 국가 후원의 악성 행위자들이 개발, 배포하는 데 비해 공개적으로 활동하는 기업에서 악성코드를 만들어 범죄에 이용됐다는 점에 세계적으로 큰 충격을 줬다. 악성코드를 만드는 기업이 제재 받지 않고 활동하는 것이 경제 규칙에 맞는지 검토해 봐야 할 사건이다.


스파이웨어 대응 방안

  • 좁은 의미의 스파이웨어는 안티바이러스에서 진단 및 치료하므로 보안백과사전 '악성코드'를 참조하기 바란다.
  • 넓은 의미의 스파이웨어는 사회공학적 방식으로 사용자 컴퓨터에 설치되므로, 사용자가 자신의 컴퓨터에 설치되는 것에 대해 민감하게 살펴보고 설치 여부를 판단하도록 연습해야 한다.
  • 꼭 필요한 소프트웨어가 아니면 설치하지 않고, 설치할 소프트웨어는 그 회사의 다운로드 사이트나 공식 배포 사이트에서 다운로드하는 것이 바람직하다.
  • 스마트폰에 소프트웨어를 설치할 때는 반드시 구글과 애플의 공식 앱스토어에서 받아서 설치해야 한다.