국내 애드웨어, 무엇이 나쁘고 어떻게 감염되는 것일까? (안철수 연구소) :: 2009.09.28 14:47

요즘 인터넷을 이용하는 집이라면 누구나 정체 모를 프로그램들이 하나, 둘 정도는 설치되어 있을 것이다. 이런 프로그램들은 어느 날 갑자기 눈에 들어오게 되는데, 사용자들은 당연히 ‘도대체 언제 설치된 것일까?’, ‘나는 웹 서핑 밖에 안 하는데?’라는 궁금증을 갖게 된다. 동영상(?)을 즐겨보는 남동생을 의심해보기도 하고, ‘바이러스가 설치된 것이 아닌가?’ 하고 컴퓨터를 잘하는 컴퓨터 공학과 친구(T –T why?)에게 문의하기도 한다.


지금까지의 경험 상 이런 프로그램들은 대부분 바이러스/웜 종류가 아닌 애드웨어 종류가 많다. 특히, 금전적인 이윤을 목적으로 배포되는 ‘리워드’ 및 ‘안티 멀웨어’, 그리고 ‘검색어 서비스’ 프로그램이 가장 많았다.


그럼 이런 프로그램들은 사용자에게 해로움을 입히는 것일까? 아니다. 누군가 “왜?” 라고 질문한다면, “그렇다면 무슨 피해를 입으셨습니까?” 라고 반문하고 싶다. 본인도 모르게 설치되고, 그냥 둬도 별 탈 없이 컴퓨터를 이용 할 수 있으니까 말이다.


‘애드웨어’는 누구나 피해를 체감 가능하고, 나쁜 프로그램이라는 것에 공감대를 갖고 있는 ‘바이러스/웜’과는 차원이 다르다. 이들은 주로 법의 테두리 내에서 그 빈틈을 노려 이익을 취하려고 하기 때문에 모든 사기가 그렇듯이 매우 교묘하다. 간단히 사례를 들면 다음과 같다.


국내 가짜 백신의 경우 한때 ‘거짓 진단 결과’를 갖고 사용자를 현혹하기도 하고, ‘자기가 설치한 프로그램을 진단하던 경우’ 도 있었다. 이런 행위는 초등학생이 보더라도 악성 행위인 것이 명백하다. 하지만, 국내 ‘스파이웨어 진단 기준 및 사례’가 발표된 이후로 이들도 지속적인 변화를 거쳤고, 최근에는 ‘의도된 오진’을 통해서 사용자들을 현혹하기 시작했다.



 
[그림 1] 국내 가짜 백신의 의도적인 오진 행위


[그림 1]의 사례에서 볼 수 있듯이 어느 시스템에나 있을 법한 레지스트리 정보를 진단하고 ‘보안 경고창’을 보여주어 사용자의 결제를 유도한다. 역시 사기다. 그러나 이런 경우 업체에서 “우리측 실수이다. 오진은 누구라도 가능하지 않느냐?” 라고 반문할 수 있기 때문에 법적 제재를 받을 수 없다. 현행 법규가 보다 강화되지 않는 이상 이러한 행위는 지속될 것이다.


또 다른 사례로 리워드 프로그램의 경우는 [그림 2]와 같이 쇼핑몰에서 구매하는 금액의 일부를 적립하여 돌려준다고 하는데, 실제 돌려 받는 사람은 희박하다. 이들은 사용자의 돈을 직접적으로 뺏어가는 방식은 아니고, 사용자의 검색 결과를 변조하여 쇼핑몰을 자기네 업체를 통해서 우회 접속되도록 한다. 이 경우 쇼핑몰에서 해당 업체에 일부 수익금을 전달한다. 사용자의 적립금 또한 일정 시일을 지나서도 찾아가지 않는 경우, 프로그램 언인스톨이 발생한 경우 등 여러가지 경우에 업체의 이익으로 돌아간다. 사용자의 직접적인 피해를 입히지는 않지만, 사용자 몰래 부당 이득을 취하고 있는 것이다. 이러한 장점 때문에 동종 업체들은 서로의 제품을 제거하거나 비활성화 하는 과열 경쟁 행위를 하기도 한다.



