Avast 스캔들: Avast 및 AVG 추천을 중단한 이유

벤 마르텐스
게시 일자: 2020년 4월 17일
Avast 스캔들: Avast 및 AVG 추천을 중단한 이유

독자들은 Avast와 AVG가 심각한 스캔들에 휘말렸음에도 불구하고 왜 여전히 순위에 들어가는지에 대해 우리에게 메시지를 보내왔다. 고민 끝에 부서 간에 논의를 하다가 결국 목록에서 모두 삭제하기로 했다.

이유? AVG를 소유하고 있는 Avast가 지난 몇 달 동안 비윤리적인 사업 관행에 대한 심각한 주장과 관련하여 논란의 불길에 휩싸였기 때문이다.

Avast Online Security 브라우저 확장은 방문한 사이트는 물론, 사용자 위치, 검색 기록, 연령, 성별, 소셜 미디어 ID, 개인 배송 정보까지 의심스러운 양의 사용자 데이터를 수집하고 있다는 주장이 제기되어 2019년 12월 Mozilla, Chrome, Opera 시장에서 삭제되었다. 3개월 후, Avast는 약 1억 명의 사용자로부터 적절한 사용자 감시를 통해 얻은 개인 데이터를 판매한다는 조사 보고가 있은 후, 자회사 Jumpshot을 폐쇄했다.

SafetyDetectives 팀은 향후 몇 주 이내에 Avast를 웹사이트에서 삭제하기로 한 당사 결정을 신중히 고려했다. 결국, 이런 심각한 의혹에 직면한 어떤 회사도 믿음을 잃었고 승인 도장을 받을 수 없었다.

Avast가 지난 7년 동안 사용자들에게 스파이 활동을 한 것으로 알려진 방법은 다음과 같다

Adblock Plus의 설립자인 Wladimir Palant는 Avast의 약탈적 관행에 대해 경종을 울린 첫 인물이다. 그는 2019년 10월 Avast가 “사용자의 전체 웹 검색 기록과 검색 활동 데이터를 전송할 수 있었다”고 주장하는 상세한 설명과 함께 블로그에 유죄를 입증하는 정보를 올렸다.

기본적으로 Avast 및 AVG의 온라인 보안 확장은 사용자의 모든 클릭을 기록하며, 어떤 웹 사이트가 언제 어디서 방문했는지를 문서화한다. Avast는 데이터 수집이 온라인 보안 플러그인의 필수 요소라고 주장했지만, 경쟁 브랜드의 브라우저 확장은 그렇게 많은 양의 개인 정보를 수집하고 보관하지 않아도 잘 작동했다.

그 후 이 데이터가 Home Depot, Google, Pepsi와 같은 대기업 고객에게 판매되고 있다는 사실이 Avast 자회사인 Jumpshot을 통해 공개되었다.

Avast 자회사는 사용자 데이터를 판매하여 수백만 달러의 수익을 얻었다

2013년 Avast는 “익명” 사용자 데이터를 집계하여 온라인 비즈니스에 판매한 회사인 Jumpshot을 인수했다. Jumpshot의 공개 정보는 매우 모호했지만, 이들은 “온라인 쇼핑객 1억 명과 앱 이용자 4천만 명으로부터 클릭스트림 데이터를 입수했다”고 주장했다. Jumpshot의 사용자 데이터는 Avast 및 AVG의 Online Security Browser 확장에 내장된 스파이웨어로 수집되었다. Palant는 이 폭로의 원동력이었지만, Jumpshot의 결정타는 2020년 초에 출판된 VICE 마더보드의 기사이다. 기사에는 내부고발자 증언과 함께 Jumpshot에서 데이터를 구입한 기업, Avast 및 Jumpshot에서 내부 문서를 유출한 기업들이 나열되어 있다. Jumpshot은 판매한 데이터에 “개인 식별 정보”가 포함되지 않았다고 주장했지만, 많은 전문가들이 이를 의문시했다.

