본문 바로가기
AhnLab 보안in

스파이웨어, 왜 어떻게 감염되는 것일까?

by 보안세상 2020. 4. 8.

2009.08.28

 

국내 애드웨어 및 스파이웨어,
무엇이 나쁘고 어떻게 감염되는 것일까?
 

요즘 인터넷을 이용하는 집이라면 누구나 정체 모를 프로그램들이 하나, 둘 정도는 설치되어 있을 것이다. 이런 프로그램들은 어느 날 갑자기 눈에 들어오게 되는데, 사용자들은 당연히 ‘도대체 언제 설치된 것일까?’, ‘나는 웹 서핑 밖에 안 하는데?’라는 궁금증을 갖게 된다. 동영상(?)을 즐겨보는 남동생을 의심해보기도 하고, ‘바이러스가 설치된 것이 아닌가?’ 하고 컴퓨터를 잘하는 컴퓨터 공학과 친구(T –T why?)에게 문의하기도 한다.

 

지금까지의 경험 상 이런 프로그램들은 대부분 바이러스/웜 종류가 아닌 애드웨어 종류가 많다. 특히, 금전적인 이윤을 목적으로 배포되는 ‘리워드’ 및 ‘안티 멀웨어’, 그리고 ‘검색어 서비스’ 프로그램이 가장 많았다.

 

그럼 이런 프로그램들은 사용자에게 해로움을 입히는 것일까? 아니다. 누군가 “왜?” 라고 질문한다면, “그렇다면 무슨 피해를 입으셨습니까?” 라고 반문하고 싶다. 본인도 모르게 설치되고, 그냥 둬도 별 탈 없이 컴퓨터를 이용 할 수 있으니까 말이다.

 

‘애드웨어’는 누구나 피해를 체감 가능하고, 나쁜 프로그램이라는 것에 공감대를 갖고 있는 ‘바이러스/웜’과는 차원이 다르다. 이들은 주로 법의 테두리 내에서 그 빈틈을 노려 이익을 취하려고 하기 때문에 모든 사기가 그렇듯이 매우 교묘하다. 간단히 사례를 들면 다음과 같다.

 

국내 가짜 백신의 경우 한때 ‘거짓 진단 결과’를 갖고 사용자를 현혹하기도 하고, ‘자기가 설치한 프로그램을 진단하던 경우’ 도 있었다. 이런 행위는 초등학생이 보더라도 악성 행위인 것이 명백하다. 하지만, 국내 ‘스파이웨어 진단 기준 및 사례’가 발표된 이후로 이들도 지속적인 변화를 거쳤고, 최근에는 ‘의도된 오진’을 통해서 사용자들을 현혹하기 시작했다.
 

[그림 1] 국내 가짜 백신의 의도적인 오진 행위

 

[그림 1]의 사례에서 볼 수 있듯이 어느 시스템에나 있을 법한 레지스트리 정보를 진단하고 ‘보안 경고창’을 보여주어 사용자의 결제를 유도한다. 역시 사기다.

그러나 이런 경우 업체에서 “우리측 실수이다. 오진은 누구라도 가능하지 않느냐?” 라고 반문할 수 있기 때문에 법적 제재를 받을 수 없다. 현행 법규가 보다 강화되지 않는 이상 이러한 행위는 지속될 것이다.

 

또 다른 사례로 리워드 프로그램의 경우는 [그림 2]와 같이 쇼핑몰에서 구매하는 금액의 일부를 적립하여 돌려준다고 하는데, 실제 돌려 받는 사람은 희박하다. 이들은 사용자의 돈을 직접적으로 뺏어가는 방식은 아니고, 사용자의 검색 결과를 변조하여 쇼핑몰을 자기네 업체를 통해서 우회 접속되도록 한다. 이 경우 쇼핑몰에서 해당 업체에 일부 수익금을 전달한다.

사용자의 적립금 또한 일정 시일을 지나서도 찾아가지 않는 경우, 프로그램 언인스톨이 발생한 경우 등 여러가지 경우에 업체의 이익으로 돌아간다. 사용자의 직접적인 피해를 입히지는 않지만, 사용자 몰래 부당 이득을 취하고 있는 것이다. 이러한 장점 때문에 동종 업체들은 서로의 제품을 제거하거나 비활성화 하는 과열 경쟁 행위를 하기도 한다.
                           

[그림 2] 쇼핑몰 접속 시 뜨는 적립 창

 

간단히 살펴본 것과 같이 애드웨어 업체들은 ‘위법’ 이라고 하기에는 어려운 교묘한 방법으로 부당한 이익을 취하고 있다. 쉽게 돈을 벌 수 있기 때문에 많은 업체들이 여기에 뛰어들고 있고, 보다 많은 피해자를 확보하기 위해서 프로그램의 배포 방식 또한 다양화되고 있다.

