[안철수연구소 ASEC리포트 8월] 금전 피해 입히는 허위 안티 스파이웨어 기승

2008.09.26

 

스파이웨어들은 다양한 경로 / 배포 방식을 통해 사용자에게 피해를 입히고 있다. 기존의 트로이목마처럼 사용자가 접근하고 다운로드하여 설치될 때까지 기다리는 소극적인 자세는 적어지고, 보다 적극적으로 사용자의 설치를 유도하고 있다. 그 중에 대표적인 것이 즐롭(Zlob)이다. 즐롭은 설치 도중 다양한 스파이웨어들을 함께 설치하거나 보안 설정을 변경하여 사용자의 정상적인 시스템 이용을 방해한다. 일반적으로 즐롭이 사용자의 설치를 유도하는 방법으로는 동영상 컨텐츠를 제공하고, 해당 컨텐츠를 이용하기 위하여 필요한 동영상 코덱으로 위장하여 사용자의 설치를 유도하는 방식과 사용자의 관심을 끌만한 컨텐츠 링크를 메일을 통해 제공하여 설치를 유도하는 방식, 불법으로 공유되는 소프트웨어들을 위한 키젠(Keygen)을 통해 설치되는 방식 등이 이용된다.

허위 안티 스파이웨어(Rogue Anti-Spyware) 들은 가장 직접적이고도 지능적인 방법으로 사용자에게 피해를 입히고 있다. 이러한 프로그램들은 사용자의 낮은 보안 지식과 불안감을 이용한다. 우선, 과장된 진단 정보를 보여주어 사용자 불안감을 자극한 뒤, 치료를 원하는 사용자에 대해 사용자의 가입 및 결제를 요구한다. 대부분의 보안 지식이 부족한 사용자들은 불안감을 이기지 못해 결제를 하며 금전적인 피해를 입는다. 이러한 스파이웨어 행위는 기존의 어떤 방식들보다 이익이 크기 때문에 많은 변종을 낳고 있으며, 국내에서도 이러한 허위 제품들이 많은 제작되고 있으며, 해외에서도 다양한 형태로 제작되어 국내외에서 많은 피해를 입히고 있다.

최근 Zlob이 설치하는 허위 안티 스파이웨어 프로그램들 중 AntiVirusXP2008의 경우 전 세계적으로 기승을 부리고 있다. 이 프로그램은 설치과정 중에 자동 실행 등록 및 배경화면 변경, 보안 설정 변경, 블루스크린 스크린세이버 설정 등을 수행하기 때문에 사용자의 정상적인 시스템 이용을 저해한다. 이러한 변경 내역은 구체적으로 다음과 같다.


배경화면 및 스크린 세이버 변경

- 허위 경고 이미지                    -블루스크린 스크린세이버

[그림 2-4] AntiVirusXP2008 설치후 변경된 배경화면과 스크린세이버

AntiVirusXP2008이 설치되면 바로 배경 이미지와 스크린세이버가 변경된다. 배경 이미지는 보안 경고가 담긴 이미지이고, 스크린세이버는 Sysinternals사에서 개발한 블루스크린 스크린세이버이다. 스크린세이버는 기본 10분으로 설정되며 블루스크린이 뜨고 시스템 재부팅이 이루어지는 과정을 보여준다. 이 두 가지 변경을 통해서 사용자는 시스템에 대한 문제의식을 느끼게 되며 불안감을 갖게 된다.

디스플레이 등록 정보에서 배경화면과 스크린 세이버 항목이 사라짐

 

[그림 2-5] AntivirusXP2008 설치후 변경된 디스플레이 등록 정보

AntiVirusXP2008은 위의 두 가지 설정 변경을 보호하기 위해 디스플레이 등록 정보의 배경 이미지와 스크린세이버 설정 탭을 안보이게 변경한다. 이러한 변경은 다음의 키 설정을 통해서 이루어진다.


[ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ]
- NoDispBackgroundPage
- NoDispScrSavPage

기본 지식이 없는 사용자라면 이러한 변경에 대해 수동 복구를 할 수 없기 때문에 허위 안티 스파이웨어 업체의 결제 요구에 응하기 쉬워지게 된다.

다양한 허위 경고(FakeAlert)

 

- 인터넷 익스플로러                   - 시스템 오류 메시지

- Tray Icon 을 이용한 페이크 얼럿

[그림 2-6] Antivirus XP 2008의 다양한 허위 경고 메시지

AntiVirusXP2008은 여타 다른 허위 안티 스파이웨어와는 다른 허위 경고 방식을 이용하고 있다. 타 프로그램의 경우 단순히 과장되거나 허위의 진단 결과만을 보여주지만, AntiVirusXP2008의 경우 Internet Explorer를 이용한 방법과 tray icon을 이용한 방법, 그리고 특히 시스템 오류 메시지의 이용 등을 통해 사용자의 불안감을 자극한다.

