[보안] 나도 모르게 설치된 그것이 알고 싶다.

[정보]나도 모르게 설치된 그것이 알고 싶다.

각종 보안 이슈 정리 2012/04/24 10:15

 

nProtect 대응팀 공식 블로그

http://erteam.nprotect.com/269

 

1. 개요

잉카인터넷 대응팀은 컴퓨터에 자신도 모르게 설치되는 이른바 광고 목적의 프로그램들이 어떤 과정을 거쳐서 사용자 컴퓨터에 설치되는지 실제 사례를 통해서 그 전 과정을 공개해 보고자 한다. 인터넷 광고 기능 자체는 법적으로 정당한 행위에 속하지만, 악성 프로그램의 분류 중에는 Adware(Advertise+Software)라는 형태가 존재한다. 이는 비정상적인 절차를 통해서 유포되는 광고성 파일이거나 다른 프로그램처럼 위장하여 사용자를 속인 후 설치되는 경우가 대표적이라 할 수 있다. 또한 컴퓨터 이용자에게 심각한 불편을 초래하는 형태(인터넷 시작페이지 고정, 팝업 광고, 제휴 프로그램 설치)나 개인정보를 수집하여 외부에 유출을 시도하는 종류 등이 악성 광고 프로그램으로 분류될 수 있게 된다. 

2. 악성 광고 프로그램의 정체

인터넷 기반의 광고성 프로그램들은 수 많은 컴퓨터 이용자들에게 설치를 하는게 가장 큰 관심사이자 목적이다. 그래야지만 광고라는 목적에 부합되는 비지니스 모델 서비스가 가능하고 부수적으로 "수익을 창출"할 수 있는 기반이 마련되기 때문이다.

그렇다보니 일부 광고업체들은 정상적인 과정을 통해서 광고모듈을 배포하는 것 보다는 ▶사용자들이 인지하지 못하게 만든 후 설치하는 부적절한 제휴 형태나 ▶마치 정상적인 프로그램처럼 가장하여 설치하는 형태가 성행하고 있는 것이다. 특히, 사용자들이 즐겨쓰는 키워드나 최신 유행 검색어 등을 이용해서 마치 관련된 내용처럼 위장하여 클릭을 유도하여 설치하는 경우가 많다.

이러한 형태의 프로그램이 지금까지 자주 사용한 방식으로는 ▶동영상 재생 프로그램이나 코덱처럼 위장하여 사용자 스스로 설치를 하도록 속이거나 ▶별개의 특정 프로그램 다운로더(Downloader)나 설치용(Installer/Setup) 파일처럼 아이콘이나 파일명을 사칭하는 경우가 대표적이라 할 수 있다.

그리고 최근까지 가장 유행하는 방식은 인기 검색 키워드와 관련된 내용의 파일처럼 교묘하게 위장한 후 "추가구성요소 설치 동의"라는 명목으로 제휴 프로그램을 다수 설치하는 방식인데, 특히 스크롤바 화면을 최소화하여 일부만 보이도록 하거나 단순한 내용만 노출시켜 사용자가 쉽게 인지하지 못하도록 구성된 형태라 할 수 있다.

▣ 악성 광고성 프로그램 유포 사례

아래 화면은 회원수가 100만명을 육박하는 아이패드 관련 커뮤니티 게시글에 덧글로 등록된 내용이다. 게시글과 연관된 아이패드 관련 내용으로 위장하고 있으며, 구글 단축 URL 주소를 이용해서 실제 주소를 보여지지 않도록 하고 있다.

아이패드 동영상 플레이어와 관련된 내용처럼 위장된 구글 단축 URL 주소를 클릭하게 되면 다음과 같이 "아이패드동영상플레이어.exe" 라는 실행파일이 다운로드 시도된다.

 

상기 방식에서는 아이패드 동영상 플레이어와 관련된 내용으로 위장하여 배포되고 있는데, 실제로 이 방식은 매우 다양한 파일처럼 위장되어 유포되는 형태이다. 특히, NPROTECT.EXE 와 같이 잉카인터넷의 모듈처럼 위장하여 유포된 사례도 발견된 바 있다. 아래 화면과 같이 동일한 방식으로 제작되어 유포 중인 것을 확인할 수 있다.

이런 광고 방식은 차후 법적 제재를 최대한 우회하기 위해서 실제로 관련된 내용을 첨부하여 보여주는 방식을 채택하고 있고, 최종 설치 목적인 제휴 프로그램들의 약관이나 사용자 동의를 사용자가 최대한 인지하지 못하게 숨기는 방식을 사용하고 있다. 따라서 이러한 프로그램들에 대한 적절한 규제가 이뤄지지 못하고 있는 것이 현실이고, 사용자들에 대한 피해가 지속적으로 발생하고 있다.