[그림 2] 쇼핑몰 접속 시 뜨는 적립 창


간단히 살펴본 것과 같이 애드웨어 업체들은 ‘위법’ 이라고 하기에는 어려운 교묘한 방법으로 부당한 이익을 취하고 있다. 쉽게 돈을 벌 수 있기 때문에 많은 업체들이 여기에 뛰어들고 있고, 보다 많은 피해자를 확보하기 위해서 프로그램의 배포 방식 또한 다양화되고 있다.


그럼 이런 프로그램들은 도대체 어떤 경로로 설치가 되고, 왜 사용자들은 알아차리지 못하는 것일까? ‘최근 이들이 배포되는 방식’에 대해서 살펴보고 ‘어떻게 하면 피할 수 있는지’ 알아보자.


과거 애드웨어가 한창 활기를 보이던 시기엔 ActiveX 를 통해 배포되는 것들이 대부분이었다. 그러나 AS(Anti-Spyware, 이하 AS)업체들이 활성화되고, 국내 스파이웨어 진단 기준이 정립되면서 ActiveX 에 의한 배포는 대부분 제약을 받게 되었고, 애드웨어 제작 업체들은 새로운 배포 방식을 찾아나서기 시작했다.

인스톨 프로그램에 포함된 번들을 통해 설치되는 경우
‘다음’ 만 누르다가는 큰(작은) 코 다침

그 중에 가장 일반적으로 이용되는 방식이 바로 ‘번들 설치’ 방식이다. 번들이란 IT에서 상용 제품을 구매할 때에 무료로 제공해주는 소프트웨어를 의미한다. 예를 들어 노트북을 구매할 경우 운영체제(OS)를 포함해 오피스 프로그램, AV(Anti-Virus, 이하 AV)제품 등 유용한 소프트웨어들을 함께 번들로 제공한다. 원래의 의미는 이처럼 사용자에게 ‘유용한’ 프로그램들을 서비스로 제공하는 것이었으나, 애드웨어 제작 업체들은 이를 악용하여 자사 프로그램들을 번들로 배포하기 시작했다. 그 한 예를 아래의 [그림 3]과 같이 P2P 프로그램의 설치 과정에서 제공되는 번들을 통해 확인 할 수 있다.



[그림 3] P2P 프로그램을 통해 설치되는 번들


위에서 제공되는 번들을 살펴보면, AS 프로그램과 보안 패치 프로그램, IE(인터넷 익스플로러, 이하 IE) 검색어 서비스 2종, 그리고 웹툰 감상 프로그램으로 이루어져 있다. 이러한 번들은 비록 P2P의 기능과 관련성이 거의 없지만, 제품명만 갖고서는 그 기능을 정확히 인식할 수 없기 때문에 다수의 사용자들은 별 생각없이 ‘동의함’ 버튼을 누르게 된다.

파일 다운로드 프로그램을 통해 몰래 설치되는 경우
‘세상에 공짜란 없다’는 진리다

이와 유사한 방식으로 [그림 4]와 같이 웹 자료실의 다운로드 프로그램이 번들을 설치하는 경우도 있다.



[그림 4] 자료실의 다운로더 프로그램에서의 번들 설치


이 경우는 사용자가 당연히 다운로드 기능만 있다고 생각을 하게 되기 때문에 번들이 함께 설치되는지 인식을 하기도 어렵고, 매번 다운로더가 뜰 때마다 번들 설치를 강요받기 때문에 ‘그냥 설치하고 말지’ 하는 생각을 갖게 만든다.

무료 게임 사이트의 게임 런쳐를 통해 몰래 설치되는 경우
잠깐 즐기려고 치르는 대가치고는…

이 밖의 유사 방식으로는 게임 런쳐를 통한 번들 설치가 있다. 아래의 [그림 5]에 나오는 화면은 국내의 유명 무료 게임 사이트에서 사용자에게 제공하는 ‘게임 정보 페이지’이다.