위와 같은 AntiVirusXP2008의 변경으로 인해 큰 불안을 느끼게 된 사용자들은 허위 안티 스파이웨어 업체의 결제 요구에 응하거나 보안 업체에 분석 의뢰를 하게 된다. 이렇게 접수되어 처리된 AntiVirusXP2008 샘플이 8월 한 달에 100여건이 있었다. 전체 허위 안티 스파이웨어로 접수된 샘플이 300개 정도이고 종류가 50여 가지에 이르는 것을 고려한다면 대부분의 피해가 AntiVirusXP2008에 의한 것으로 볼 수 있다.

이처럼 AntiVirusXP2008의 고객 피해가 많은 것은 AntiVirusXP2008이 기존의 시그니쳐 진단 방식으로는 진단 및 치료가 어려운 특징을 상당 부분 갖췄기 때문이었다. 이러한 특징들은 다음과 같다.

다양한 설치 경로

AntiVirusXP2008은 다양한 설치 경로를 갖는다. 이것은 단순히 사용자가 다운로드 받아 설치하는 경로가 아닌 자신을 자동 설치하는 다른 스파이웨어를 갖는다는 의미이다. 이렇게 다양한 설치 경로가 있는 경우 진단 및 치료가 이루어져도 다시금 재감염이 발생한다. 대부분의 설치 경로에 자동 실행이 되도록 설정되어 재부팅 또는 일정 시간마다 스파이웨어를 설치를 하는 특징이 있다. 이러한 설치 경로로는 아래와 같이 크게 두 가지가 있다.

- Zlob을 통한 설치
Zlob은 워낙 유명한 스파이웨어 설치 프로그램이기 때문에 많은 설명이 필요가 없다. 이들 Zlob들은 변형을 꾸준히 생성하기 때문에 실시간 대응이 어렵고, 또한 개별 사용자의 잘못된 컴퓨터 이용 습관으로 인해 지속적인 피해가 발생하고 있다.

- Agent 를 통한 설치
Zlob 이외에도 Agent들을 통해서 타 스파이웨어가 설치되는 경우가 있다. 그 대표적인 예로 Win-Spyware/RootKit.Wsnpoem.95744는 주기적으로 서버에 접속해 스파이웨어를 설치한다. 이들은 WinLogon과 같은 시스템 프로세스에 인젝션되어 실행이 되고, 스스로를 보호하여 숨기는 루틴을 가지고 있으며, UserInit에 등록이 되어 자동실행이 되기 때문에 치료가 상당히 어렵다. 대부분의 사용자들은 이러한 Agent의 존재 여부를 알지 못하기 때문에 AntiVirusXP2008과 같은 스파이웨어의 감염을 지속적으로 경험하게 된다.

랜덤 이름 및 파일 경로

AntiVirusXP2008은 랜덤한 설치 경로 및 파일 이름으로 설치가 되며 구체적으로 살펴보면 아래와 같다. 아래의 표는 'Program Files' 디렉토리에 설치되는 AntiVirusXP2008의 폴더 이름을 나타낸다.

Program Files 디렉토리

Program Files / rhc3sgj0eaea

Program Files / rhc3sgj0eaea

Program Files / rhc5wej0etc7

Program Files / rhcnm5j0erbt

 

위 표에서 보듯이 폴더 이름이 rhc로 시작하는 12자리의 랜덤 이름의 형태를 갖고 있다. 위와 같이 랜덤 이름으로 설치가 되면 보편화된 시그니쳐가 없기 때문에 변형이 발생할 때마다 진단 데이터를 추가하거나 아예 넣을 수 없는 경우가 발생한다. 이러한 특징 때문에 기존의 시그니쳐 진단 방식으로는 진단 및 치료에 한계가 있다.

잦은 변형의 생성

잦은 변형의 생성은 최근 스파이웨어들의 보편적인 특징이 되어가고 있다. SEED 값을 입력으로 하는 프로그램 재빌드와 일정한 시간 간격으로 바이너리가 재빌드되는 경우 하루에도 여러 개의 변형이 만들어지게 된다. 이 경우 대부분의 보안 업체들의 실시간 대응은 어려우며, 늦은 대응은 더 이상 의미가 없는 대응이 되기도 한다.

위와 같은 몇 가지 특징들은 진단 및 치료를 어렵게 하기 때문에 최근 스파이웨어들이 자주사용하고 있다. 그 이외에도 실행 압축 및 내부 문자열 난독화, 프로세스간 상호 보호 등의 기법을 AntiVirusXP2008에서 이용하고 있다.