지난달 30일, 많은 사람이 사용하는 무료 배포 안티바이러스 소프트웨어 알약이 정상 프로그램을 랜섬웨어로 잘못 인식하여 차단 알림 메시지를 보내면서 컴퓨터를 사용하지 못할 정도의 오류를 일으켰다. 오류는 작업 표시줄을 못 쓰거나 바탕화면이 검은색으로 변하는 등 사용에 불편함을 느끼는 상황부터, 강제종료되거나 블루스크린이 뜨는 등 컴퓨터 사용을 아예 할 수 없는 상황까지 사용자에 따라 다양하게 발생한 것으로 밝혀졌다.
업데이트 과정에서 문제 생겨... 다수 사용자에게 혼란 유발
알약의 서비스 회사인 이스트시큐리티에 의하면 알약은 약 1,600만 명의 사용자를 보유하고 있는 ‘국민’ 보안 소프트웨어이다. 개인용 소프트웨어를 무료로 배포하여 많은 사용자 수를 확보하고, 이를 토대로 얻은 데이터를 유료인 기업용 소프트웨어를 개발하는 데 사용하고 있기 때문이다. 지난달 30일 오전 11시 30분경 v.2.5.8.617 버전으로 개인용 소프트웨어를 업데이트하는 과정에서 문제가 생겼다. 기업용 소프트웨어는 개인용 소프트웨어의 업데이트 버전이 검증될 시 업데이트를 하기 때문에 기업용 소프트웨어에서 문제가 생기지는 않았지만, 개인용 소프트웨어를 업데이트한 사용자들은 오진 사태로 인해 혼란을 겪었다.
많은 사용자가 기본적인 윈도우 운영체제의 기능에 문제가 생겨 컴퓨터 사용에 지대한 문제를 호소하였으며, 문제를 해결하기 위해 컴퓨터를 다시 시작할 시 부팅 프로그램에 손상이 생겨 컴퓨터 사용을 못 하게 되는 경우도 있는 등 일반적인 해결 방법이 통하지 않는 사례가 빈번해 사용자에게 혼란을 유발하였다. 또한 스스로 문제를 해결한 사용자들도 오류를 겪은 시간 동안 열려 있던 파일이 손상되거나, 작업 내용이 초기화되는 등 피해를 보았다.
다음 날 대처 방안을 공개해... 사과문에서는 재발 방지 대책 약속
알약은 당일 홈페이지에 공지를 작성하여 “오늘 오전 11시 30분에 업데이트된 알약 공개용에서 랜섬웨어 탐지 오류가 발생해 현재 정확한 원인 분석 및 긴급 대응 중에 있다”고 밝혔다. 하지만 공지에 어떠한 문제로 인하여 랜섬웨어 오진 문제가 생겼는지를 적시하지 않아 사용자들 사이에서 어떻게 대처하는 게 맞는 것인지 혼선이 생겼다. 이스트시큐리티와는 별개로 우리 학교 정보보안팀은 16시 49분에 구성원 전체에게 알약 관련 문제와 대처 방법에 대하여 컴퓨터를 재부팅 하지 말고 알약을 삭제한 뒤 링크에 포함된 알약 이전 버전을 대신 설치하라는 메일을 보냈다.
이스트시큐리티는 다음날 ‘알약 공개용 긴급 수동 조치 방안’을 홈페이지에 작성하여 수동 조치 툴을 배포하고 부팅 단계에서부터 문제가 생겨 조치 툴을 다운받지 못하는 경우의 해결 방법을 제시하였다. 또한 지난 1일 “사건으로 인한 문제가 해결되지 않을 경우 고객지원센터로 접수하면 지원을 하겠다. 또한 9월 내로 재발 방지 대책을 마련하겠다.”는 내용과 함께 사과문을 작성했다.
보상 방안은 빠진 사과문, 일각에서는 법리적으로 보상은 불가하다는 의견도
하지만 잘못된 업데이트 버전을 지우고 서비스를 정상화하고, 수동 조치 방안을 공개해도 알약 소프트웨어에 대한 논란은 쉽게 수그러들지 않을 것으로 보인다. 많은 사용자들이 사건 당일 랜섬웨어 오진으로 인해 피해를 보았다. 이 중에는 정말 랜섬웨어인줄 알고 컴퓨터를 아예 포맷하거나 수리점에 맡긴 사용자나 작업을 위해 컴퓨터를 사용하다 파일이 전부 날아가 버린 프리랜서 등 단순히 며칠간 컴퓨터를 사용하지 못한 것보다 규모가 큰 손해를 입은 사용자들이 많다.
이스트시큐리티는 지난 5일 약속했던 재발 방지 방안을 작성하여 게시하였다. 방안에는 랜섬웨어 테스트 강화, 전략적 배포 프로세스 개선, 오류 탐지 시스템 고도화, 실시간 대응 시스템 개선을 제시하였고 또한 사회적 책임 실천 방안으로 정보보안 전문가 양성과 PC사용 및 보안교육 프로그램 운영을 꼽았다. 소비자들 사이에서는 재발 방지 방안에 대해 피해에 대한 보상 대책이 빠진 점에 대해 문제를 제기하는 시각이 많았다. 일부 소비자 단체 및 커뮤니티 중심으로 이스트시큐리티에 대한 소송을 준비하겠다는 의견도 있었다.
하지만 랜섬웨어 오진 사태에 대해 실제 손해배상은 힘들 것 같다는 게 법조계의 중론이다. 실제 피해액 산출이 매우 힘들며, 유료인 기업용이 아니라 무료로 배포하는 개인용에서 문제가 발생했을뿐더러 이용 약관에도 문제에 대한 책임은 소비자에게 있다는 조항이 있기 때문이다. 다만 이번 사건을 계기로 소프트웨어를 무료 배포한 것은 맞지만 사용자 데이터를 통해 자사 소프트웨어를 개량하는 등 이득을 봤는데, 일방적으로 책임을 회피하는 면피성 약관 조항을 넣는 것이 정당한가에 대한 의문이 소프트웨어 회사들을 대상으로 제기되고 있다.