다운로드 프로그램으로 위장한 애드웨어 배포 주의

 



 

1. 개요

컴퓨터를 사용하다보면 컴퓨터 문의 중 한 번쯤 이런 말을 들어봤을 것이다. “아무것도 하지 않았는데 컴퓨터가 느려졌어요.” “인터넷을 하는데 자꾸 이상한 광고가 나와요. 고쳐주세요.” 이런 문제가 있는 PC를 들여다보면 대부분 애드웨어가 원인인 것으로 밝혀진다.


애드웨어의 유포는 여러 경로지만, 보통 특정 프로그램을 설치할 때 사용자가 인지하기 힘든 방식으로 추가 설치되어 골치를 꽤 썪이곤 한다. 사실 추가설치 자체는 잘못된 방식이 아니다. 마이크로소프트사의 오피스 프로그램만 하더라도 ‘워드’만 설치할지, ‘엑셀’도 설치할지 사용자 편의에 맞게 프로그램 설치를 할 수 있기에 추 후 있을 사항을 대비해 추가설치는 꼭 필요한 형태의 설치 방식이다. 또한 이렇게 설치되는 프로그램은 대게 원본 프로그램의 동작에 필수적인 드라이버 등이거나 그와 연관된 프로그램이 대부분이다.


문제는 애드웨어는 원본 프로그램 설치에 필수적이지 않다는 것이다. 동작 또한 원치 않는 광고를 출력하거나, 사용자가 인지할 수 없게 자사 광고를 클릭해 광고수익을 올리는 동작을 한다. 만약 사용자가 광고를 보고 싶어 하더라도, 애드웨어가 설치되는 과정을 본다면 과연 적절한 절차를 따르는지 의문이다. 


핵심은 애드웨어가 ‘사용자가 분명히 인지할 수 있는 방식으로’ 추가설치를 안내하는지 여부이다. 애드웨어의 유포는 속칭 ‘끼워팔기’라고도 불리는데, 아래의 애드웨어의 설치화면을 본다면 그 이유를 확실히 알 수 있다.



[그림] 애드웨어 설치화면




ChaosOne.exe 란 프로그램을 다운받기 위한 단순 다운로더처럼 보이는 이 프로그램은 “제휴 프로그램 추가 설치 및 약관에 동의합니다” 란 문구 아래 설치할 제휴프로그램의 목록이 나열된 애드웨어이다. 그림에서 확인할 수 있듯이 설치 할 제휴 프로그램은 화살표를 클릭하지 않는 한 사용자가 인지할 수 없음은 물론이고, 모든 제휴 프로그램이 기본적으로 체크되어 있기 때문에 ‘실행’ 혹은 ‘저장’ 버튼을 누르면 부지불식간에 모든 추가 제휴 프로그램이 다운로드 및 설치된다.


이처럼 ‘사용자가 원치 않을만한 광고동작’, ‘인지하기 힘든 형태의 추가설치’란 특성으로 인해 애드웨어는 PUP(Potentially Unwanted Program)라 불리기도 한다.


아래 표는 정상 인스톨러와 애드웨어 인스톨러가 설치하는 추가 옵션 프로그램의 성격을 간략하게 나타낸다.



 구

정상 인스톨러

애드웨어 인스톨러

옵션 프로그램

경우에 따라 있음

있음

옵션 프로그램의 성격

원본 설치파일의 동작에 필수적이거나 연관 프로그램

광고, 클릭커, 사용정보 유출

옵션 설치 안내여부

있음(전체 목록이 한 화면에 노출)

있거나 없음(일부 목록만 노출)

옵션 설치방식

원본 설치파일에 포함(경우에 따라 다운로드)

다운로드

옵션 프로그램 약관

원본 설치파일에 포함

다운로드


[표] 정상 설치 프로그램과 애드웨어 설치 프로그램의 차이




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

23-12369_chaosone.exe

파일크기

953,120 byte

진단명

Downloader/W32.W***til.N3.A

악성동작

추가 애드웨어 다운로드

네트워크

 http://pil****e.blogspot.kr/ (유포지)








 



2-2. 유포 경로

23-12369_chaosone.exe 는 개인 블로그로 위장한 http://pil****e.blogspot.kr/ 에서 유포되었다. 애드웨어는 대게 이력서, 플래시 게임, 각종 유틸리티 프로그램 등 검색에 자주 노출될 만한 키워드로 블로그 글을 작성하고, 해당 글에 첨부파일로 첨부되어 유포된다.

