본문 바로가기
AhnLab 보안in

스파이웨어에 의해 PC가 망가질수 있습니다. _Win-Adware/UcccPlayer

by 보안세상 2020. 4. 3.

2007.11.23

 

어느 날 바탕화면에 있는 아이콘이 모두 똑같이 표시되거나, 갑자기 컴퓨터가 부팅되지 않는다면 당황할 수 밖에 없을 것입니다. 스파이웨어는 컴퓨터의 속도를 느리게 하고 사용자가 원하지 않는 광고를 출력하는 드러난 문제점과 함께 사용자 모르게 컴퓨터를 손상시킬 수 있는 잠재적인 문제를 내포하고 있는데요,  스파이웨어에 의해 손상된 컴퓨터를 원상태로 복구하는 데는 많은 시간이 소요될 수 있으며 그 과정에서 중요한 데이터를 손실할 수도 있습니다.

지난 10월 18일 바탕화면 아이콘 확장자가 lnk로 변경되어있고, 모든 실행 가능한 파일이 열리지 않는다는 문의가 안철수연구소로 다수 접수되어 증상을 확인한 결과 Win-Adware/UcccPlayer 업데이트 파일이 동작하는 과정에 레지스트리 정보를 삭제/수정하면서 문제가 발생된 것이 확인되었습니다.

Win-Adware/UcccPlayer는 동영상 낚시글을 통해 특정 웹사이트로 유인 후 큰 화면의 동영상을 감상하기 위해서 UCC플레이어 통합 매니저 설치를 유도하는 전형적인 스파이웨어의 배포방법을 통해 사용자의 PC에 설치가 되었습니다. 동영상 실행을 위해 통합 매니저를 설치한 사용자의 PC에는 동영상 실행과 관계없는 허위 백신프로그램, 큐앰프, 윈사이드바, 캐시플러스 등의 프로그램이 사용자 동의를 받지 않은 채 함께 설치됩니다. (UCCC Player는 지난 4월 동영상 1회 클릭당 1원이라는 새로운 수익방식으로 스파이웨어를 통한 새로운 수익구조를 제시하여 많은 스파이웨어 배포자를 양산한 것으로 보입니다.)

[그림 1] UCCC player 통합메니저

 

[그림 2] UCCC Player ActiveX CodeBase



[그림 2]에서와 같이 ActiveX의 CodeBase를 통해 설치되는 목록 조절이 가능하며, 이렇게 설치된 스파이웨어의 종류는 서버 설정에 따라 계속해서 바뀔 수 있으며 뚜렷한 증상이 없는 한 설치 사실을 사용자가 인지하기 어렵습니다.

Win-Adware/UcccPlayer외에도 스파이웨어로 인한 컴퓨터 오류 문제는 꾸준히 보고되고 있습니다. 5월 7일에는 Win-Downloader/Adod.49238로 진단되는 프로그램이 오류가 있는 BHO파일을 설치해 IE가 실행되지 못하게 하였으며, 같은 달 Win-Adware/IEDoumi의 경우 윈도우에서방문된 웹사이트 목록을 저장하는 레지스트리(HKCU\Software\Microsoft\Internet Explorer\TypedURLs)를 이용해 키워드 광고 수단으로 이용하면서 PC 부팅속도가 늦어지게 하는 등 스파이웨어로 인한 많은 문제들이 꾸준히 보고되고 있습니다.

지난 10월 한달 간 국내에서 제작되고 배포된 프로그램 중 정통부 스파이웨어 사례집과 안철수연구소 스파이웨어 진단규정을 위반하는 것으로 확인된 프로그램은 44종이었으며 이들 프로그램이 번들로 설치하는 목록까지 포함한다면 50종이 넘습니다. 매월 이렇게 확인된 수십 종의 국산 신/변종 스파이웨어를 끊임없이 진단추가 하고 있으나, 더 많은 신/변종 스파이웨어들이 생겨나고 있습니다. 또, 포털사이트 게시판에는 새로운 변형이나 신종 스파이웨어에 의한 컴퓨터 오류를 해결하는 방법을 묻는 글들이 줄어들지 않고 있습니다.

다양한 필요에 의해 제작되는 소프트웨어는 개발 단계에서 다양한 테스트를 통해 예상할 수 있는 대부분의 버그를 수정하고 안정성이 보장된 상태에서 배포되어야 합니다. 이렇게 배포되는 프로그램 조차도 실제 환경에서는 예상치 못한 오류가 발생하는 경우가 있을 수 있습니다.  응용프로그램의 문제점과는 그 관점이 조금 다를 수 있으나 마이크로소프트 같은 대형소프트웨어 업체에서 제작한 운영체제인 Windows에서도 매월 문제점이 발견되고 있으며 이에 대한 크고 작은 패치들을 나오고 있는 실정입니다. 그러나, 우후죽순으로 생겨나는 스파이웨어 제작자들과 보안업체간의 쫓고 쫓기는 관계 속에서 스파이웨어 제작자들은 빠른 시간에 프로그램을 제작해 배포하기 때문에 프로그램 설치 및 동작 시 나타날 수 있는 심각한 오류들에 대비해 필요한 테스트를 거칠 시간적 여유가 충분하지 않을 수 있습니다. 이런 스파이웨어들은 보안업체의 모니터링과 진단 추가 속에서도 알려지지 않은 루트를 통해 계속 배포되고 있으며 컴퓨터 사용자는 이러한 위협에 항상 노출되어 있는 것입니다.

넘쳐나는 스파이웨어 속에서 컴퓨터 사용자를 보호하기 위해서는 스파이웨어를 모니터링하고 끊임없이 진단 추가하는 업체의 노력, 불확실한 프로그램을 설치하지 않는 개인사용자의 노력뿐만 아니라 사용자의 동의 없이는 프로그램이 설치될 수 없도록 하는 엄격한 법규 제정이 무엇보다도 필요할 것입니다.
 
[출처]안철수연구소 ASEC Report 10월호