소니의 루트킷

아마도 우리나라는 영향권 밖이라서 별로 관심이 없겠지만, 소니의 루트킷 사건의 여파가 외국에선 걷잡을 수 없이 커지고 있다.  루트킷(root kit)이란 OS에 설치되어 root 권한을 갖고 자신의 존재까지 감춰버리는 악성코드를 말하는데, 소니가 자사의 음악 CD에 불법 복제를 막기위한 루트킷을 심어두었던 것이다.  사용자에게 명확히 드러나지 않는 형태의 루트킷을 사용자 PC에 설치하는 것만으로도 합법적이라곤 하지만 그건 DMCA와 같은 무리한 법률을 만드는 사람들 관점에서나 그렇고 사용자 입장에선 무척 기분 나쁜 일인데, 이번 소니의 루트킷은 파일 이름에 $SYS$ 라는 문자열이 들어가는 모든 파일을 숨겨버림으로써 다른 악성코드에게까지 새로운 보안 결함을 제공하는 셈이 되어, 이에 따르는 잠재적 피해를 보상받기 위한 소송도 잇따르고 있다고 한다. 소니로서는 물론 이 루트킷이 포함된 모든 CD에 대한 환불과 교환을 실시하고 있지만, 소니의 피해는 리콜과 소송 뿐만 아니라 기업 이미지 측면에서도 막대할 것으로 생각된다. 그런데 이번 사태로 말미암아 피해를 보는 것은 일부 사용자와 소니 뿐만이 아니다.  이미 토론 사이트에는 “더 이상 정품 CD는 위험해서 못사겠다.  이제 P2P 사이트에서 안전한 MP3 파일만 다운로드받아 듣겠다"는 의견이 올라올 정도인데 단순한 농담이라거나 돈 안내기 위한 구실이라고 하기엔, 기술적으로 100% 옳은 얘기라서 뭐라 반론을 펴기가 어렵다.  결국 음악업계 전체가 피해를 보게된 이번 일을 계기로 컨텐트 권리자들도 자신들의 권리를 보호하기 위해 자신들의 고객을 적으로 만드는 극단적인 방법을 사용하지 말고 좀 더 창의적이고 적극적인 대안을 내놓았으면 한다. 한편 이번 소니 CD에 포함된 루트킷은 소니에서 직접 제작한 것은 아니고 영국의 한 소프트웨어 회사에서 만든 것으로 알려졌는데, 물론 그 소프트웨어의 기술적 특징과 잠재적 위험성을 자세히 알았더라면 소니의 경영진이 이를 자사 CD에 그대로 탑재하진 않았을 것이다.  하지만 숫자만 알고 자기네 상품을 제대로 이해하려하지 않는 다른 많은 경영진과 마찬가지로 소니의 경영진도 그냥 “불법 복제를 막는 효과가 좋고”, “자체 개발비보다 비용이 적게 든다"는 것만으로 채택을 결정했을 것이고, 이에 대한 댓가를 톡톡히 치르게 되었는데 앞으로 경영자들이 기업 윤리와 자사 제품의 내용에 대해 좀 더 관심을 갖게 되는 계기가 되길 기대한다.