본문 바로가기
AhnLab 보안in

애드웨어끼리 전쟁에서 PC를 보호하는 방법

by 보안세상 2020. 4. 7.

2009.04.17

 

내 집 안방에서 모르는 이들이 서로 싸움을 벌이면서 방안의 가구와 집기들을 부숴버린다면 집 주인인 나는 어떤 기분이 들까? 최근 국내 애드웨어 간의 싸움으로 인해 애꿎은 사용자들이 피해를 입고 있어 문제가 되고 있다.

 

물론 여기서의 싸움은 주먹이 오가는 싸움은 아니다. 국내 온라인 전자 상거래가 활성화되면서 리워드 프로그램과 키워드 프로그램의 수익성이 좋아지자 많은 업체들이 서로 사용자의 PC에 설치되어 동작하고자 싸움을 벌이고 있는 것이다.

수많은 리워드/키워드 서비스

리워드/키워드 프로그램은 사용자가 입력한 웹 사이트의 주소를 가로채어 자신의 제휴 마케팅 코드가 삽입된 다른 주소로 변경하고 변경된 주소를 해당 제휴 마케팅 사이트 또는 인터넷 쇼핑몰에 전달하는 식으로 동작한다. 이렇게 함으로써 애드웨어 제작업체는 제휴 마케팅 사이트로부터 일정의 수수료를 챙길 수 있게 된다.

 

그런데 만약 사용자의 PC에 리워드/키워드 프로그램이 여러 개가 설치되어 있다면 어떻게 될까? 리워드/키워드 프로그램이 두 개가 설치되어 있던, 열 개가 설치되어 있던 간에, 결국 사용자에게 보여지는 웹사이트는 하나일 수 밖에 없다. 따라서 단 하나의 프로그램만이 수수료를 챙길 수 있는 것이다. 바로 이러한 이유 때문에 리워드/키워드 프로그램들 간의 전쟁은 불가피하다.

 

최근 Win-Adware/IEShow가 감염된 PC에서 일부 프로그램들이 정상적으로 동작하지 않는다는 고객신고가 다수 접수되었다. 문제를 확인해보니 Win-Adware/IEShow가 시스템을 감시하여 다른 리워드/키워드 프로그램이 동작하지 못하도록 하고 있었다. 그런데 문제는 애드웨어 뿐만 아니라 정상 프로그램마저 실행이 차단되는 것이었다.


[1]시스템에 등록되어 있는 BHO

 

[2]BHO에 연결된 DLL

대부분의 리워드/키워드 프로그램은 IE(Internet Explorer)에 ToolBar나 BHO(Browser Helper Object)로 등록되어 동작한다. Win-Adware/IEShow는 바로 이 점을 악용하여 다른 프로그램의 동작을 차단한다. 먼저 [1]과 같이 시스템에 등록된 BHO를 확인하고, 자신이 갖고 있는 CLSID(White List)와 비교하여 White List에 없는 BHO는 모두 차단한다. 그리고 차단한 BHO와 연결된 DLL 파일의 경로를 알아내어 그 폴더 하위에서 실행되는 모든 프로세스까지 차단하도록 동작한다.

만약 [2]의 ‘{5C255C8A-E604-49b4-9D64-90988571CECB}’ CLSID가 White List에 등록되어 있지 않다면 ‘C:\Program Files\Windows Live\Messenger’ 아래에서 실행되는 모든 프로세스는 동작하지 않게 되어 사용자는 MSN 메신저를 사용할 수 없는 결과를 초래할 수 있다.

BHO로 등록되어 동작하는 프로그램 중에는 Adobe PDF Reader Link Helper, SnagIt Toolbar Loader, Java™ Plug-In SSV Helper 등과 같이 리워드/키워드 프로그램이 아닌 것들도 다수가 존재하는데 만약 이러한 프로그램들이 Win-Adware/IEShow에서 관리되는 White List에 포함되어 있지 않다면 실행이 안 되는 문제가 발생한다. 실제, 다수의 고객 PC에서 이러한 문제로 인하여 일부 프로그램의 실행이 불가한 것을 확인하였으며 Win-Adware/IEShow를 완전히 제거한 후 문제는 해결되었다.

과거의 경우에도 리워드/키워드 프로그램이 경쟁사 제품의 동작을 방해하는 경우는 종종 발견되었으나 대개는 지정된 Black List만 차단하는 식이었기에 다른 정상 프로그램에 미치는 피해는 거의 없었다. 그러나 Win-Adware/IEShow와 같이 White List에 등록된 것만 허용하는 식은 모든 정상 프로그램에 대한 목록을 갖고 있을 수는 없기에 대단히 위험한 방법이며 사용자에게 큰 불편을 초래할 수 있다.

무료 프로그램 업데이트와 같이 설치되는 애드웨어

리워드/키워드 프로그램과 같은 애드웨어들은 주로 무료 프로그램의 번들 형태로 설치가 된다. Win-Adware/IEShow도 이와 마찬가지로 인터넷에서 TV방송을 무료로 볼 수 있도록 해주는 프로그램을 통해 번들로 설치가 된다. 더욱이 3월 들어 Win-Adware/IEShow로 인한 피해가 급증한 탓은 WBC와 같은 스포츠 경기가 평일 낮 시간에 중계됨에 따라 인터넷 실시간 TV 시청프로그램에 대한 수요가 급증하였기 때문으로 보고 있다. Win-Adware/IEShow와 같은 프로그램이 설치되는 것을 막기 위해서는 무료 프로그램과 같이 검증되지 않은 프로그램을 설치하기 전에 어떠한 것들이 설치되는지 면밀히 확인해보는 사용자의 주의가 반드시 필요하겠다.<Ahn>

 

안철수연구소 시큐리티(ASEC)리포트 3월호.

'AhnLab 보안in' 카테고리의 다른 글

윈도우 7에 추가된 보안기능 세가지  (0) 2020.04.07
SMS 메시지 도청 프로그램 제공 이메일 주의  (0) 2020.04.07
컴퓨터의 공포 "블루스크린" 발생 3가지 원인 및 점검방법  (0) 2020.04.07
안전한 웹서핑 위해 이것만은 꼭 확인하자  (0) 2020.04.07
스팸 메일의 달콤한 유혹과 진화  (0) 2020.04.07

관련글

티스토리툴바