V3의 데이터 수집 동의에 관한 충격적인 제보( 저는 v3를 지운지 1년 됐습니다,)

[일 도]

V3의 데이터 수집 동의에 관한 충격적인 말씀을 드리고자 한다.

AhnLab Smart Defense의 데이터 수집은 대단히 광범위하고 모호하다.
그러나 설치 시점에 나오는 동의서의 내용은 너무나도 충격적이다.(아마 관심가지고 내용을 읽은 사용자는 거의 없을 것이다.)

OS정보는 안랩이나 이스트소프트 모두 백신업체에서 다 가져간다.
백신연구의 목적으로 OS정보는 분명히 가져가야 한다.
왜냐하면 OS별로 백신은 개발되어야 하기 때문이다.

1) 그러나 실행 가능한 파일에 대한 정보(이름, 파일명, 날짜, HASH값, 압축여부, 버전 정보)를 안랩에서만 가져간다.
실행중인 파일도 아니고 실행 가능한 파일을 가져간다는 것이다.
어떤 개인이 PC에 V3를 설치하였다면, 모든 하드디스크에 설치한 파일 정보를 다 가져간다는 의미이다.
이건 명백한 개인정보 유출이다. 그리고 백신이 구지 가져갈 정보도 아니다.

'실행가능한 파일에 대한 정보'가 아니라 '악성코드로 판명된 파일 정보'만을 사용자의 동의를 얻어 가져가야만 한다.

2) "웹 브라우저 등을 통해 다운로드 된 응용프로그램에 대한 정보."를 왜 안랩에서 가져가는지 이해할 수 없다.
웹 브라우저를 통해 다운로드된 MP3, 동영상, 개인비밀파일, 개인공인인증서 파일도 다 가져갈 수 있다는 의미이다.
쉽게 설명하자면, 지금 V3가 설치된 채로 동영상 하나를 받았는가? 그렇다면 안철수도 그 동영상이 뭔지 알 수 있다.

3) "서비스를 이용하는 동안 및 사용자가 당사의 서비스 이용을 종료한 후 상기 수집된 정보를 계속적으로 보유하며, 향후 보다 나은 서비스 제공을 위하여 활용될 수 있습니다." 고 말하는데, 상기 수집된 정보는 계속 보유해서는 안 되며, 백신연구에 국한하여 사용한 후 즉시 폐기해야 함에도 불구하고 계속 보유한다는 것은 명백한 위법이고, 개인정보유출에 일조할 수도 있다는 의미이다.

4) "잠재적인 보안 위협에 대한 응답으로 보내진 데이터 샘플"
예: DDoS 공격을 수행하는 것으로 의심되는 프로세스가 주고 받은 패킷 또는 생성한 파일

안랩이 '잠재적'인이라는 모호한 표현으로 보안 위협에 대한 응답으로 보내진 데이터 샘플이라 하면, 데이터 통신을 하는 모든 패킷 정보를 다 중간에서 빼 간다는 의미로, 사실 매우 심각한 문제이다.
개인 PC의 파일 정보 전부를 가져가는 것보다 가장 심각한 측면은 중간의 모든 데이터 샘플을 가져간다는 것이다.
위 표현은 어느 PC나 의심이 된다고 안랩에서 주관적으로 판단하면 패킷 정보를 중간에서 가로챌 수 있다는 의미이다.
쉽게 설명하자면, 인터넷을 하고 있고 인터넷뱅킹을 한다고 치자. 인터넷뱅킹을 한 거래정보가 담긴 패킷을 안철수가 마음만 먹는다면 다 가져갈 수 있다. 잠재적인 보안 위협이 될 수 있다고 우기면서 말이다.
위 표현은 "절대적으로 보안 공격으로 동종업계에서 확인하였으며 보안 공격으로 확실시 되는 데이터 샘플"만을 안철수는 취급해야 할 것이다.

5) 반면 이스트소프트에서는 알약에 국한한 버전정보와 에러정보만을 가져간다는 것 외에 다른 정보를 가져가지 않는다.
이스트소프트에서는 “제품”의 품질 개선을 위하여 “사용자”의 컴퓨터 운영 체제 정보, “제품”의 버전, 에러 정보와 같이 개인을 식별할 수 없는 비개인 정보를 수집한다.


6) 가장 의심스러웠던 부분은 사이트 가드를 사용하는데 있어서, 1초 이상(심지어 평균 4.6초)의 딜레이가 왜 있냐는 것이었다.
세계적인 백신 평가사인 바이러스블러틴에서 삼류로 평가받은 안랩의 기술인데, 도대체 1초 이상 딜레이는 이해할 수 없다고 판단했다. 그러나 충분히 가능한 측면은 1초 이상 딜레이시, 개인 패킷 정보를 안랩에서 불법으로 수집하고 있기에, 1초 딜레이가 걸리는 것으로 판단된다.
물론 안철수 같이 거짓말을 잘하는 양치기 소년이라면, 스마트 디펜서 수집 동의를 사용자가 했으니, 뭔 짓을 하든 합법이라고 주장할 것이다. 가장 현명한 판단은 V3를 지우고, 사이트 가드를 지우는 것임을 명심하기 바란다.