조사에 따르면, Jumpshot의 데이터에는 사용자의 IP 주소에서 시간 스탬프(밀리초 정확도), 국가, 도시 및 우편 번호 정보와 함께 Avast Online Security 사용자가 수행하는 모든 클릭 정보가 포함되었다. 이메일 주소 및 소셜 미디어 프로필과 같은 특정 데이터를 검열하도록 설계된 알고리즘이 Palant에 의해 심각하게 오작동하는 것으로 나타났다. 이름 및 집 주소를 포함한 메일 업체로부터의 전체 발송 세부 정보가 Jumpshot이 판매하는 데이터 패킷에 포함되었다.

미국 상원의원들과 탐사보도 기자들은 Avast에 책임을 물었다

사이버 보안, 망 중립성, 디지털 개인 정보 보호 지지자로 잘 알려진 오레곤주 상원의원 론 와이든은 공개적으로 Avast를 지명했으며 2019년 12월 트위터에 다음과 같은 글을 올렸다. “미국인들은 사이버 보안과 개인 정보 보호 소프트웨어가 마케팅 담당자에게 판매하지 않고 자신의 데이터를 보호하기를 기대한다. 저는 Avast와 소비자 데이터 보호 실패에 대한 이 골치 아픈 보고서를 조사하고 있다”.

Avast는 Chrome, Mozilla, 및 Opera web store에서 삭제당한 이 후 사용자들의 개인 정보 보호 침해 행위를 포기하고 존경할 만한 사이버 보안 회사로 거듭날 기회를 가졌다. 온라인 보안 브라우저 확장의 개인 정보 설정을 변경했으며 이 제품은 12월 말에 웹 스토어에 다시 등록되었다. 그러나, VICE Motherboard의 조사에서 공개한 바와 같이 데이터 수집을 기본 바이러스 백신 제품군에 적용하여 설치 프로세스 중에 데이터 수집 “사전 동의 질문이 포함되게 했다.

VICE Motherboard의 기사가 발표되면서, 그리고 만장일치로 대중의 반대에 부딪히자, Avast는 마침내 2020년 2월에 Jumpshot을 완전히 폐쇄했다. 하지만 SafetyDetectives와 사이버 보안 세계의 다른 많은 사람들에게, 그것은 역부족했고, 너무 늦은 것이다. 7년 동안 사용자 데이터를 몰래 빼돌린 것은 바이러스 백신 소프트웨어 역사상 가장 큰 윤리 위반이다.

바이러스 백신 회사의 윤리 위반이 특히 심각한 이유

바이러스 백신 소프트웨어는 가장 침습적인 소프트웨어 중 하나이다. 당사는 바이러스 백신 소프트웨어에 중요한 파일, 검색 기록, 재무 정보와 같은 전례 없이 많은 양의 시스템에 액세스할 수 있는 권한을 주었으며 모두 바이러스 백신에서 개인 네트워크에 들어갈 수 있었다. 일반적으로 법률적의미로 기만적인 언어가 매장되어 있지 않다는 가정 하에 개인 정보 보호 정책 및 사용자 동의서에 서명한다. 그러나 이러한 방식으로 고객의 개인 정보를 침해함으로써 Avast는 전 세계 사용자와 바이러스 백신 제품 간의 관계에 불신을 조성했다. 해커와 침습적 정부로부터 충분히 우려할 만한 위협이 있기 때문에 바이러스 백신 공급자는 사용자 보안에 또 다른 위협이 되어서는 안된다.

Jumpshot이 공식적으로 폐쇄되었으며 Avast Online Security는 더 엄격한 개인 정보 보호 기능을 갖추고 Chrome 및 Mozilla 웹 상점에 다시 출시되었다. 하지만 Avast가 7년 동안 사용자들의 데이터를 비윤리적으로 도용했다는 사실은 여전히 사실로 남아 있다. 그리고 그 행위를 멈추게 한 것은 오직 Wladimir Palant의 시민 보도와 VICE Madardboard의 조사 기자들 뿐이었다. 만약 독립적인 전문가들이 이러한 심각한 위반 사항을 엄격하게 기록하고 대중에게 알리지 않았다면, Avast는 여전히 이 사기 행각을 벌이고 있었을 것이다. 심지어 Avast가 미국 상원의원이 그들과 맞서기 위해 나선 후에야 회사의 관행을 바꾸는 것을 실지로 고려했다는 것은 논쟁의 여지가 없다.

