‘알약 오류’ 월말 업무 망친 이용자들…피해보상은

# 스타트업에 근무하는 고모(37) 매니저는 30일 파트너사에 전달할 제안서를 작성하다가 알약의 랜섬웨어 메시지를 확인했다. 랜섬웨어 감염을 피하려던 그는 작성 중이던 문서를 저장하지도 못한 채 컴퓨터 재부팅을 시도했다. 하지만 그의 업무용 컴퓨터는 이튿날인 31일까지도 모니터 화면이 제대로 켜지지 않고 있다.

지난 30일, 1600만명이 쓰는 이스트시큐리티의 백신 프로그램 ‘알약’에서 랜섬웨어 탐지 오류가 발생해 이용자 컴퓨터가 먹통이 되는 등 피해가 속출했다. 이에 온라인 커뮤니티를 중심으로 일부 사용자들이 집단소송까지 예고하고 있다.


◆ PC 먹통 피해 속출…1600만 국민 백신 프로그램 ‘알약’ 어쩌다

31일 이스트시큐리티는 전날 오후 11시 30분께 자동 복구 업데이트를 완료했다고 밝혔지만, 사용자 컴퓨터 환경에 따라 작동 여부가 달라 완전한 복구까지는 난항이 예상된다.

실제로 이날까지 오전 일과를 반납하고 컴퓨터 복구를 위해 동분서주하는 사용자들이 많은 것으로 알려졌다. 특히 월말 업무 등을 처리하려던 사용자들이 발을 동동 굴렀다. 급기야 컴퓨터를 포맷하고 윈도를 새로 설치하는 사용자들도 적지 않았다. 컴퓨터가 먹통이 되면서 이스트시큐리티가 안내한 수동 복구툴마저 내려받을 수 없기 때문이다.

“PC 전원조차 안 켜지는 상황에서는 안내받은 대로 안전 모드에 들어갈 방법이 없다”, “모니터 화면조차 확인할 수 없는데 어떻게 수동 툴을 설치하나” 등 전날부터 이용자들의 원성이 쏟아졌다.

일각에서는 이스트시큐리티가 이용자들에게 제때 상황을 알리지 않아 혼란을 키웠다는 지적도 있다. 사회관계망서비스(SNS)와 온라인 커뮤니티에는 “실제 랜섬웨어에 감염된 줄 알고 컴퓨터를 포맷했더니 랜섬웨어가 아니었다”라는 후기들이 올라오고 있다. 또 다른 이용자는 “내 컴퓨터에만 문제가 발생한 줄 알고 새로 윈도를 깔아야할 뻔했다”고 말하기도 했다.

이스트시큐리티의 오탐 검증 시스템 작동 여부에 대한 지적도 나오고 있다. 이스트시큐리티 분사 전인 2010년 1월 이스트소프트는 알약 전 제품군에 오탐 검증 시스템을 적용했다고 밝힌 바 있다. 당시 회사는 탐지율이 높아지면서 중요 프로그램이 오진되는 사례로 사용자가 더 큰 불편을 겪는다며 적용 배경을 설명하기도 했다. 이스트소프트는 2017년 보안사업 조직 분할해 이스트시큐리티를 설립했다.

하지만 이스트시큐리티가 이번 오류 원인에 대해 “랜섬웨어 탐지 기능 고도화 적용 후 랜섬웨어 탐지 기능 오작동으로 인한 것으로 확인됐다”고 밝히면서 논란의 불씨를 키웠다. 오탐검증 시스템이 제대로 작동하지 않은 것 아니냐는 목소리가 나오는 것이다. 한 알약 이용자는 온라인 커뮤니티에 “탐지 기능 고도화 전에 사내에서 테스트만 했어도 피해는 사내에 한정됐을 것”이라며 답답해 했다.

이스트시큐리티측은 “이번 일을 계기로 기존 테스트·출시 프로세스를 전면적으로 재검토해 더욱 안정적인 서비스를 제공할 수 있도록 만전을 기하겠다”고 밝혔다.


◆ 무료 백신 운영사 책임 물을 수 있나…일괄 보상받기 어려울 듯

일부 사용자들은 피해 보상을 촉구하고 있다. 하지만 집단소송을 진행하더라도 일괄적인 보상을 단정 짓기에는 어려운 상황이다. 우선 보안 업계에서 비슷한 사례를 찾기 힘들다.

IT업계로 범위를 넓혀봐도 소비자가 승소한 사례는 거의 없다. 지난 2003년 참여연대가 인터넷이 마비된 이른바 1·25 대란의 책임이 있다며 마이크로소프트(MS)를 상대로 제조물책임법상의 손해배상청구를 제기했다.

인터넷 대란의 1차 원인은 바이러스의 일종인 ‘슬래머 웜’ 때문이지만 MS가 출시한 서버용 운영 소프트웨어의 보안 취약점을 통해 감염·전파됐다는 이유였다. 당시 재판부는 손해배상 청구를 기각했다. 재판부는 기각에 대해 “프로그램의 개발과정, 취약점이 발견된 이후 조치, 인터넷 침해사고 이후 대응과정 등을 고려할 때 MS의 고의 또는 과실로 손해가 발생했거나 확대됐다고 보기 어렵다”고 설명했다. 백신 프로그램의 오탐 사고도 있었지만 소비자 피해 보상이 이뤄진 사례는 드물다.

이번 오류가 이용료가 무료인 공개용 버전에서 발생했다는 것도 변수다. 무료 서비스인 만큼 제대로 된 피해 보상을 청구하기 어려울 것이라는 전망 때문이다. 일각에서는 무료 버전이지만 알약 실행 시 광고를 계속 노출해왔다는 점에서 사실상 무료로 보기 힘들다는 지적도 있다. 그렇다 해도 오류가 발생한 제품이 이스트시큐리티 측이 개인 사용자에 한해 무료로 제공하는 버전이라는 점에서 업무 피해에 대한 운영사 책임을 인정하긴 어렵다는 게 중론이다. 알약 무료 버전을 기업에서 쓰는 것 자체가 위법 소지가 있기 때문이다. 물론 업무지만 집에서 쓰는 개인 노트북을 이용하다 피해를 봤다면 그 경우는 또 다르다.

이런 저런 이유로 법조계는 실제 손해배상까지는 난항을 예상했다. 손해배상 청구는 가능하지만 실제 피해액 산출 등이 어렵다는 이유에서다. 강정규 한국법조인협회 변호사는 “무료 버전이라도 설치 후 소프트웨어 오류로 손해가 발생했다면 손해배상 청구가 가능하다”면서도 “각 개인은 일종의 특별손해로 (보상액 산출을 위한) 손해 입증이 어려울 수 있다”라고 밝혔다.

단순 손해가 아닌 제조물책임을 묻더라도 결과는 크게 달라지지 않을 것으로 봤다. 강 변호사는 “일반적 손해가 아닌 제조물책임으로 물은 것이 MS의 판례”라며 “해당 경우에도 잘 인정되지 않았다”라고 말했다. 다만 그는 “이스트시큐리티가 후속조치를 어떻게 취했느냐에 따라 재판부가 다르게 볼 여지는 있다”라고 덧붙였다.

한편, 이스트시큐리티측은 이날 홈페이지 게시문에 사과문을 내고 다음달 중 재발방지 대책을 마련하기로 했다고 공지했다. 특히 사용자 불편 최소화에 적극적으로 나선다는 입장이다. 이스트시큐리티는 “해결되지 않은 문제가 있을 시 고객지원센터를 통해 접수하면 지원에 만전을 기하겠다”라고 밝혔다.

[서울=뉴시스]