다운로드된 파일을 실행하게 되면 "압축풀기"라는 내용을 보여주면서 사용자의 클릭을 유도하게 된다. 이때 좌측 화면 아래쪽에 10 여개의 별도 추가 구성 요소 설치가 함께 진행된다. 보통 일반 사용자들의 경우 이런 내용을 자세히 확인하지 않고 설치하는 경우가 많다는 점을 악용한 것이고, 초기 설정값으로 모두 설치에 V 체크가 되어 있다는 점을 주의하여야 한다. 

설치 후에는 아래 화면과 같이 "아이패드동영상플레이어.jpg" 라는 파일을 생성하여 마치 정상적인 파일처럼 보이도록 하지만, 단순한 이미지 파일로서 아이패드 동영상 플레이어는 아니다.

제휴 프로그램들은 모두 백그라운드로 사용자 몰래 설치되기 때문에 사용자는 설치 과정을 인지하기 어렵다. 더욱이 문제가 되는 부분이 있다. 추가 구성 요소로 설치되는 광고성 제휴 프로그램 중에는 사용자가 실행하지 않아도 스스로 작동되어 사용자 컴퓨터에 많은 문제가 있는 것처럼 과장된 내용을 보여준 후 해결하기 위한 버튼을 클릭 시, 유료 결제창을 보여주고 소액 과금을 유인하는 형태로 인해서 실제 금전적 피해를 호소하는 경우도 많은 상태이다.
 

PC속도저하요인으로 진단된 목록들을 보면 단순히 휴지통 파일과 단순 인터넷 임시파일들로서 정상적인 컴퓨터에 존재하는 것들을 유료로 결제를 요구하는 것으로 문제가 되는 부분이다. 부팅속도향상 부분에서는 "아이패드동영상플레이어.exe" 파일에 의해서 함께 설치된 다른 제휴 프로그램들을 탐지하고 있어 자신들이 설치한 파일을 자신들이 진단하는 모순적인 행위를 보이고 있다.

또한, 사용자의 별도 해지 요청이 없는 한 자동연장결제를 통해서 정기적으로 소액이 자동청구되는 피해를 입는 경우가 사회적인 문제가 되고 있다.

아울러 결제 화면을 저장하지 못하도록 하는 기능도 사용하고 있는데, 메시지 창에는 정보보호를 위해서 키보드 조작은 불가능합니다라고 언급하고 있지만, 이것은 인터넷 블로그 등에 해당 내용을 게시하지 못하게 하기 위한 목적으로 사용되고 있는 것으로 추정된다.

 
이렇듯 광고성 프로그램들은 마치 정상적인 사용자 동의와 약관을 명시하여 법적으로 전혀 문제가 없는 것처럼 보이지만, 실제로는 유포 과정에서 특정 프로그램으로 위장하고 있고 사용자들로 하여금 클릭을 유도하여 별도의 파일들을 동시에 설치하고 있다는 점과 특히, 백그라운드 기능을 이용하기 때문에 이용자들은 자신이 어떤 프로그램을 복수적으로 설치했는지 인지하기가 거의 불가능에 가깝다고 할 수 있다.

3. 마무리

위와같이 특정 프로그램처럼 위장하여 제휴 프로그램 동시 설치 기법을 이용하는 광고성 프로그램들은 이용자에게 지속적으로 불편함을 초래하고 있어 Adware 형태의 악성파일로 분류하여 nProtect 제품에서 진단/치료 기능을 제공하고 있다. 대부분의 광고업체들은 자신들의 프로그램이 정상적인 사용자 동의와 약관 등을 명시하고 있기 때문에 악성프로그램이 아니다라고 주장하는 경우가 많고, 내용 증명이나 사업방해 등을 명목으로 법적 항의를 하는 경우가 많지만, 잉카인터넷 대응팀은 유포 방식에 대한 근거(배포 방식 동영상 제작)자료를 기반으로 악성 광고프로그램 종류로 치료 기능을 고객들에게 제공하고 있다.

광고업체에서 접수된 항의에 문제시되는 유포 근거 동영상 등을 일부 공개하면 특정 제휴업체에서 독단적으로 불법 배포한 버전임을 동의하며, 해당 모듈은 배포를 모두 차단했으니 다시 진단을 제외해 달라고 요청해 오지만, 이들은 보통 암묵적으로 광고 기법을 공유하는 것으로 알려져 있고, Anti-Virus 제품들로 부터 자신의 모듈이 진단되지 않도록 꾸준히 확인하는 업무를 수행하고 있기도 하다.

인터넷 이용자들은 조회수가 많은 게시글에 덧글로 올려져 있는 링크 주소 클릭에 각별히 주의해야 하며, 특정 프로그램 설치 시 광고성 제휴 프로그램들이 함께 설치되지는 않는지 꼼꼼히 따져보고 진행하여 잠재적 악성 광고프로그램 설치를 사전에 예방할 수 있도록 노력하여야 한다.