허위 안티스파이웨어, 예방에서 삭제까지 ‘완벽 대처방법’

2007.07.26

 

있지도 않은 스파이웨어를 진단하고 사용자에게 결제를 요구하는 ‘허위 안티스파이웨어’가 극성을 부리고 있습니다. 

전통적으로 스파이웨어는 개인 정보를 탈취해 판매하거나, 직접적으로 해킹에 이용하고, 광고를 노출하여 커미션을 챙기는 것이 보통의 수익 구조입니다. 하지만 안티스파이웨어가 등장하여 광고를 노출하는 애드웨어의 수익 구조가 극도로 나빠지자, 스파이웨어 제작자들은 허위 안티스파이웨어를 제작하기 시작했습니다. 악성코드 치료 프로그램으로 위장하면 관련 법률을 쉽게 비켜갈 수 있습니다. 또한 사용자 반감이 적기 때문에 대량 배포가 가능하고, 또 치료를 위한 결제를 유도하여 사용자 주머니에서 직접적으로 돈을 갈취할 수 있기 때문입니다.

그렇다면 사용자가 허위 안티스파이웨어에 피해를 입지 않으려면 어떻게 해야 할까요? 혹시 이미 자신의 PC에 허위 안티스파이웨어가 설치되었다면 어떻게 삭제해야 하는지 그 방법을 지금부터 알아보도록 하겠습니다. 

허위 안티스파이웨어의 피해 예방법

웹 사이트 방문 시 보안경고창이 뜨면 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 것이 좋다.

인터넷 등록 정보에 설정된 값을 설치 시의 기본 값으로 유지하거나 더 높게 설정한다.

잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

윈도 XP SP2 버전의 운영체제를 쓰면 허위 안티스파이웨어를 설치토록 유도하는 위장 설치확인 창이 뜨지 않아 예방이 가능하다. 그러나 이 경우도 화면 위에 ‘액티브 X를 설치하려면 여기를 누르십시오’라는 글이 떠서 설치를 유도하기도 하므로 유의해야 한다.

스파이웨어를 무료 진단해주는 프로그램 창이 떴을 때 진단을 해본 후 진단 내용이 정확한지 확인해야 한다. 스파이웨어로 진단된 파일 및 레지스트리의 전체 경로를 명확히 보여주는지, 진단된 경로에 그런 이름의 스파이웨어가 실제 있는지, 운영체계에 기본으로 있는 파일은 아닌지 살펴야 한다. 일부 안티스파이웨어 프로그램은 진단 결과를 과장하기 위하여 정상 파일이나 레지스트리를 진단하거나, 운영체계가 임시로 저장하는 파일이나 레지스트리를 진단하기도 하므로 주의가 필요하다.

치료를 위해 결제하라는 안내가 나오면 그 프로그램이 믿을 수 있는 회사 제품인지, 다른 사용자들이 추천하는 제품인지 알아본 후 결제해도 늦지 않다. 신뢰성을 검증하기 위해서는 프로그램 제작사의 웹사이트가 있는지, 웹사이트에 회사 소개가 투명하게 되어 있는지, 전화번호가 명기되어 있고 그 전화번호로 연락이 되는지 확인해본다.

사용자가 믿을 수 있다고 판단해 설치한 경우 약관에 ‘사용자가 해지 통보를 하지 않으면 자동 연장된다’는 식의 자동 결제 연장 문구가 있는지 잘 확인해야 한다.

허위 안티스파이웨어 삭제 방법

허위 안티스파이웨어 제품을 삭제하려면 제어판-프로그램 설치/삭제 메뉴에서 삭제해야 합니다. 하지만 여기서 삭제해도 일부 파일이 남아있는 경우가 많습니다. 이 파일이 남아있으면 ActiveX 보안 경고 창이 뜨는 과정을 거치지 않고 임의의 프로그램이 계속 설치가 됩니다.

보통 인터넷 보안 설정의 인터넷 옵션 보안 수준을 높게 설정해 두면 ActiveX 보안 경고 창이 바로 실행되는 일은 없으나 이 파일이 있으면 보안 설정을 높게 해두어도 소용이 없습니다. 이런 파일을 삭제하려면 아래와 같이 해야 합니다.인터넷 익스플로러 도구 → ‘인터넷옵션’을 클릭

일반 → 임시 인터넷 파일 → ‘설정’을 클릭함

'개체보기’를 선택

설치한 적 없는 항목 클릭 후 마우스 오른쪽 버튼을 눌러 ‘속성’을 선택

해당 ActiveX의 등록정보 중 ‘코드베이스’ 부분을 보고 자신이 방문하여 설치한 적이 없는 사이트가 있으면 사용자 몰래 설치된 항목으로 의심할 수 있음

5번에서 확인된 ActiveX 개체에 한해서 마우스 오른쪽 버튼을 클릭한 후, ‘제거’를 선택하면 해당 ActiveX 개체를 삭제할 수 있음

 

이 글은 안철수연구소 ASEC 박준용 선임연구원이 작성하였습니다.