이 파일의 경우 게임 워크레프트3의 유틸리티로 위장하여 유포되고 있다. 이 블로그의 첨부파일 다운로드 URL은 애드웨어 유포업체 w***til.com 임을 확인할 수 있다. 외부 링크를 사용하기 때문에 첨부파일은 언제든지 교체될 여지가 있고, 실제로 3~4개월마다 파일을 교체하여 백신업체의 진단을 피하는 모습을 보인다.





[그림] 첨부파일 다운로드 URL




2-3. 실행 과정

23-12369_chaosone.exe 는 최초 실행 시 자사 URL로부터 실제 다운로드 할 파일(여기서는 ChaosOne.exe)의 정보와 추가 다운로드 할 애드웨어의 정보를 얻어온다. ‘실행’ 혹은 ‘저장’ 버튼을 누를 경우 사용자가 원래 받고자 했던 ChaosOne.exe와 함께 10여 개의 애드웨어가 설치된다.




[그림] 다운로드 정보




www.w***til.com/down2/dnfile_101216.ini.php 파일을 확인할 경우 아래와 같은 내용을 확인할 수 있으며, 이용약관, 설치파일 다운로드 URL, 설치 폴더, 설치 파라미터 등 애드웨어 설치에 관한 아주 자세한 정보가 담겨있다.


[검색도우미-**]

agrurl=http://th**m.co.kr/sub/pop01.htm

dnurl=http://www.th**m.co.kr/bin/tam_s01.exe

cnturl=

chkpath={program files}

params=/s

 

[* 아이콘]

agrurl=http://ut***ada.com/down2/KPISS.txt

dnurl=http://www.lot***op.co.kr/bacon/bacon.exe

cnturl=

chkpath={program files}

params=

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터

 

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터


[그림] 애드웨어 설치정보



3. 악성 동작

3-1. 광고동작

동시에 설치되는 애드웨어의 종류가 워낙 많기에 각각의 광고동작을 일일이 나열하는 것은 무의미하다. 아래는 일부 애드웨어의 약관을 토대로 해당 기능을 간략히 나열한 것이다. 대부분 추가 광고노출, 추가 제휴프로그램 다운로드, 개인정보 수집에 관한 내용이다.



(전략) 특정 웹사이트가 자체 웹페이지 또는 팝업창 형태로 연결되게 됩니다.

(전략) URL을 키워드로 인식하여 특정 배너(동영상,이미지,음원등을 포함)등을 (중략) 화면의 중간 또는 웹페이지의 여백등에 배너가 노출되어 집니다.

(전략) 사용자가 방문하려는 사이트와 관련된 다른 사이트를 팝업, 팝언더, 후팝업, 웹브라우저 탭등의 다양한 방식으로 보여주거나 (후략)

(전략) 사이트 바로가기 버튼을 제공하며, 클릭 시 해당 사이트로 바로 연결 되는 서비스를 제공합니다.

(전략) 다양한 형태의 상업적, 비상업적 또는 유, 무료 서비스 또는 컨텐츠, 광고 등을 (중략) 사용자에게 제공할 수 있습니다.

(전략) 새탭의 시작페이지가 변경 재설정 됩니다.

(전략) 추가적인 정보결과페이지(컨텐츠 및 광고상품)를 노출, 제공합니다.

사용자가 최근 열람한 상품 및 관심상품이 (중략) 일정 기간동안 일정한 횟수로 재노출되는 방식으로 광고서비스가 제공되어 집니다.

(전략) 기본탭외에 새탭에 (중략) 추가적인 정보결과페이지(컨테츠 및 광고상품)를 노출, 제공합니다.

(전략) 별도(제휴업체)의 소프트웨어를 제공(추천, 업데이트) 할 수 있습니다.

(전략) 본 소프트웨어 외에 광고 , 컨텐츠 및 기타 서비스를 직접 제공할 수 있습니다.

(전략) 사용자의 개인정보나 PC의 데이터를 수집하고 사용할 수 있습니다.

(전략) 검색엔진이나 주소창 등에서 검색어를 입력하여 나타나는 결과와 연관되는 제3자의 상업적 내용을 사용자의 PC에 전송할 수 있습니다.


