본문 바로가기
AhnLab 보안in

내 PC의 놈놈놈_프리웨어, 스파이웨어, 애드웨어(1)

by 보안세상 2020. 4. 5.

2008.09.02

 

프리웨어, 스파이웨어, 애드웨어를 알아보자


컴퓨터를 사용 하다 보면 뜻하지 않게 애드웨어(adware)나 스파이웨어(spyware)를 접하게 되는 경우가 있다. 이들이 컴퓨터에 설치되면 경우에 따라서는 컴퓨터를 정상적으로 사용할 수 없게 될 정도로 심각한 피해를 준다. 이런 애드웨어나 스파이웨어는 어떤 종류가 있으며 어떤 방법으로 컴퓨터에 감염되는지 알아두면 이를 예방하는데 큰 도움이 되며 컴퓨터를 보다 건강하게 유지할 수 있다. 컴퓨터에 감염되어 직•간접적으로 피해를 주는 애드웨어 및 스파이웨어에 대해 3부에 걸쳐 예를 통해 정확한 정의를 알아보고 예방 방법을 배워보도록 하자.

애드웨어(adware)

애드웨어는 광고를 노출하여 금전적 이익을 취하려고 제작된 프로그램이다. 이는 사용자가 원하는 프로그램을 광고를 보는 조건으로 무료로 배포하는 프리웨어(freeware)와는 구분된다. 프리웨어는 해당 프로그램을 원하는 사용자의 적절한 동의를 받고 설치되고 사용자에 의해 실행되는 프로그램이다. 반면 애드웨어는 적절한 사용자 동의 없이 설치되고 사용자의 의사에 반하게 작동하여 불편함을 초래한다.

애드웨어는 일반적으로 광고를 팝업으로 계속 노출시킨다. 컴퓨터를 사용 하다 보면 아무런 작업을 하지 않았음에도 광고창이 나타나는 경우가 있다. 이런 증상이 계속 나타난다면 애드웨어의 감염을 의심해 볼 수 있다.

애드웨어는 다른 프로그램 설치 시 함께 설치되는 경우가 많다. 사용자는 A라는 프로그램이 필요해 설치하지만 실제로는 A라는 프로그램과 함께 원하지 않는 애드웨어가 함께 설치된다. 정상적인 경우라면 A라는 프로그램 설치 시 함께 설치되는 애드웨어에 대해서도 동의를 받아야 하지만 애드웨어 특성상 사용자 모르게 설치되어 동작한다. 이를 예방하기 위해서는 프로그램 설치 시 가능하면 해당 프로그램을 제작한 공식 홈페이지를 이용해 프로그램을 다운로드 받는것이 좋다.
작년에 시작된 동영상 UCC열풍을 이용해 설치되는 애드웨어 역시 다수 발견 되었는데 이들은 [그림 1]과 같이 현재 화제가 되고 있는 동영상을 키워드로 한 허위 페이지를 만들어 놓고 방문하는 사용자들에게 이 동영상을 보려면 제공되는 ActiveX 컨트롤을 설치해야만 동영상을 볼 수 있다고 속여 사용자로 하여금 애드웨어를 설치하게끔 유도한다. 사용자는 당연히 동영상을 보기 위한 ActiveX 컨트롤이라 생각하고 아무런 의심 없이 설치한다는 점을 이용한 것이다.

그림 1 허위 동영상 UCC 페이지

 


국내는 물론 국외도 이런 식으로 애드웨어를 설치하는 사례가 지속적으로 발견되고 있다. [그림 2]와 같이 허위 동영상 UCC페이지를 만들어 놓고 소리만 들려주고 동영상을 보기 위해서는 ActiveX 컨트롤을 설치해야 한다고 유도하는 경우가 많다.

그림 2 외국의 허위 동영상 UCC 페이지



또는 동영상을 보기 위해 특정 코덱(압축된 동영상을 실시간으로 해제해 볼 수 있게 하는 프로그램 모듈)을 설치해야 한다고 프로그램을 제공하고 설치를 유도한다. 제공된 허위 코덱 프로그램을 실행시키면 [그림 3]과 같이 정상적으로 사용자 약관을 보여주고 동의를 받고 설치하는 것처럼 보인다.

그림 3 허위 코덱(Codec) 설치 프로그램



사용자 약관에 동의하고 설치를 진행하게 되면 컴퓨터 [그림 4]와 같이 컴퓨터의 바탕화면을 변조하여 수많은 애드웨어를 설치하고 지속적으로 팝업창을 실행시켜 정상적으로 컴퓨터를 사용할 수 없게 만든다. 이럴 경우 실제 위협을 느낀 사용자는 제공된 허위 안티 스파이웨어 프로그램을 이용하여 유료 결제를 통해 문제를 해결하려고 해 금전적 피해를 입게 된다. 이때 설치된 허위 안티 스파이웨어는 스파이웨어와 애드웨어를 진단하고 치료하는 능력이 거의 없으며 윈도우에서 정상적으로 사용하는 파일을 진단하기도 해 큰 문제가 되고 있다. 또한 유료 결제 후 치료한 파일들이 일정 시간이 지난 후 또다시 진단되어 이중, 삼중으로 금전적 피해를 입히는 경우도 있다.

