1. 개요


잉카인터넷 대응팀은 nProtect 고유 브랜드와 유사한 이름의 국내 특정 프로그램이 일명 Virut 이라는 진단명을 가진 파일 바이러스에 감염된 상태로 장기간 무단 방치되고 있는 것을 확인하였다. 해당 프로그램은 개인정보 무단유출에 대한 보호 기능을 제공하는 형태로 서비스되고 있고, 제품 홈페이지에 삭제프로그램도 제공하고 있으나, 해당 파일에도 바이러스가 감염되어 있어 각별한 주의가 필요하다. 고의적이든 실수이든 결국 보안프로그램 스스로가 컴퓨터 바이러스를 배포하는 상황이기 때문에 보안 관리가 총체적으로 부실한 상태로 보여진다.



수년 전부터 국내 유수의 웹 사이트들에 대한 다수의 해킹사고로 다량의 고객정보가  빈번히 유출된 바 있고, 무분별한 자료 보관과 과도한 개인정보 수집 등으로 다양한 부작용과 사회적인 문제로 대두된 바 있다. 이에 지난 2011년 09월 30일자로 개정된 개인정보보호법이 약 6개월 간의 계도기간을 거쳐 2012년 03월 30일부터 본격 시행되고 있으며, 홍보 및 계도기간이 종료된 이후부터는 법 위반시 바로 처벌대상이 될 수 있다.

이에 개인정보 유출 방지와 관련된 다양한 보안 서비스가 등장하고 있는데, 이러한 프로그램은 사용자가 컴퓨터에 편의상 무의식적으로 보관하고 있는 주민번호나 신용카드 번호, 사생활용 개인정보를 정확하게 검색하고 알려주는 긍정적 측면도 있지만, 반면 유사프로그램 중 일부는 사용자 컴퓨터에 정상적으로 존재하는 쿠키나 임시파일 또는 단순 설정파일만을 탐지한 후 마치 위험한 파일로 분류하여, 유료 과금 결제를 유도하는 경우도 종종 있으므로, 사용자 스스로 꼼꼼하게 진단내역을 살펴보는 노력을 기울여야 한다.

□ 한국인터넷진흥원 개인정보보호 : http://privacy.kisa.or.kr
□ 행정안전부 개인정보보호 종합지원 포털 : http://www.privacy.go.kr


2. 배포 및 감염 과정

해당 파일들은 개인정보 보호 전문프로그램으로 소개되고 있는데, 이상하게도 설치 과정 시 사용자 컴퓨터의 물리적 네트워크 정보인 MAC 주소를 해당 웹사이트의 서버로 전달 시도하는 과정을 수행한다. 개인정보를 보호하는 취지와는 부합되지 않고 오히려 사용자의 정보를 외부에서 수집하는 이면성을 가지고 있다고 할 수도 있다.

http://www.일부생략.co.kr/app_linkage/app_setting.php?mac=00-03-(일부생략)-B4-43
http://www.일부생략.co.kr/app_linkage/app_install.php?addr=00-03-(일부생략)-B4-43&ptn=admin
http://www.일부생략.co.kr/popup_settle.html?addr=00-03-(일부생략)-B4-43


이후에 다음의 경로에서 업데이트를 수행하는데, 이 과정에서 Virut 바이러스에 감염된 모듈이 추가로 설치된다. Virut 바이러스는 정상적인 실행파일(EXE, SCR) 형태를 감염시키는 기생형 바이러스의 종류로 정상적인 내부 코드가 변경되기 때문에 전문 치료 기술을 보유한 Anti-Virus 프로그램으로 치료를 하여야 하는 종류이다. 

http://down.일부생략.co.kr/update.php
http://www.일부생략.co.kr/app_linkage/app_boot.php?ver=.0.4.5.3
http://down.일부생략.co.kr/rptupdater.exe - Virut 바이러스 감염
http://down.일부생략.co.kr/rpthk.dll
http://down.일부생략.co.kr/rptuninst.exe - Virut 바이러스 감염
http://down.일부생략.co.kr/rptwcher.exe - Virut 바이러스 감염
http://down.일부생략.co.kr/rptpopd.dll
http://down.일부생략.co.kr/rprotector.exe - Virut 바이러스 감염

진단된 내역은 대부분 임시파일, 인터넷 방문기록, 인터넷 쿠키, 최근문서 기록 등으로 특별히 악용 가능이 높지 않으며, 대부분 인터넷 사용시에 생성되는 파일들이다.

 


물론, 인터넷 사용 기록이나 일부 파일들이 외부에 노출될 경우 사생활 침해의 우려가 있을 수도 있지만 대부분 인터넷 옵션 등을 통해서 검색 기록 등을 쉽게 제거할 수 있으니, 이런 기능을 활용하는 것도 좋은 방법이다.