[그림] 약관을 토대로 한 애드웨어 동작




4. 결론

애드웨어는 다운로드 받고자 하는 프로그램의 다운로드 성공/실패 여부와 관계 없이 백그라운드로 설치된다. 또한 별도의 설치과정 등이 육안으로 보이지 않아 사용자가 추가 프로그램이 설치되고 있음을 인지못하며 중간에 중지할 수 없고, 하단의 동의 및 설치할 프로그램들이 모두 기본적으로 체크되어 있어 해당 목록을 조회함에 있어 추가적인 동작이 필요하다. 


따라서, 애드웨어는 사용자에게 충분히 설치 여부를 알렸다고 보기 어렵다. 이는 “정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조의 5: 정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.”에서 말하는 이용자의 동의를 받아야 한다. 에 저촉될수 있다고 볼 수 있다.


상기 다운로더와 해당 다운로더로 다운로드된 제휴 프로그램은 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware 에서 진단 및 치료가 가능하다.



[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

dcujl.exe 악성코드 분석 보고서 

 


1. 유포 경로


특정 화장품 판매 쇼핑몰 웹서버(http://www.g*****e.co.kr/**c/***2/dcujl.exe)에 악성파일이 업로드되어 유포되었다.

유포된 dcujl.exe 파일은 정상 wininet.dll 파일 버전정보를 사용하여 사용자가 악성파일로 의심하지 않도록 한다. 



[그림]dcujl.exe 버전정보





2. 악성 동작


2.1. DCUJL.EXE


dcujl.exe 파일은 C:\Documents and Settings\Administrator\Local Settings\Temp경로에 랜덤 크기 문자열을 추가한 자가 복제본을 랜덤한 문자열로 생성 후 실행한다.


실행된 Temp경로 파일 (예: ycepl.exe)은 아래 2개 파일을 생성한다.


C:\wiseman.exe

C:\(랜덤한문자열)\(랜덤한문자열).(랜덤한문자열)

(; D:\kmpuvjvi\rvhhw.vhr / C:\jrgfb\damdj.add)

[표]생성된 드랍파일 목록



D:\kmpuvjvi\rvhhw.vhr 생성은 D드라이브 유무를 체크해 D드라이브가 존재할 경우 D드라이브에, 존재하지 않을 경우 C드라이브에 생성한다.


드라이브 경로 하위에 랜덤한 문자열의 폴더를 생성하고 랜덤한 5자의 문자열로 파일명을, 랜덤한 3자의 문자열로 확장자를 지정하여 파일을 생성, 실행시키며 모든 동작을 수행한 후엔 자신을 삭제하고 종료한다.





2.2. D:\KMPUVJVI\RVHHW.VHR


Dcujl.exe 파일에 의해 생성된 랜덤한 이름의 파일(이하 rvhhw.vhr)dll 파일로서 단독으로 실행될 수 없기 때문에 C:\windows\system32\rundll32.exe 파일을 이용하여 실행되며, 이렇게 실행된 rvhhw.vhr 파일은 함께 생성된 C:\wiseman.exe 파일의 유무를 체크한 뒤 실행한다.



[그림]rundll32.exe를 이용하여 실행 되는 rvhhw.vhr



rvhhw.vhr 는 사용자의 DNS 설정을 변경하고, hosts 파일을 변조한다.


