얼마 전에 인텔 최신 프로세서 손상 사건에 대해 듣게 됐습니다. 손상위기가 있는 제품을 갖고있으니 (고맙다 인텔) 꾸준히 BIOS 를 업데이트 하고 있었습니다. 최근까지 업데이트를 순주롭게 해왔는데 마지막 업데이트에 예상치 못 한 것이 있었습니다: 맬웨어에 접근하는 소프트웨어.
저는 MSI 메인보드를 사용합니다. 지난 BIOS 업데이트 이후 윈도스에 부팅했더니 “MSI 센터” 라는 정체 모를 인스탈러가 있었습니다. 이 프로그램을 직접 깐 적도 없고 에초부터 깔려있시조 않았습니다. 검색한 이후의 결론은 마지막 BIOS 업데이트가 이 프로그램을 펌웨어 단계에 슬쩍 한 것이었습니다. MSI 는 자비로운 회사로서 저에게 이 인스탈러를 감출 권리를 부여했고 저는 바로 즉시 프로그램을 없앴습니다.
재밌는 부분은 BIOS 가 손을 뎄다는 것을 바로 눈치채지 못 했습니다. 이 인스탈러는 윈도스를 위해 하드코딩 됐으니 리눅스를 사용할 때 한 번도 못 봤습니다. 윈도스를 얼른 버리라는 신호일지도 모르겠네요.
몇몇 사람은 크게 신경 쓰이지 않겠지만 저는 아주 불쾌했습니다. BIOS 처럼 아주 저층 프로그램이 너무나 쉽게 고층 OS 에 아무거나 주입할 수 있다는거는 아주 큰 보안 및 프라이버시 문제 같습니다. MSI 는 작년에 해킹 사건에 당하며 사인용 프라이빗 키가 노출 당했습니다. 이 정보가 있으면 원하는 해커가 MSI 가 공식적으로 배포한 소프트웨어 처럼 위장한 맬워어를 개발할 수 있습니다. 컴퓨터 지식이 깊지 않은 자에게 트로이 목마를 전파하는데 식은 죽 먹기가 되고 봇넷 및 렌섬웨어 공격이 나타날 수 있습니다.
짧게 말하면 전자제품 제조사가 저층 펌웨어를 통해 OS 에 소프트웨ㅓ 주입을 하는게 매우 안 좋게 봅니다. 이런 소프트웨어 전파 방식은 존재해선 안 됩니다. 하지만 이런 방식을 사용하는 회사는 MSI 뿐만 아닙니다, 여러 회사들이 같은 방식을 사용하고 몇 가지는 더 터무니없습니다.
최근에 여태껏 출시된 울트라와이드 OLED 모니터 중에서 최고라고 불리는 에일리어웨어의 AW3423DWF 모니터를 구입했습니다. 정가의 반값에 구입했고 기존 모니터에 비해 상당한 업그레이드였습니다. 불만이 없습니다, 한 점 빼면요.
네, 상상할 수 있는 모든 전자제품 중에서 하필이면 모니터가 컴퓨터에 프로그램을 다운받기 시작했습니다. 느닷없이 뜬 “에일리언웨어 커맨드 센터를 다운받고 있습니다” 알림에 당황했고 다운로드를 막을 수도 없었습니다. 다운과 인스탈이 마치고 그제서야 삭제할 수 있었습니다. 더 나쁜 것은 모니터가 펌웨어 업데이트 이후에 또 같은 프로그램을 설치 했습니다. 그리고 역시 리눅스는 이것에도 당하지 않습니다.
메인보드 BIOS 에서 프로그램이 주입 되는거는 어느정도 납득할 수 있습니다. 하지만 모니터? 정말로 이런게 있나요? 제 컴퓨터와 모니터는 유일하게 디스플레이포트 선으로 연결 돼있었습니다. 우선, 디스플레이포트에 이런 기능이 있었다는 걸 전혀 몰랐습니다. 두번째, 왜? 왜 원하지 않은 프로그램을 사용자에게 강제로 밀어붙이나요? 다운중 알림을 받았을 때 정말 충격적이었습니다, 그것도 두번이나.
아, 사실 그건 거짓말입니다, 총 3번 봤습니다. 3번째는 제 화사 컴퓨터를 모니터에 접속했을 때였습니다, 숨겨진 맬웨어를 잠시 잊었을 때 말이죠. 게다가 그 화사용 컴퓨터는 함부로 다룰 수 없으니 깔린 프로그램을 삭제할 수도 없습니다. 그래서 업무용 컴퓨터에 눈에 띄는 “에일리언웨어 커맨드 센터” 프로그램이 있고 없앨 방법도 없습니다. 참 좋네요.
말 했듯이, 이런 방법의 소프트웨어 설치는 있어서는 안 됩니다. 어떤 허가나 동의 없이 원하지 않는 프로그램이 깔리게되는 게 거의 맬웨어의 뜻입니다. 만약에 프로그램이 최적하지 않아서 컴퓨터 성능을 저하 시킨다면 그것이야말로 일반 프로그램이랑 구별할 수 없는 진정한 맬웨어입니다.
상상해보세요, 삼성 스마트 냉장고를 설치한 순간 뜬금없이 전화기에 삼성 스마트 홈 앱이 깔려져있습니다. 아니면 새 소니 무선 해드폰을 컴퓨터에 연결했는데 바로 소니 앱이 깔려있습니다. 아니면 컴퓨터에 레이저 마우스나 키보드를 꽂았는데 유명할 정도로 나쁜 소프트웨어를 강제로 다운받게 됩니다. 아, 그 마지막 예는 현실이다.
이런 퍼스트 파티 맬웨어는 있으면 안 됩니다. 아무도 원하지 않고 성가십니다. 돈을 냈는데에도 불구하고 받는 소프트웨어가 맬웨어처럼 행동합니다. 이런 프로그램의 설치에 거부할 기회도 없어서 오히려 웹사이트에 보이는 쿠케/개인 정보 보호 배너들이 더 낫겠습니다. 받아드릴 수 있는 최대의 홍보는 제품 박스에 포함된 보완적인 소프트웨어를 다운받으시는 걸 추천하는 종이 정도야 합니다.
그냥 컴퓨터에 제품을 꽂고 강제된 소프트웨어 설치 없이 사용하고 싶을 뿐입니다. 그렇게 어려운 부탁인가요?