 

그럼 이런 프로그램들은 도대체 어떤 경로로 설치가 되고, 왜 사용자들은 알아차리지 못하는 것일까? ‘최근 이들이 배포되는 방식’에 대해서 살펴보고 ‘어떻게 하면 피할 수 있는지’ 알아보자.

 

과거 애드웨어가 한창 활기를 보이던 시기엔 ActiveX 를 통해 배포되는 것들이 대부분이었다. 그러나 AS(Anti-Spyware, 이하 AS)업체들이 활성화되고, 국내 스파이웨어 진단 기준이 정립되면서 ActiveX 에 의한 배포는 대부분 제약을 받게 되었고, 애드웨어 제작 업체들은 새로운 배포 방식을 찾아나서기 시작했다.

 

인스톨 프로그램에 포함된 번들을 통해 설치되는 경우
‘다음’ 만 누르다가는 큰(작은) 코 다침

[그림 3] P2P 프로그램을 통해 설치되는 번들


그 중에 가장 일반적으로 이용되는 방식이 바로 ‘번들 설치’ 방식이다. 번들이란 IT에서 상용 제품을 구매할 때에 무료로 제공해주는 소프트웨어를 의미한다. 예를 들어 노트북을 구매할 경우 운영체제(OS)를 포함해 오피스 프로그램, AV(Anti-Virus, 이하 AV)제품 등 유용한 소프트웨어들을 함께 번들로 제공한다.

원래의 의미는 이처럼 사용자에게 ‘유용한’ 프로그램들을 서비스로 제공하는 것이었으나, 애드웨어 제작 업체들은 이를 악용하여 자사 프로그램들을 번들로 배포하기 시작했다. 그 한 예를 아래의 [그림 3]과 같이 P2P 프로그램의 설치 과정에서 제공되는 번들을 통해 확인 할 수 있다.

 

위에서 제공되는 번들을 살펴보면, AS 프로그램과 보안 패치 프로그램, IE(인터넷 익스플로러, 이하 IE) 검색어 서비스 2종, 그리고 웹툰 감상 프로그램으로 이루어져 있다. 이러한 번들은 비록 P2P의 기능과 관련성이 거의 없지만, 제품명만 갖고서는 그 기능을 정확히 인식할 수 없기 때문에 다수의 사용자들은 별 생각없이 ‘동의함’ 버튼을 누르게 된다.

 

파일 다운로드 프로그램을 통해 몰래 설치되는 경우
‘세상에 공짜란 없다’는 진리다

 

이와 유사한 방식으로 [그림 4]와 같이 웹 자료실의 다운로드 프로그램이 번들을 설치하는 경우도 있다.

[그림 4] 자료실의 다운로더 프로그램에서의 번들 설치

 

이 경우는 사용자가 당연히 다운로드 기능만 있다고 생각을 하게 되기 때문에 번들이 함께 설치되는지 인식을 하기도 어렵고, 매번 다운로더가 뜰 때마다 번들 설치를 강요받기 때문에 ‘그냥 설치하고 말지’ 하는 생각을 갖게 만든다.

 

무료 게임 사이트의 게임 런쳐를 통해 몰래 설치되는 경우
잠깐 즐기려고 치르는 대가치고는…

 

이 밖의 유사 방식으로는 게임 런쳐를 통한 번들 설치가 있다. 아래의 [그림 5]에 나오는 화면은 국내의 유명 무료 게임 사이트에서 사용자에게 제공하는 ‘게임 정보 페이지’이다.

[그림 5] 무료 게임 사이트에서의 게임 런쳐 설치

 

위 그림을 보면 게임 시작을 위해서 ‘게임 실행 ActiveX를 실행’ 또는 ‘수동 게임 런쳐 설치’를 유도하고 있다. 런쳐를 설치한 이후 게임을 설치할 때 아래와 같은 창을 만날 수 있다.

[그림 6] 게임 런쳐 프로그램

 

[그림 6]에 나오는 설치 목록을 보면 단순 게임을 하나 실행 하는데 번들만 무려 7개(자사 번들 2개 제외)를 설치하려 하고 있다. 위의 P2P의 사례와 같이 본래의 기능(여기에선 게임)과는 전혀 무관한 프로그램들이 대부분이다. 더구나 위의 설치 창을 매 게임을 실행할 때마다 띄우기 때문에 귀찮은 사용자들이나 잘 모르는 사용자들은 그냥 설치하게 된다.

 

- 출처 : 안철수연구소

 

위 글은 안랩닷컴  

  페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D