프로그램을 소개하고 있는 공식 웹 사이트에서는 삭제 프로그램도 별도로 제공하고 있는데, 이 파일도 역시 Virut 바이러스에 감염된 상태로 배포가 이루어지고 있는 실정이다. 따라서 삭제 프로그램을 다운로드하는 사용자는 바이러스에 감염될 수 있는 보안 위협에 노출되게 된다.

잉카인터넷 대응팀은 해당 유포지에 대한 신속하고 원활한 조치를 위하여 한국인터넷진흥원(KISA) 등 유관기관에 관련 정보를 제공한 상태이다.

 

3. 마무리

프로그램 개발자는 자신이 만든 프로그램이 보안상 무결성한 상태인지 반드시 품질 검증 절차를 거쳐야 한다. 바이러스에 감염된 모듈을 무기한 방치하거나 일반 사용자에게 직간접적으로 배포할 경우에는 도의적 책임을 져야 하기 때문이다. 또한, 개인사용자들의 경우에는 가급적 중요 정보를 컴퓨터에 보관하지 않도록 하고, 부득이하게 컴퓨터에 보관할 경우 암호화(압축)하여 보관하도록 하는 노력이 필요하다.

아울러 Virut 바이러스에 감염된 경우는 nProtect Anti-Virus 최신 버전으로 진단/치료가 가능하다.


그외에 다음과 같은 기본적인 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크(단축URL) 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

최근 스마트폰을 통한 사용자 위치추적이 화제가 되고 있다. 아이폰은 물론, 안드로이드 기반의 스마트폰에서도 동일하게 사용자의 위치정보를 지속적으로 저장해온 것으로 알려지면서 해당 제조업체들의 해명에 따라 불법적인 개인 사생활 침해가 지속적인 논란거리로 작용할 전망이다. 스마트폰 사용자의 위치정보는 기존에도 이미 스마트폰용 어플리케이션에 의해 주기적인 시간 단위로 저장되어 특정 서버로 전송되는 사례가 있었으며, 몇몇 어플리케이션들은 이미 악성 어플리케이션으로 분류되어 있기도 하다.


악용 가능성이 있는 위와 같은 기능이 스마트폰 OS 및 단말기 제조사에서 사용자 몰래 버젓이 사용되고 있는 것으로 밝혀지면서 이제는 점차 확대되고 있는 스마트폰 보안 위협에 대한 패러다임을 재조명하고 사회적 관심 및 사례를 통해 이것을 바로잡을 수 있는 계기마련이 필요할 것 같다.

현재, 스마트폰에 대한 보안 위협을 사례를 통해 살펴본다면, 이번 사용자 위치추적과 같은 "개인 사생활 정보 침해" 형태만을 가지는 경우와 "개인 사생활 정보 침해", "이용 과금 등을 통한 금전적 피해"를 모두 포함하는 "종합적인 형태" 두 가지로 종합, 요약해볼 수 있을 것 같다.

◆ 개인 사생활 정보 침해

먼저, 최근 가장 화제가 되고 있는 사용자 위치추적에 대해 살펴보도록 하자.

위 그림은 애플, 구글 양사의 사용자 위치정보 저장 방식에 대한 비교표이다. 사용자의 위치 정보를 저장하는 목적이 서비스 개선이나 어플리케이션의 기능 구현 등 선의의 목적을 가지고 있다 하더라도 사용자의 동의 없이 위와 같은 기능을 동작케 한다면 결과적으로 악의적인 용도로 사용된 악성 기능이 될 수 있을 것이다.

결국 중요한 점은 위 그림과 같은 사용자 위치 정보의 저장 방식이 아닌 위치 정보 수집에 대한 확실한 공지이다. 물론, 애플에서는 약관을 통한 공지 사실을 주장하지만 개인정보 수집 공지는 사용자가 확실히 인지할 수 있는 수준이어야 할 것이다.

아래의 그림은 필자가 사용중인 아이폰의 위치 정보 저장 여부를 살펴보기 위한 참고 자료이다.

집과 회사만 왕복중이라고 생각했는데 아닌것 같다. 이동했던 경로는 모조리 저장되고 있음이 확인 가능했으며, 자세하게는 한 지역의 동, 블록까지 넓게는 출장 차 중국에 다녀온 해외 기록까지 모두 세세히 저장되어 있었다.

◆ 종합적인 형태

"개인 사생활 정보 침해"와 "이용 과금 등을 통한 금전적 피해" 두 가지 형태를 모두 포함하는 경우는 악성 어플리케이션을 통해 사례를 살펴볼 수 있다.

