소니 BMG 루트킷 사건

소니 BMG 루트킷 사건은 복사 방지 기술이 채용된 소니 BMG(현재의 소니 뮤직 엔터테인먼트)의 CD를 통해 사용자의 컴퓨터에 루트킷이 설치되었던 문제를 가리킨다. 사용자의 컴퓨터 보안을 취약하게 만드는 소프트웨어가 사용자의 동의 없이 설치된 점이 문제가 되었다.

개요

소니 BMG는 자사에서 발매한 음반 CD에 복사 방지 기술인 Extended Copy Protection (XCP)와 MediaMax CD-3을 채용하였다. 이 소프트웨어는 사용자가 CD를 컴퓨터로 재생하려 할 때 자동으로 시스템에 설치되었다. 소프트웨어는 루트킷을 설치함으로써 마이크로소프트 윈도우가 CD를 재생하는 통상적인 방법을 통제하는데, 문제는 루트킷이 시스템을 다른 악성 코드들의 침투로부터 취약하게 만든다는 것이었다. 이 문제점은 마이크로소프트의 소프트웨어 엔지니어인 마크 러시노비치가 처음 발견하고 공개하였다. 윈도 이외의 다른 운영체제는 영향을 받지 않았다.

이에 따라 여러 단체들이 소니 BMG를 상대로 피해배상 소송을 청구했으며, 소니 BMG는 문제가 된 CD들을 리콜하였다. 또한 이 사건을 통해 소니가 저작권 보호 프로그램에 쓰인 LAME 코드를 사용하는 과정에서 GNU 일반 공중 사용 허가서를 위반하였다는 사실도 밝혀졌다.

전개

배경

2000년 8월, 소니 픽처스 엔터테인먼트의 스티브 헤클러는 Americas Conference on Information Systems(AMCIS)에서 음악 산업을 보호하기 위해 강력한 조치를 취할 것임을 발표하였다.^[1] 이후 2001년 발매된 엔싱크의 Celebrity 앨범에서 복제 방지 기술이 사용되었다. 마이클 잭슨의 You Rock My World의 유럽 프로모션반에도 복제 방지 기술이 사용되었다.^[2] 이후 2005년, 소니 BMG는 자사의 CD에 복사 방지 기술인 XCP를 도입하였다.

문제화

2005년 10월 31일, 마크 러시노비치가 자신의 블로그에 소니 BMG의 음악 CD에 탑재된 XCP 소프트웨어에 대한 분석을 포스팅하였다.^[3] 러시노비치는 이 프로그램이 웜이나 바이러스가 침투할 수 있는 보안 취약점을 만든다고 주장하였다. 또한 XCP 소프트웨어가 소프트웨어 라이선스 동의 이전에 동의 없이 설치되며, 제거 프로그램 또한 없다고 덧붙였다.

앤티 바이러스 회사인 F-Secure는 "이 소프트웨어가 직접적으로 해를 입히지는 않지만, 기술을 숨기는 데 사용된 루트킷은 악성 소프트웨어가 자신들을 숨기기 위해 사용하는 것과 똑같다. DRM 소프트웨어가 앤티 바이러스 소프트웨어들의 오진을 일으킬 것이다. 그러므로 상용 소프트웨어가 이런 기술을 사용하는 것은 매우 부적합하다."라고 발표하였다.^[4]

루트킷 삭제 프로그램

소니 BMG는 컴퓨터에서 XCP의 루트킷 관련 요소를 삭제하기 위한 유틸리티를 배포하였다. 그러나 러시노비치는 이 프로그램은 오히려 상황을 악화시킨다고 분석하였다. 사실, 소니 BMG의 프로그램은 루트킷이 설치한 파일들을 감추는 데 불과했고 실제로 루트킷을 지우지는 않았다. 또한 프로그램이 사용한 ActiveX 컨트롤이 백도어를 포함하고 있음이 밝혀졌다. 게다가 이 프로그램을 다운로드받기 위해서는 반드시 소니 BMG에 전자 우편 주소를 제공해야 했다.