----------------------------------------------------------------------------------------------------------------

1) 안철수
AhnLab Smart Defense 데이터 수집 동의서]

본 소프트웨어는 개인을 위한 제품이며, 기업 및 국가공공기관에서 사용하실 수 없습니다.
안철수연구소는 새로운 보안 위협과 신종 악성코드에 보다 신속한 대응을 제공하기 위하여 "사용자" PC의 일부 정보를 수집합니다.
해당 정보는 개인정보보호정책에 따라 익명으로만 저장되고, 외부에 공개되지 않습니다.
데이터 수집 기능은 제품의 설정 기능에서 "사용자"가 임의로 선택하거나 선택하지 않을 수 있습니다. 만약 “데이터 수집 기능을 사용 안 함”으로 선택할 경우 데이터 수집을 기반으로 하는 일부 기능을 사용할 수 없습니다.

신종 악성코드에 대한 보다 빠르고, 강한 대응을 위해 안철수연구소는 데이터 수집 기능을 선택한 "사용자"가 보내 준 데이터를 실시간으로 자동 분석하여 새로운 보안 위협과 신종 악성코드 정보를 업데이트 합니다. AhnLab Smart Defense Center는 보내주신 파일의 기본 정보, 프로그램 디지털 서명 정보 분석, 평판 시스템을 통한 분석, 파일에 대한 Activity 동향 분석, 행위 기반 Activity 분석, 파일 간 Relation 분석 등 다양한 기술을 이용하여 보내주신 파일의 악성 여부를 판단하고, 이를 "사용자"가 활용할 수 있도록 합니다. AhnLab Smart Defense 데이터 수집 동의를 통해 청정한 인터넷 환경 구축에 도움을 주시기 바랍니다.


[AhnLab Smart Defense란?]

AhnLab Smart Defense는 새로운 보안 위협과 신종 악성코드에 보다 신속하게 대응하기 위해 개발된 새로운 개념의 악성코드 대응 기술입니다.
AhnLab Smart Defense는 PC에 저장된 악성코드 정보를 바탕으로 감염 여부를 판단하는 기존 방식과 달리 유형별로 분류된 대규모 악성코드 데이터베이스를 중앙 서버에서 관리하며 PC에 설치되어 있는 AhnLab Smart Defense 엔진이 파일 분석을 의뢰하면 분석 결과를 알려줍니다.

본 프로그램이 수집하는 정보는 아래와 같습니다.

* 귀하의 컴퓨터의 하드웨어 및 소프트웨어 정보.
예: 운영체제 버전, 서비스팩 버전, 실행 가능한 파일에 대한 정보(이름, 파일명, 날짜, HASH값, 압축여부, 버전 정보)

* 시스템 파일의 조작이나 중요 프로세스에 접근하는 것과 같은 잠재적 보안 위협이 될 수 있는 프로그램의 행위 정보와 그 행위를 수행한 것으로 판단 되는 프로세스와 응용프로그램 정보.
예: 악성 행위를 유발하는 함수들의 파라메터, 행위를 수행하는 모듈명과 모듈 해시값. 악성 행위를 수행하는 프로세스가 로드한 모듈 목록, 악성 행위를 수행한 코드가 있는 스택 또는 힙 메모리 컨텐츠

* 잠재적인 보안 위협에 대한 응답으로 보내진 데이터 샘플.
예: DDoS 공격을 수행하는 것으로 의심되는 프로세스가 주고 받은 패킷 또는 생성한 파일

* 웹 브라우저 등을 통해 다운로드 된 응용프로그램에 대한 정보.
예: 파일명, URL, 파일 크기, 서명자

* AhnLab Smart Defense Center Database에 악성 및 정상 파일로 분류되지 않은 새로운 실행 파일 전체 또는 그 일부분

안철수연구소는 “사용자”가 당사가 제공하는 서비스를 이용하는 동안 및 사용자가 당사의 서비스 이용을 종료한 후 상기 수집된 정보를 계속적으로 보유하며, 향후 보다 나은 서비스 제공을 위하여 활용될 수 있습니다. 안철수연구소가 위 기간동안 보유하는 정보는 일체 익명화처리되어 본 동의서에 명시된 목적으로만 이용되며, 사용자의 사전 동의없이 다른 목적으로 활용되지 않습니다.

개인정보보호정책은 "안철수연구소"의 홈페이지를 참고하시기 바랍니다. (☞ 바로가기)
본 동의서에 대한 의문 사항이 있으시면 안철수연구소에 팩스(031-722-8901), 전자메일(customer@ahnlab.com), 우편(경기도 성남시 분당구 삼평동 673 (우)463-400) 등을 통해 연락하여 주십시오.

본 동의서는 2009. 9. 28. 부터 적용합니다.