사용자 피드백은 SafetyDetectives에서 Avast를 제거하도록 영감을 주었다

SafetyDetectives에서는 수년간 Avast와 다른 문제가 있었습니다. 부정적인 검토에 따라 실제로 저희 웹사이트에서 제외되었다. 그러나 당사는 사이트 수익성을 유지하는 회사와의 비즈니스 관계와 관계없이 항상 여러분에게 인터넷에서 최고의 사이버 보안 제품을 제공하기 위해 노력해 왔다. 이 때문에 Avast와 AVG를 목록에 계속 포함시켰고, 모바일 기기용 최고의 바이러스 백신 제품 중 1위로 선정되기도 했다.

바이러스 백신 회사의 윤리 위반이 특히 심각한 이유

그러나 지난 7년 동안 사용자 개인 정보 보호에 대한 심각한 위반이 발생하고 있는 가운데, 더 이상 Avast 또는 AVG와 같은 해당 자회사들을 당사 사이트에서 계속 홍보할 수 없었다.

이 문제는 이미 오래전부터 검토해왔다. 많은 상위 리뷰 사이트들이 Avast를 통해 홍보 및 수익을 올리고 있음에도 불구하고, 우리는 한동안 이러한 제품들을 목록에서 삭제해 왔다. 궁극적인 동기는 다음과 같은 메시지를 포함하여 독자들로부터 받은 모든 피드백이다. “AVAST의 데이터 판매 사고 후 이 소프트웨어는 어떠한 긍정적인 검토나 권장도 받아서는 안 됩니다”.

전적으로 동의한다. 이런 종류의 개인 정보 침해는 기본적인 인권을 믿는 사람들에게 혼란을 주는 것이다. 그렇기 때문에 컴퓨터 사용자는 이러한 문제를 해결하고 신뢰할 수 있는 바이러스 백신 소프트웨어로 컴퓨터를 보호하는 것이 매우 중요하다.

항상 쉽거나 인기 있는 일은 아니지만, 거대 기업들이 우리의 권리를 침해할 때 이에 맞서는 것이 중요하다. SafetyDetectives는 전 세계 사람들에게 디지털 시대에 해커, 비윤리적인 정부, 심지어 사용자들에게 얼마나 신경을 쓰지 않는지 세계에 보여준 Avast와 같은 약탈적인 사이버 보안 회사로부터 데이터를 안전하게 보관할 수 있는 도구를 제공하는 것을 기본 사명으로 한다.

Avast가 대부분의 주요 웹 스토에 다시 상장되고 4억 명의 사용자 중 대부분이 이러한 윤리적 위반에 대해 알지 못하는 상태에서 소프트웨어를 계속 사용하고 있지만, SafetyDetectives 팀은 자신들의 견해를 긍지높이 유지하고 있다.

이런 이유로 저희 웹사이트에 왜 Avast나 AVG에 대한 언급이 없는 것이다.

데이터를 훔쳐서 Pepsi에 팔지 않는 바이러스 백신 프로그램이 필요하다면 2020년도 최고의 바이러스 백신 소프트웨어 목록을 확인해보면 된다.

저자에 대한 정보

벤 마르텐스
벤 마르텐스
Cybersecurity journalist

저자에 대한 정보

벤 마르텐스는 인터넷 윤리, 맬웨어 테스트 및 공공 정책 분야의 경험을 가진 사이버 보안 저널리스트입니다. 그는 오레곤에 살고 있으며 인터넷 사용자의 권리를 옹호하지 않는 시간에는 개를 데리고 산보하기도 하고 딸과 이야기로 시간을 보내기도 합니다.