법률적, 경제적 문제

제품 리콜

2005년 11월 15일, 매장에서 판매되지 않은 CD의 리콜과 사용자 대상의 교환이 발표되었다.^[5] 소니 BMG는 수많은 바이러스와 맬웨어 사례에도 불구하고 복제 방지 기술에 보안 취약점은 없다는 입장을 고수했다.

2005년 11월 16일, 미국 국토안보부 산하 US-CERT(United States Computer Emergency Readiness Team)는 XCP 복제 방지 기술에 대한 주의를 내렸다. 이에 따르면 XCP는 사용자로부터 특정 파일을 은폐하기 위해 사용자의 컴퓨터에 보안 취약성이 될 수 있는 루트킷을 사용한다. US-CERT는 또한 "오디오 CD와 같이 소프트웨어를 포함하리라 예상하지 못한 곳에 포함된 소프트웨어를 설치하지 말라"고 조언하였다.^[6]

소송

2005년 11월 25일, 텍사스주 법무장관 그렉 애벗은 소니 BMG를 고소하였다. 이는 소니 BMG에 대해 주 차원에서 법적으로 대응한 첫 사례이다. 또한 2005년 주에서 제정된 스파이웨어 관련 법에 따라 제기된 첫 소송이었다. 2005년 12월 21일, 애벗은 소니 BMG에 대한 소송에 MediaMax에 대한 혐의를 추가했다. MediaMax가 사용자의 동의 여부에 관계없이 설치되는 점이 주의 스파이웨어 및 불공정거래행위 관련 법에 위배된다는 이유였다.

2005년 11월에는 뉴욕과 캘리포니아에서 소니 BMG에 대한 집단소송이 제기되었다.^[7]

2005년 12월 30일, 소니 BMG는 소송에 대한 잠정 합의에 도달하였다. 이에 따르면 해당 CD를 구매한 소비자들에게 7.5달러씩 금전적으로 보상을 받을 수 있으며, 무료 앨범을 다운로드할 수 있는 기회가 주어졌다.^[8]

2007년 1월 30일, 미국 연방거래위원회는 소니 BMG와의 합의안을 발표하였다. 소니 BMG는 소비자들에게 피해 보상금으로 최대 150달러씩 보상해야 하였다. 또한 앞으로 발매되는 CD에 복제나 재생 제한에 대해 명기하도록 하였으며, 소비자의 동의 없이 복사 방지 프로그램을 설치하지 못하도록 하였다.^[9]

같이 보기

• 디지털 권리 관리 (DRM)
• 루트킷

각주

1. Anastasi, M. A. "Sony Exec: We Will Beat Napster," Archived 2009년 3월 18일 - 웨이백 머신 New Yorkers For Fair Use web site, August 17, 2000,
2. Rohde, Laura (2001-09-27). Sony: Downbeat for a new online music battle Archived 2008년 5월 28일 - 웨이백 머신, IDG.
3. 마크 러시노비치 (2005-10-31). [1] Archived 2010년 4월 28일 - 웨이백 머신 Mark's Blog. Microsoft MSDN.
4. Larvala, Samuli. "F-Secure Rootkit Information : XCP DRM Software" Archived 2007년 1월 14일 - 웨이백 머신 F-secure Computer Rootkit Information Pages, November 29, 2005.
5. vnunet (2005-11-15), "Sony backs out of rootkit anti-piracy scheme"
6. "First 4 Internet XCP DRM Vulnerabilities" Archived 2007년 9월 27일 - 웨이백 머신, US-CERT Activity Archive, November 15, 2005.
7. "Sony sued over copy-protected CDs; Sony BMG is facing three lawsuits over its controversial anti-piracy software", BBC News, November, 10, 2005.
8. "Sony BMG Tentatively Settles Suits on Spyware", Associated Press report in The New York Times, December 30, 2005,
9. "Sony BMG Settles FTC Charges", Federal Trade Commission, January 30, 2007.

외부 링크

• 소니 BMG 공식 XCP 사이트
• SonySuit.com - The Sony BMG Settlement for XCP and MediaMax