----------------------------------------------------------------------------------------------------------------

2) 이스트소프트
알약 사용동의서

“회사”는 “제품”의 품질 개선을 위하여 “사용자”의 컴퓨터 운영 체제 정보, “제품”의 버전, 에러 정보와 같이 개인을 식별할 수 없는 비개인 정보를 수집합니다.
6.2. 또한 “제품”에 포함된 광고의 통계 수집을 위해 광고 노출 수와 광고 클릭 수를 수집합니다.
6.3. 수집한 데이터는 한시적 통계 자료로 활용되며 영구하게 “회사”에서 저장하지 않습니다.
6.4. 특정 “제품”의 경우(알송, 알패스, 알툴바, 알쇼핑) 원활한 서비스를 위해 다음과 같이 데이터 수집 및 이용을 하고 있습니다.
- 알송 : 본 “제품”에는 타겟 마케팅 및 맞춤 서비스를 제공하기 위한 검색 패턴 수집 모듈이 포함되어 있습니다. 관련 데이터는 “사용자” 개개인을 식별하지 않는 정보로서 “사용자”의 PC에 한시적으로 저장되며 “회사”에 저장되지 않습니다. 본 수집된 정보는 위에 명시된 목적 외에 다른 목적으로 사용하지 않으며, 이 정보를 수집하는 목적 외의 방법으로 이용하는 경우, 이러한 이용 전에 “사용자”의 동의를 구할 것입니다.
- 알패스 : 본 “제품”은 “사용자”가 추가하는 사이트 목록 및 계정 정보를 “사용자”의 PC 혹은 온라인 서버에 데이터 파일 형태로 저장합니다. 데이터 파일 온라인 저장 여부는 “사용자”가 선택할 수 있으며 온라인 서버에 데이터 파일을 저장하는 경우 알툴즈 회원 인증을 거친 후 관리자도 데이터 파일에 포함된 사이트 목록 및 계정 정보를 알 수 없도록 ”회사”가 관리하는 서버에 안전하게 암호화시켜 보관됩니다. 온라인 서버에 저장하는 데이터 파일은 서비스를 제공하기 위한 목적으로만 관리하며, 그 외의 다른 목적으로 유출하거나 사용하지 않습니다.
- 알툴바 : 본 “제품”은 알툴바 및 관련 온라인 서비스를 제공 및 개선하기 위한 목적으로 소프트웨어를 사용한 기록을 수집할 수 있으며, 본 “제품”설치 시 주소창 및 브라우저의 검색엔진이 변경될 수 있습니다. 수집되는 정보는 접속 사이트 URL, 접속 경로, 사이트 방문시간, 사이트 체류시간, 무작위로 생성되는 고유한 툴바 번호입니다. 해당 정보는 “사용자” 개인을 식별하지 않는 정보로서 한시적 자료로 활용되며 외부로 공개되지 않습니다. 단, ㈜이스트소프트는 관련 온라인 서비스 제공 및 개선을 위해 ㈜이스트소프트의 “자회사”인 ㈜줌인터넷에게 “접속 정보”를 제공할 수 있고, 서비스 품질 향상을 위해 “제휴사”에게 “접속 정보”를 가공한 통계를 제공할 수 있습니다. “회사”는 수집한 정보를 명시된 목적 외에 다른 목적으로 사용하지 않으며, 이용 목적이 변경될 경우에는 “사용자”의 사전 동의를 구할 것입니다.
- 알쇼핑 : 본 “제품”은 “사용자”가 쇼핑 사이트에 접속할 경우, 인터넷 브라우저 왼쪽에 “제품”의 영역이 활성화 되어 가격비교결과를 제공합니다. 이를 위해 “제품”이 동작하는 페이지의 html 정보 중 상품 이미지, 상품명, 상품가격을 “사용자” PC를 통해 수집하고, 이 중 상품명과 상품가격은 “제품”을 이용하는 다른 “사용자”에게 노출될 수 있으며 수집 시간으로부터 2주간 저장 후 삭제됩니다. 그 외에 서비스 제공 및 개선을 위한 목적으로 무작위로 생성되는 고유한 제품 번호와 접속 경로를 수집할 수 있습니다. 수집한 모든 정보는 “사용자” 개인을 식별하지 않는 정보로서 한시적 자료로 활용되며 외부로 공개되지 않습니다. “회사”는 수집한 정보를 명시된 목적 외에 다른 목적으로 사용하지 않으며, 이용 목적이 변경될 경우에는 “사용자”의 사전 동의를 구할 것입니다.
6.5. "회사"의 개인정보 취급방침은 알툴즈의 URL을 참고하시기 바랍니다.
(http://www.altools.co.kr/Etc/Privacy.aspx)

[yoursohn]

오홋 좋은 정보로군요
그런데 일도님, 이 글의 출처를 알 수 있을까요?
퍼나를 때 글의 출처가 박사모일 경우 효과가
반감되므로 원작에서 옮기는 것이 낫거든요.

[일 도]

네, 바로 확인후 링크 올리겠습니다, http://sojuman.tistory.com/145

[위즈앤버츄]

이게 정말이라면 안랩및 안철수는 우리나라 컴쓰는 사람 파일을 다 가지고 있다는 것인데 이거 불법아닙니까?
최소한 불공정 거래는 되겠습니다.

[부심]

오랜전부터 사용하지않습니다. 비용이 발생하긴하지만 V3, 알약등등과 비교도 않되는 백신 프로그램이 많이 있습니다.