[그림 5] 무료 게임 사이트에서의 게임 런쳐 설치


위 그림을 보면 게임 시작을 위해서 ‘게임 실행 ActiveX를 실행’ 또는 ‘수동 게임 런쳐 설치’를 유도하고 있다. 런쳐를 설치한 이후 게임을 설치할 때 아래와 같은 창을 만날 수 있다.



[그림 6] 게임 런쳐 프로그램


[그림 6]에 나오는 설치 목록을 보면 단순 게임을 하나 실행 하는데 번들만 무려 7개(자사 번들 2개 제외)를 설치하려 하고 있다. 위의 P2P의 사례와 같이 본래의 기능(여기에선 게임)과는 전혀 무관한 프로그램들이 대부분이다. 더구나 위의 설치 창을 매 게임을 실행할 때마다 띄우기 때문에 귀찮은 사용자들이나 잘 모르는 사용자들은 그냥 설치하게 된다.


지금까지는 애드웨어들이 번들 설치 방식으로 배포되는 사례들을 살펴보았고, 다음 회에는 Zlob 방식으로 배포되는 애드웨어들의 사례들을 살펴보도록 하겠다.@

| ASEC 김용구 연구원

보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로, 무단 도용 및 배포를 금합니다.


다음으로, ‘번들 방식’ 이외에 ‘Win-Adware/Zlob(이하 Zlob)’ 과 같은 배포 방식이 있다. Zlob은 동영상을 감상하려고 하는 사용자들에게 자신을 코덱으로 위장해서 설치를 유도하는 애드웨어들을 말한다. 이러한 방식은 해외에서 많이 유행하고 있는데, 국내에서는 완전히 동일하지는 않고 약간 변형된 방식이 이용된다.


인터넷 동영상 컨텐츠를 이용해 설치를 유도하는 경우
단 몇 초 동영상 시청하는데 뭘 저리 설치하라고 하는 것일까?


가장 많은 피해를 입히는 방식으로는 포털 사이트의 동영상 감상 서비스를 이용하는 것이 있다. 포털 사이트에서 제공하는 동영상 컨텐츠는 스스로 제작한 것이 아니라, 몇몇 업체들이 제작한 동영상들을 검색해서 제공하게 되는데, 일부 애드웨어 업체들은 동영상의 시청 전에 애드웨어 설치 화면을 보여준다.


 
[그림 7] 국내 포털 사이트의 동영상 감상 서비스


위의 [그림 7]는 국내 포털 사이트에서 동영상을 검색한 화면이다. 사용자가 동영상을 클릭하면 아래의 [그림 8]과 같은 애드웨어 설치 창이 뜬다. 

[그림 8] 애드웨어 설치 창을 보여주는 동영상 서비스 


사용자들은 이 화면에서 무엇에 대해 설치하라는 것인지 정보를 얻기란 어렵다. 프로그램 설명 창과 글씨가 매우 작아 읽기도 불편하기 때문에 대부분 그냥 지나쳐 버리기 쉽다. 더구나, 별생각이 없이 이 창을 보게 되면 동영상 감상에 필요한 프로그램으로 착각하게 되어 당연히 ‘확인’ 버튼을 클릭하게 된다.


블로그 기사에 첨부된 파일을 통해 설치를 유도하는 경우
뭐든 첨부된 파일은 조심해야…


다른 형태의 Zlob 방식으로는 블로그 기사를 이용하는 것도 있다. 이 방식은 최근 많은 관심이나 주목을 받고 있는 이슈에 대해서 기사를 작성하고, 관련된 자료로 애드웨어의 설치 프로그램을 첨부하는 방식이다. 아래 [그림 9]에 보이는 블로그는 Zlob 방식에 부합하는 일례로 볼 수 있다.



[그림 9] 애드웨어를 배포하는 국내 블로그


위에 보면, 최근 이슈가 되고 있는 내용으로 기사의 제목을 달아 사용자들의 관심을 끌고, 첨부된 압축 파일을 다운받아서 실행해봐야 할 것처럼 글을 작성하였다. 아래의 [그림 10]은 6월 한달 동안 해당 블로그에서 발행한 기사들이다. 모두 사람들의 관심을 끌만한 연예계 이슈를 주제로 하고 있다.


