(씨넷코리아=권봉석 기자) (사진은 해당 소프트웨어가 탑재된 레노버 요가3 14)
올 초 일부 노트북에 검색 기록과 인터넷 이용 습관을 모두 추적하는 스파이웨어인 ‘슈퍼피시 비주얼 디스커버리’를 설치했다 홍역을 치른 레노버가 또 구설수에 올랐다. 이용자도 모르는 사이에 특정 소프트웨어를 강제로 다운로드해 동의 없이 설치하는 ‘레노버 서비스 엔진’이 일부 제품에 숨겨져 있다는 사실이 드러났기 때문이다.
문제가 된 것은 올해 4월부터 5월까지 시장에 나온 레노버 일부 노트북 바이오스에 숨겨진 ‘레노버 서비스 엔진’(Lenovo Service Engine)이라는 소프트웨어다. 레노버가 공개한 보안 권고사항에 따르면 이 프로그램은 바이오스에 숨어 있다가 윈도우 운영체제가 재설치되면 최적화 프로그램인 ‘원키 옵티마이저’를 자동으로 설치한다. 그런데 악의를 가진 사람이 이 소프트웨어를 악용할 경우 ‘원키 옵티마이저’ 대신 악성코드를 설치할 수 있는 결함이 발견된 것이다.
악성코드와 다름 없는 작동방식
레노버 서비스 엔진의 가장 큰 문제는 바로 작동 방식이 악성코드의 일종인 루트킷(Rootkit)과 다름없다는 것이다. 컴퓨터에 숨어 있다가 윈도우 재설치를 감지하면 자동으로 작동을 시작하기 때문이다. 설령 복구 이미지가 아닌 마이크로소프트가 제공하는 설치 파일을 이용해 윈도우를 설치해도 이 프로그램은 사라지지 않는다.
문제는 또 있다. 하다못해 스마트폰에 기본 탑재되는 앱도 용량 낭비라는 지적이 심심찮게 나오는 마당에 보안 패치나 업데이트, 하드웨어 드라이버처럼 컴퓨터 이용에 꼭 필요한 소프트웨어가 아닌 ‘최적화 소프트웨어’를 이용자의 동의 없이 설치하기 때문이다.
이 뿐만이 아니다. 레노버 서비스 엔진은 제품명과 이용되는 지역, 메모리 용량과 프로세서 모델명, 화면 해상도, 저장장치 용량, 그래픽카드 종류와 운영체제 버전 등 하드웨어 정보를 레노버에 자동으로 보내는 기능도 갖추고 있다.
레노버는 “고객들이 제품을 어떻게 이용하는지 알기 위해 이런 정보를 수집하며 개인이 식별할 수 있는 정보는 없다”고 설명했다. 하지만 이런 기능이 있다는 것에 대해 노트북 이용자에게 명시적으로 알리거나 설명하지는 않았다.
한국레노버 “국내에도 일부 모델 판매돼”
레노버에 따르면 4월부터 5월까지 생산된 노트북·투인원 19개 모델, 전세계 판매용 데스크톱 21개 모델, 중국 판매용 데스크톱PC 19개 모델에 레노버 서비스 엔진이 숨어 있다. 레노버는 “6월 이후 출하된 제품에서는 레노버 서비스 엔진을 제거했다. 또 씽크패드(ThinkPad) 브랜드로 출시된 제품은 레노버 서비스 엔진과 무관하다”고 밝혔다.
해당되는 모델 전체 목록은 레노버 웹사이트에서 확인할 수 있으며 바이오스를 최신 버전으로 업데이트해 레노버 서비스 엔진을 제거하고 윈도우 운영체제에 설치된 파일도 삭제해야 한다. 한국레노버는 “C50-30, G50-80, U41-70, YOGA 3 14. Z51-70 등 5개 모델이 국내에서 판매되었다”고 밝혔다.
‘슈퍼피시 스캔들’에서 교훈 얻지 못한 레노버
레노버가 이용자 몰래 설치한 소프트웨어로 곤욕을 치른 것은 이번이 처음이 아니다. 불과 반년 전인 2015년 2월에는 인터넷 검색 기록과 인터넷 이용 습관을 모두 추적하는 스파이웨어인 ‘슈퍼피시 비주얼 디스커버리‘를 설치했다는 사실이 밝혀지며 전세계 소비자들의 질타를 받았다. 이용자 몰래 불필요한 소프트웨어를 설치했다는 점, 그리고 악용될 경우 개인정보 유출 등 심각한 피해가 있다는 점에서 ‘레노버 서비스 엔진’과 큰 차이가 없다.
당시 레노버는 CTO(최고기술책임자) 피터 호르텐시우스 명의로 공개 서한을 발표하고 “레노버 제품에 기본적으로 설치되는 운영체제와 소프트웨어 이미지 파일에서 위험을 지닌 프로그램을 제거하고 올바른 사전 설치 정책을 수립할 것“이라고 밝힌 바 있다. 하지만 불과 2개월 뒤인 2015년 4월부터 ‘레노버 서비스 엔진’을 기본 탑재한 노트북을 생산한 것이다. 결국 레노버는 ‘슈퍼피시 스캔들’에서 아무런 교훈도 얻지 못하고 똑같은 실수를 반복한 셈이다.
※ 추가(8/13 16:40) : 한국레노버는 “판매된 노트북 중 씽크패드(ThinkPad) 브랜드로 출시된 노트북에는 레노버 서비스 엔진이 탑재되지 않았다”고 밝혔습니다. 이에 관련 내용을 반영하였습니다.