그림 4 허위 코덱 설치를 통해 설치된 애드웨어와 변조된 바탕화면



최근에는 사용자 동의를 받고 이미 설치된 프로그램의 업데이트를 가장해 애드웨어를 설치하는 사례가 증가하고 있다. [그림 5]와 같이 일반적인 프로그램 업데이트 다이얼로그를 보여주고 업데이트 하기를 권유한다. 자세히 살펴보면 이를 취소하는 버튼이 없다. 따라서 사용자는 무조건 해당 애드웨어를 설치할 수 밖에 없다. 업데이트를 진행하면 사용자의 컴퓨터엔 업데이트가 아닌 새로운 애드웨어 3가지를 추가로 설치한다. 더욱 심각한 것은 이런 방법으로 얼마든지 애드웨어를 추가로 설치할 수 있다는 것이며 사용자는 그때마다 새로운 애드웨어를 설치해야만 한다는 것이다.

그림 5 허위 업데이트를 가장한 애드웨어 설치 프로그램



앞서 살펴본 대표적 3가지 사례를 보면 한가지 공통점이 있다. 애드웨어의 설치를 적극적으로 유도하긴 하지만 최종적으로 설치할지 여부를 결정하는 것은 사용자의 선택이라는 것이다. 따라서 프로그램의 설치 및 업데이트 시 무조건 설치/업데이트를 진행하지 말고 제시되는 내용을 잘 살펴보고 불합리한 부분이 없는지 본인이 잘 판단해야 한다. 또한 ActiveX 컨트롤의 경우 인터넷 익스플로러(Internet Explorer)에서 보안 설정이 낮게 되어 있으면 사용자의 동의 없이 자동으로 설치가 된다. 따라서 그림 6과 같이 인터넷 익스플로러 7 버전의 보안 수준을 특별한 이유가 없는 한 최소한 “약간 높음”수준을 유지해야 한다.

그림 6 Internet Explorer 보안 수준



인터넷 바로가기 생성
특정 홈페이지나 서비스로 접속을 유도하는 바탕화면, 빠른 실행 아이콘, 인터넷 익스플로러 즐겨찾기, 시작메뉴등에 인터넷 바로가기 아이콘을 사용자 동의 없이 생성하는 애드웨어다. 과거엔 주로 특정 홈페이지 방문시 ActiveX 컨트롤로 설치가 되었지만 최근은 스파이웨어에 의해 설치되는 경우가 많다. 최근엔 온라인 도박 서비스로 접속을 유도하는 형태가 많아 그로 인한 피해가 더욱 심각하다.

그림 7 인터넷 바로가기 아이콘과 도박 사이트



최근 이런 도박 사이트로 바로가기 아이콘을 생성하는 스파이웨어의 경우 지속적으로 새로운 도박 사이트의 바로가기를 생성해 더 큰 문제를 야기할 수 있다. 이런 도박 프로그램은 불법이며 사행성을 조장해 심각한 금전적 피해를 입을 수 있으므로 만약 이런 서비스를 접하더라도 이용하이 않는 것이 바람직하다.

자신이 생성하지 않은 인터넷 바로가기 아이콘이 생성 되었을 경우 이는 대부분 상업적 목적을 지닌 악의적인 인터넷 바로가기 아이콘이므로 접속을 삼가해야 하고, 삭제하는 것이 좋다. 삭제 방법은 해당 아이콘을 선택하고 마우스 오른쪽 버튼을 눌러 “삭제”를 선택하거나 “DEL”키를 누르면 된다. 또한 삭제한 아이콘이 지속적으로 생성될 경우 해당 아이콘을 설치하는 스파이웨어가 존재할 가능성이 높으므로 신뢰할 수 있는 컴퓨터 보안 업체의 제품을 사용하여 진단 및 치료해야 한다. 만약 진단되는 항목이 없을 경우 해당 컴퓨터 보안 업체에 신고하면 처리가 가능하므로 적극 활용하는 것이 좋다.

이런 인터넷 바로가기 아이콘 생성을 예방하기 위해선 매달 두 번째 수요일에 발표되는 윈도우 보안 업데이트를 수행해 윈도우의 보안 취약점을 예방해야 하며홈페이지 방문 시 ActiveX 컨트롤의 설치를 요구하는 경우 설치 전 반드시 설치하려는 ActiveX 컨트롤의 설명을 읽어보고 자신에게 꼭 필요한 ActiveX 컨트롤인지 확인하는 습관이 필요하다.최근 동영상 UCC 감상을 위해 ActiveX 컨트롤의 설치를 요구하는 경우가 종종 있는데 대다수의 동영상 UCC 재생기능은 Adobe사의 Flash기술을 사용하는 경우가 많아 ActiveX 컨트롤 설치를 요구하는 경우는 거의 없으므로 한번쯤 의심해 보는 것이 여러모로 도움이 된다.@

[박시준]

악성코드 분석가

안철수연구소

안철수연구소에서 스파이웨어를 분석, 안티 스파이웨어 엔진 제작을 담당하고 있으며, 현재 안랩 IT 컬럼니스트 1기로 활동중이다. 바쁜 분석/대응 업무 중에도 매일 새벽 수영을 즐기는 등 개인생할과 직장생활에 모두 열심인 21세기형 청년이다