 
[그림 10] 애드웨어 배포 블로그의 기사 목록


기사는 매우 다양하지만, 실제로 첨부 파일들은 거의 동일하고, [그림 11]과 같이 국내 애드웨어 3종(키워드, 리워드, 툴바)을 설치하는 기능을 갖고 있다.


 
[그림 11] 첨부된 프로그램 실행화면


이러한 형태는 최근 국내 블로그가 활성화 되면서 등장하였으며, 발견된 것은 올해 4월 즈음이다. 아직 큰 피해가 보고되고 있지는 않지만, 해당 블로그의 방문객 수가 5만 명이 넘는 것으로 봐서는 상당 수의 사용자들이 피해에 노출되어 있다고 볼 수 있다.


동영상 코덱으로 위장하는 고전적인 방식
이건 센스 문제


국내ㆍ외 모두 일반적으로 이용되는 방식으로 허위 동영상 코덱(Codec) 방식이 있다. 국내에서는 블로그의 기사에 허위 동영상을 업로드하는데, 이는 허위 Youtube 사이트에 동영상을 서비스하는 해외의 그것과는 다른 점이다. 예를 들면, [그림 12] 와 같이 사용자들에게 많이 익숙한 동영상 서비스로 위장하여 기사가 올라오는데, 실제 저 동영상은 단순 이미지로 애드웨어의 설치 파일이 링크로 걸려 있다.


 
[그림 12] 첨부된 프로그램 실행화면


소스를 통해 살펴보면 [그림 13]과 같이 하이퍼링크(Hyperlink)의 대상이 이미지로 설정되어 있다. 그래서 사용자가 이미지를 클릭(Click) 하면 [그림 14]와 같이 파일 다운로드가 발생하는 것을 볼 수 있다.


 
[그림 13] 동영상 이미지 부분의 실제 HTML 소스


 
[그림 14] 이미지를 클릭할 시 발생하는 파일 다운로드


이 설치 프로그램은 두 차례의 설치 화면을 보여주는데, 첫 번째에서는 [그림 15]와 같이 4종류의 애드웨어가 설치되며, 두 번째에는 실제의 정상 코덱(K-Lite Codec Pack)이 설치된다. 

   
[그림 15] 실제로 설치되는 애드웨어들


이 때 설치되는 애드웨어들은 백그라운드 모드로 동작하기 떄문에 사용자가 인식하기 힘들며, 정상 코덱팩이 함께 설치되기 때문에 악성으로 의심하기 힘들다.


이러한 경우를 피하기 위해 사용자가 할 수 있는 대비책이라고 한다면, 신뢰할 수 있는 파일 공유 사이트 및 제작사 홈페이지를 통해 원하는 프로그램들을 받는 방법이 가장 좋은 방법이고, 파워 유저라면 샌드박스(Sandbox) 프로그램을 통해 가상으로 설치해보는 방법이 있겠다.


지금까지 최근 국내 애드웨어 제작 업체들이 많이 이용하고 있는 몇 가지 배포 방식들에 대해서 살펴보았다. 인터넷을 이용하는 사용자라면 하루 한번쯤은 마주쳤을 만큼 친숙한 배포 경로이고, 실제로도 고객들의 피해 신고가 다수 접수되고 있다.


이러한 피해를 막기 위해서는 ‘적을 알고 나를 알면 백전 백승’이라는 손자의 말과 같이 우선 많이 아는 것이 중요하다. 이번의 기사에서 소개한 것과 같이 애드웨어들이 배포되는 방식에 대해서 알고, 인터넷을 이용하는 동안 주의를 한다면 스스로도 모르는 사이에 이러한 프로그램들이 설치되는 것을 피할 수 있다. 더불어 국내의 스파이웨어 진단 기준이 이러한 애드웨어들을 진단할 수 있도록 보다 개선이 된다면 깨끗한 인터넷 환경이 이뤄질 수 있을 것이다.



| ASEC 김용구 연구원

보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로, 무단 도용 및 배포를 금합니다.

신고