UCC를 악용한 스파이웨어 설치 주의

2007.07.31

 

스파이웨어를 보다 효과적으로 사용자 컴퓨터에 설치하기 위해 다양한 방법들이 등장하고 있습니다. 과거에는 기술적인 측면에서 여러 가지 방법이 시도 되었다면, 최근에는 UCC(User Created Contents)의 등장으로 인해 사회적 공학 기법이 자주 사용됩니다. 사람들의 호기심을 노리는 것이죠.

국내에서는  이슈가 된 사건의 동영상 UCC인 것처럼 가장해서 블로그(Blog)에 등록하고 국내의 대표적인 검색 사이트 등에 등록되게 한 후, 이를 검색해서 찾아온 사용자를 대상으로 해당 동영상을 보려면 해당 페이지에서 제공하는 ActiveX 컨트롤을 설치 해야 한다는 허위 안내 문구를 보여주고 설치를 유도하는 방식이 주로 발견되고 있습니다. 

[그림 2-1] 국내 동영상 UCC를 가장한 스파이웨어 배포 사이트

실제 예를 들어 살펴보면 [그림 2-1]에서 보는 바와 같이 분명 일반적인 블로그 형태를 띄고 있습니다. 하지만 [그림 2-1]의 HTML 원본([그림 2-2])을 살펴보면, 해당 사이트가 하나의 그림 파일로 이루어져 있으며, 다수의 스파이웨어를 ActiveX로 설치하는 코드가 삽입되어 있는 것을 확인할 수 있습니다.

[그림 2-2] 허위 동영상 UCC 배포 사이트의 HTML 원본

따라서 사용자는 동영상을 보기 위해 해당 사이트에서 설치를 유도하는 ActiveX 컨트롤을 설치하는 순간 원하지도 않은 다수의 스파이웨어를 설치하게 됩니다. 만약 사용자의 Internet Explorer의 보안 설정에서 모든 ActiveX를 사용자 동의 없이도 설치 가능하도록 설정되어 있는 경우는 해당 사이트를 방문하는 것 만으로도 스파이웨어가 설치됩니다.

국외의 경우도 국내외 마찬가지로 이런 사례가 자주 발견되고 있습니다. 실제 사례를 살펴보면 [그림 2-3]과 같이 동영상을 음악만 나오게 인코딩(encording) 한 후 이를 보기 위해서는 특정 사이트에서 제공하는 코덱(codec) 을 설치해야 한다는 허위 안내 문구를 보여주고 사이트 방문 및 설치를 유도합니다.

[그림 2-3] 해외 동영상 UCC를 가장한 스파이웨어 설치 유도 사이트

[그림 2-3]의 사이트를 통해 허위 코덱 프로그램을 다운로드 받아 실행하면 [그림 2-4]와 같이 정상적인 프로그램과 동일한 설치 화면을 볼 수 있습니다.

[그림 2-4] 허위 코덱 프로그램 설치시 약관 화면

하지만 이 프로그램은 코덱과는 전혀 상관 없는 다수의 스파이웨어 및 허위 안티 스파이웨어(Rogue Anti Spyware)를 사용자 동의 없이 설치하는 프로그램입니다. 이렇게 설치된 스파이웨어는 [그림 2-5]와 같이 허위 보안 경고 창과 풍선 도움말을 지속적으로 보여주고, 허위 안티 스파이웨어 프로그램을 통한 결재 및 치료를 유도합니다.

[그림 2-5] 허위 보안 안내문을 보여주는 스파이웨어

따라서 이런 피해를 입지 않기 위해서는 UCC 등을 볼 때 사용자의 각별한 주의가 필요하다.

▶ 보안 취약점을 사용한 국내 애드웨어 배포
보안 취약점을 사용해 스파이웨어를 배포하는 방법은 주로 외국에서 이루어졌습니다. 하지만 최근 국내 애드웨어도 이러한 기법을 사용하는 사례가 발견 되었습니다. 특히 이번은 최초인 동시에 MS06-014 취약점 코드를 ASCII 취약점을 이용하여 문자를 암호화 시켜 보안 제품의 진단 회피 기법을 적용한 것이 특징입니다.

이 경우 사용자는 MS06-014 취약점에 대한 보안 패치가 적용되어 있지 않으면 특정 사이트를 방문하는 것 만으로도 애드웨어가 사용자의 동의 없이 설치되는 문제를 가져옵니다. 사용자가 어떠한 불편함을 겪든 상관 없이 돈만 벌면 된다는 모 업체의 그릇된 생각으로 인해 다수의 사용자들이 큰 피해를 입습니다.

이런 피해를 예방 하기 위해서는 일반 사용자는 윈도우 보안 패치가 발표되면 즉시 업데이트를 적용해야 하며, 업체는 자사의 이익이 아닌 고객의 입장을 먼저 생각해야 할 것입니다.

[이 글은 안철수연구소 ASEC에서 작성하였습니다]