본문 바로가기
AhnLab 보안in

[안철수연구소 ASEC리포트] 3929.cn으로 홈페이지를 고정하는 스파이웨어

by 보안세상 2020. 4. 6.

2008.12.23

 

11월 중순, 웹브라우저의 시작페이지가 “www.3929.cn”으로 고정된다는 신고가 다수의 고객으로부터 다량 접수되었다. 시작페이지 고정의 원인은 BHO(Browser Helper Object)로 설치된 중국산 애드웨어로 인한 것이었다.

 

 

 

[그림 1-1] 3929.cn으로 고정된 시작페이지


이 애드웨어는 해킹된 웹사이트에 삽입되어 있는 Adobe Flash Player의 SWF 취약점을 이용하는 악성 스크립트에 의해 사용자의 PC에 설치되는데, 국내 유명 웹사이트를 포함한 다수의 웹사이트가 해킹되어 애드웨어의 악성코드 유포 경로로 이용되어 국내 고객의 피해 수준은 심각하였으며, ㈜안철수연구소에서는 보안 위협등급을 3단계로 상향 조정하여 대응하였다.

그런데 이번 사건의 SWF 취약점은 사고 발생 이전에 이미 패치가 존재하였으며, 사용자가 미리 Adobe Flash Player의 업데이트만 실시하였다면 충분히 예방할 수 있는 사고였다.


 

국산 보안 제품을 제거하는 국산 애드웨어 - Win-Adware/NeSearch

 

바이러스나 웜, 트로이목마 등의 악성코드가 보안제품의 실행을 중지시키거나 삭제하는 경우는 많이 발견되고 있다. 이러한 악성코드의 대부분은 외국에서 제작된 것들이고, 보안제품의 실행을 중지시킨 뒤 시스템에 큰 문제를 일으키거나 게임의 계정정보를 탈취한다. 그런데 최근 국내에서 제작된 리워드 프로그램이 이와 같이 동작하는 것이 발견되었다. 진단명이 Win-Adware/NeSearch인 애드웨어는 다른 애드웨어의 번들 형태로 사용자의 적절한 동의 절차 없이 설치되어, Internet Explorer의 주소표시줄에 입력되는 키워드를 감시하고, 키워드와 관련한 광고를 노출하며, 쇼핑몰 등에 접속시 제휴마케팅 코드를 삽입하여 구매 수익의 일부를 얻는 리워드 프로그램이다.

 

Win-Adware/NeSearch는 국내 보안제품이 자신을 사용자의 시스템에서 제거하는 것을 막기 위하여 사용자 동의 없이 ㈜안철수연구소의 V3를 비롯한 국내 주요 백신들의 프로세스를 중지시키고 제거하려는 시도를 한다. 물론 V3의 경우 자체 보호 기능이 탑재되어 있기 때문에 해당 애드웨어의 의도와는 달리 중지되거나 제거되지 않는다. 그러나 일부 자체 보호 기능이 미비한 보안 제품의 경우, 이 애드웨어의 의도대로 사용자의 PC에서 보안제품이 중지 혹은 제거되며, 이렇게 될 경우 사용자의 PC가 악성코드로부터의 보안위협에 그대로 노출되기 때문에 매우 심각한 문제를 야기할 수 있다.

 

지속적으로 Win-Adware/NeSearch에 대하여 모니터링한 결과, 더 이상 배포되지 않고 있는 것으로 추정되며 V3나 스파이제로를 통해 전부 진단 치료가 가능하다. 그러나 앞으로 이와 같은 악성 프로그램이 계속해서 나올 것으로 예상되며 보안업체뿐만 아니라 사용자의 각별한 주의가 요구된다.

 

 

적절하지 못한 사용자 동의로 설치된 프로그램으로 인한 피해 증가

 

PC에 특정 프로그램이 설치되어 불편을 야기하게 될 경우, 해결법을 찾기 위해 인터넷 검색을 해보면 동일한 피해로 인한 사용자의 불만 글을 쉽게 찾아볼 수 있다. 최근에는 리워드 프로그램의 설치로 인한 피해와 이에 대한 해결 방안들이 많이 보고된다.

 

리워드 프로그램은 사용자가 제휴 쇼핑몰에서 물건을 구매하는 경우 추가 적립금을 지급해 주는 하나의 비즈니스 모델로서 사용자에게 많은 이득을 줄 것 같지만, 엄밀하게 따져보면 사용자에게 주는 혜택은 전혀 없이 해당 프로그램 배포자만이 이득을 보는 경우가 대부분이다.

 

대부분의 리워드 프로그램이 설치되어 불편을 겪고 있는 PC 사용자들이 자신이 모르는 사이 프로그램이 설치되었다고 주장한다. 반면 리워드 프로그램 제작사는 합법적으로 자신의 프로그램을 배포한다고 말하고 있다. 이 이유는 리워드 프로그램이 불법이라고 단정할 수 없는 방법으로 사용자가 쉽게 인지하지 못하는 방법으로 배포되고 있기 때문이다. 리워드 프로그램과 문제점이 발생하는 원인에 대해서는 ‘ASEC Report 11월 첫번째 컬럼’에서 자세히 소개한다.

 


[출처] 안철수연구소 ASEC리포트