  

[안드로이드용 모바일 악성프로그램 FakePlayer 변종 출현!]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=99

[Android 용 스마트 폰 악성코드에 대한 최근 이슈 정리.]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=95
  

현재도 지속적으로 발견되고 있는 악성 어플리케이션들은 대부분 이러한 기능을 탑재하고 있으며, 특정 광고 목적을 가지고 양산되는 경우가 일반적이다. 여기서 특정 광고 목적이란 PC상의 여느 악성파일들과 마찬가지로 누군가의 금전적 이득을 말한다.

국내에서는 위치기반 서비스 산업이 시장성 가치가 크기 때문에 사용자의 위치 정보는 모바일 광고 서비스 업체의 중요 데이터가 될 수 있다. 위와 같은 "개인 사생활 정보 침해" 기능의 악성 어플리케이션 제작자들은 이러한 점을 노리고 탈취한 개인정보를 통해 금전적 이득을 취하고 있는 것으로 알려져있다.

최근 이슈가 되었던 SMS 포워딩 기능의 악성 어플리케이션은 약간 다른 형태로 개인 사생활 정보 침해를 통한 금전적 피해를 유발하게 된다.

감염된 사용자의 스마트폰에 수신되는 메시지를 특정 휴대폰에 사용자 모르게 전송하여 개인 사생활 정보를 침해하며, 전송시 발생하는 SMS 이용 과금을 통해 감염된 스마트폰의 사용자에게 금전적 피해를 유발할 수 있다.

해당 악성 어플리케이션의 특징은 설치 후 별도의 실행 아이콘이 보이지 않는다는 점과 특정 문자("000")를 해당 스마트폰에 전송할 경우 해당 악성 어플리케이션이 실행된다는 점이다.

아래의 그림을 통해 자세히 살펴보도록 하자.

※ 감염 순서 및 증상 설명


감염 시킬 스마트폰에 해당 악성 어플리케이션을 설치 -> 특정 문자("000")를 전송 -> 악성 어플리케이션 실행 -> 메인창 출력 -> "Agree" 터치

적색 문구와 같이 해당 부분에 문자 메시지를 포워딩 받을 전화번호를 입력한 후 "Save" 터치

②번 항목에서 설정을 모두 마친 후 감염된 스마트폰에 문자 메시지가 도착한 화면

②번 항목을 통해 입력한 전화번호의 휴대폰 화면이다. 감염된 스마트폰에 문자 메시지가 도착할 경우 ④번 항목과 같이 설정 시 입력된 전화번호의 휴대폰으로 모든 문자 메시지가 포워딩 된다.

스마트폰 보급 초기에 출현했던 악성 어플리케이션들은 단독으로 제작되어 블랙마켓을 통해 유포되는 경우가 대부분이었으나, 최근에는 정상 어플리케이션에 악성 기능을 추가해 재패키징을 통한 유포가 주류를 이루고 있다. 이러한 경우 스마트폰 어플리케이션 등의 다운로드 및 사용에 주의를 기울여도 일반 사용자 입장에서 어플리케이션 다운로드 시 소스 코드 확인 등이 어렵기 때문에 의도치 않게 악성 어플리케이션 감염이 이루어질 수 있다. 이는 곧 사용자들의 주의와 관심만으로는 더이상 안전한 스마트폰 사용이 어렵다는 얘기다.

이제 스마트폰은 우리의 일상 생활에 없어서는 안되는 필수 아이템이 되었다. 스마트폰을 통해 각종 금융 거래를 할 수 있고, 많은 사람들과 의사 소통을 할 수 있으며, 업무를 수행하고, 문화를 즐기고 지식을 공유할 수 있다. 이러한 편의적 기능에 편승해 생겨나고 있는 많은 보안 위협으로부터 안전하기 위해서는 이제 "적절한 정책""보안 유지를 위한 기능" 마련이 우선되야 할 것이다.

"적절한 정책"으로는 블랙 마켓에 대한 정책적 제한과 어플리케이션의 감시 등 일종의 검증 절차가 따를 수 있을 것이며, "보안 유지를 위한 기능"으로는 신뢰할 수 있는 보안 업체에서 제공하는 스마트폰용 모바일 백신을 예로들 수 있을 것이다.

보안 위협으로부터 안전하기 위한 두가지 방법중 "적절한 정책"은 당장 적용하기에 어려움이 있다. 때문에 현재 보안 위협으로부터 대응할 수 있는 스마트폰용 모바일 백신을 이용하는 것이 스마트폰 사용자 입장에서는 안전을 위한 최선의 방법이 될 수 있을 것이다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 스마트폰 모바일 보안 위협을 비롯해 다양한 보안 위협에 대응하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect