보안 / 애플리케이션

자바 업데이트 10분 후 툴바 설치 ··· 오라클 '변칙 애드웨어' 논란 확산

Gregg Keizer | Computerworld 2013.01.29
오라클이 '크랩웨어'(crapware), '포이스트웨어'(foistware)라고 비판받고 있는 번들 소프트웨어를 자바 인스톨러에서 빼지 않기로 했다.
 
이러한 발언은 지난 주 컨퍼런스 콜에서 오라클 고위 임원의 발언을 통해 확인됐다. 오라클은 지난 주 이런 비난 속에서도 치명적인 보안허점을 패치하기 위한 긴급한 자바 보안 업데이트에 다른 소프트웨어를 포함해서 배포했다. 사용자를 현혹하는 새로운 설치 기술이 적용됐다는 비판도 제기됐다.
 
지난 주 JUG(Java User Groups) 리더들과의 컨퍼런스 콜에서 오라클의 오픈 JDK 팀 수장인 도날드 스미스는 자바 업데이트의 번들 계약에 대해 계약 조건에 따라 상세히 밝힐 수 없다고 말했다. 그러나 그는 향후 관련 정책이 변하지 않을 것임을 분명히 했다. 스미스는 "이와 같은 영리 계약에서는 자사의 정책을 다루는 것 뿐만 아니라 사용자가 감수해야 할 상업적인 파트너십과 합의도 포함돼 있다"고 말했다.
 
현재 윈도우용 자바 인스톨러에는 애스크닷컴(ask.com) 브라우저 툴바가 포함돼 있다. 옵트아웃(opt out) 방식으로 설치되기 때문에 사용자가 '설치하지 않음'을 별도로 체크하지 않으면 툴바가 자동으로 설치되고 기본 검색 엔진이 ask.com으로 바뀐다.
 
이러한 번들 정책은 에드 보트를 비롯한 유명 블로거는 물론 에드웨어 전문가이자 온라인 사기와 인터넷 개인정보보호 관련 전문가인 벤 에델만 하버드 교수 등으로부터 비판을 받고 있다. 보트와 에델만은 지난 22일 자바와 함께 설치되는 애스크닷컴 툴바 문제를 지적하고 나섰다. 보트는 "애스크닷컴 툴바는 자바를 설치한 직후가 아니라 설치한 후 10분이 지난 후에 설치가 시작된다"며 "이런 방식으로 작동하는 합법적인 인스톨러를 본적이 없고 오히려 기술 전문가들을 속이기 위한 것"이라고 지적했다. 
 
에델만 역시 이러한 오라클의 정책을 혹평했다. 특히 그는 이 툴바가 '제로데이' 보안 취약점을 패치하는 긴급한 자바 업데이트와 함께 제공된 것이 더 나쁘다고 지적했다. 그는 "자바 업데이트는 자바의 치명적인 보안 위협이 있을 때만 제공돼야 한다"며 "이러한 보안 위협을 사용자에게 광고 소프트웨어를 제공하는 기회로 활용하고 오라클이 돈을 버는 것은 문제가 있다"고 지적했다. 이어 오라클이 보안 업데이트와 애드웨어를 함께 제공함으로써 사용자들이 패치 프로세스를 자체를 불신하게 만들고 있다고 덧붙였다.
 
오라클의 스미스는 이런 의견에 동의하지 않았다. 그는 지난주 컨퍼런스 콜에서 "이것은 특별한 보안 이슈가 아니며 상업적인 비즈니스 이슈일 뿐"이라며 "윈도우 플랫폼에서 새로운 인스톨러가 나타나 보안과 관련이 있는 것으로 보일 뿐 실제로는 보안과 직접적인 관련이 없다"고 말했다.
 
이어 그는 이번 정책이 지난 2010년 자바를 개발한 썬 마이크로시스템스를 인수했을 때 함께 양도된 계약이라고 설명했다. 그는 "이것은 새 비지니스가 아니고 오라클이 새롭게 시작한 것도 아니다"며 "썬이 이미 오래전부터 해 온 비즈니스 중 하나다"고 말했다. 썬이 써드파티 소프트웨어를 번들로 제공한 것은 지난 2005년부터로 구글 툴바를 번들로 제공한 바 있다. 이후 수년간 썬은 마이크로소프트, 야후 등과 비슷한 계약을 체결했고 현재는 애스크닷컴으로 바뀌었다.
 
스미스는 오라클이 이러한 번들링 정책을 중단하지 여부에 대해 분명히 밝히지 않았다. 대신 JUG 커뮤니티의 우려를 달래려고 노력했다. 그는 "우리는 이렇나 번들 정책이 정말 의미있는 일인지 계속해서 평가하고 있다"며 "지금 말할 수 있는 것은 사용자의 강하고 분명한 의견을 통해 이러한 우려를 인식하고 있고 어떻게 개선할지를 찾고 있다는 것"이라고 말했다.
 
한편 스미스는 이러한 툴바 배포 방식이 혼란을 줄 수 있다는 지적에 동의하면서도 왜 애스크닷컴 툴바가 자바 업데이트 설치 이후 10분이 지나 설치되는 이상한 방식을 택한 것인지에 대해서는 설명하지 못했다. 그는 "사용자가 이를 봤을 때 '왜 이런 방식이지?'라고 생각할 수 있다는데 표면적으로 동의한다"며 "만족할 만한 대답을 할수는 없지만 왜 이런 방식을 택했는지 일부 측면에서는 분명하게 할 수 있기를 기대한다"고 말했다.
 
스미스는 뚜렷한 근거를 내놓지 못했지만 대신 애스크닷컴이 이에 대한 해명에 더 적극적이다. 애스크닷컴의 대변인은 28일 이메일 답변을 통해 "자바와 함께 설치되는 우리 인스톨러는 실제 설치 과정을 시작하기 전에 10분을 기다리는 것이 사실"이라며 "그러나 이것은 JRE 업데이트가 사용자 컴퓨터에 추가적인 부담을 주지 않기 위해 적당하게 시간을 둔 것"이라고 설명했다. 이어 그는 "이는 사용자들을 속이기 위한 것이 아니다"고 덧붙였다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.