DNS 1 = 127.0.0.1

DNS 2 = 8.8.8.8

[표]DNS 변조 내용


*3.**1.**4.*0    www.shinhan.com

*3.**1.**4.*0    search.daum.net

*3.**1.**4.*0    search.naver.com

*3.**1.**4.*0    www.kbstar.com.ki

*3.**1.**4.*0    www.knbank.co.kr.ki

*3.**1.**4.*0    openbank.cu.co.kr.ki

*3.**1.**4.*0    www.busanbank.co.kr.ki

*3.**1.**4.*0    www.nonghyup.com.ki

*3.**1.**4.*0    www.shinhan.com.ki

*3.**1.**4.*0    www.wooribank.com.ki

*3.**1.**4.*0    www.hanabank.com.ki

*3.**1.**4.*0    www.epostbank.go.kr.ki

*3.**1.**4.*0    www.ibk.co.kr.ki

*3.**1.**4.*0    www.idk.co.ki

*3.**1.**4.*0    www.keb.co.kr.ki

*3.**1.**4.*0    www.kfcc.co.kr.ki

*3.**1.**4.*0    www.lottirich.co.ki

*3.**1.**4.*0    www.nlotto.co.ki

*3.**1.**4.*0    www.gmarket.net

*3.**1.**4.*0    nate.com

*3.**1.**4.*0    www.nate.com

*3.**1.**4.*0    daum.com

*3.**1.**4.*0    www.daum.net

*3.**1.**4.*0    daum.net

*3.**1.**4.*0    www.zum.com

*3.**1.**4.*0    zum.com

*3.**1.**4.*0    naver.com

*3.**1.**4.*0    www.nonghyup.com

*3.**1.**4.*0    www.naver.com

*3.**1.**4.*0    www.nonghuyp.com

*3.**1.**4.*0    www.wooribank.com

*3.**1.**4.*0    www.ibek.co.ki

*3.**1.**4.*0    www.epostbenk.go.ki

*3.**1.**4.*0    www.hanabenk.com

*3.**1.**4.*0    www.keb.co.ki

*3.**1.**4.*0    www.citibank.co.ki

*3.**1.**4.*0    www.citibank.co.kr.ki

*3.**1.**4.*0    www.standardchartered.co.kr.ki

[표]변조된 hosts 파일


감염된 환경에서 유명 포털사이트, 금융권 사이트, 쇼핑사이트 등에 접속을 시도할 경우 변조된 hosts파일에 기재된 특정 IP (*3.**1.**4.*0) 로 접속된다.

현재는 해당 IP (*3.**1.**4.**0)에 접속이 되지 않지만, 정상적으로 연결될 경우 파밍을 위한 페이지로 연결 된다.

 

윈도우 부팅 시 자동으로 실행하도록 하기 위하여 레지스트리의 Run 하위에 아래와 같이 값을 추가한다.


[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : EvtMgr

데이터 : C:\windows\system32\rundll32.exe “C:\jrgfb\damdj.add”

[표]레지스트리 등록 값




2.3. WISEMAN.EXE


Wiseman.exe 파일은 광고프로그램 설치파일로, 실행 직후 다음 경로에 .url 파일 (바로가기 파일) 을 생성한다

C:\Documents and Settings\Administrator\바탕화면\

C:\Documents and Settings\Administrator\Favorites\

C:\Documents and Settings\Administrator\Favorites\연결\

C:\Documents and Settings\Administrator\Favorites\Links\

C:\Documents and Settings\Administrator\시작 메뉴\

C:\Documents and Settings\Administrator\Application Data\User Pinned\StartMenu\

C:\Documents and Settings\Administrator\Application Data\

C:\Documents and Settings\Administrator\Local Settings\Application Data\

[표]바로가기 파일 생성 경로




[그림]바로가기 생성 결과



추가적으로 가져온 url 정보 중 http://**i.w************t.com/**s/f***s/criteo.exe (*.**1.**0.**9) 로 접속하여 광고 팝업을 발생시키는 criteo.exe 파일을 다운로드 및 실행한다.

해당 파일을 윈도우 부팅 시 자동 실행하기 위하여 레지스트리의 Run 하위에 아래와 같이 값을 추가한다.


[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : wiseman

데이터 : C:\wiseman.exe

[표]레지스트리 등록 값




3. 결론


dcujl.exe C:\(랜덤한문자열)\(랜덤한문자열).(랜덤한문자열) 파일을 이용하여 hosts 파일을 변조해 금융권 파밍을 수행하는 것이 주 목적이다. dcujl 파일이 실행파일의 형태이기 때문에 wiseman.exe 파일을 함께 드랍 및 실행하여 사용자의 의심을 회피한다.


해당 악성코드는 nProtect Anti-Virus/Spyware에서 진단명 Trojan/W32.KRBanker.271058 로 진단 및 치료가 가능하다.


[그림]진단 및 치료 가능



저작자 표시 비영리 변경 금지
신고
Posted by nProtect
1. 국산 애드웨어 유통서버를 통한 악성파일 전파 패러다임의 변화

잉카인터넷 대응팀은 국산 애드웨어 서버나 프로그램 모듈을 은밀하게 위변조하여 온라인 게임계정 탈취와 메모리 해킹 등의 전자금융사기용 악성파일을 배포되고 있는 정황을 여러차례 공개한 바 있었는데, 최근들어 이 방식이 유행처럼 번져나가고 있어, 긴급대응 및 집중 모니터링 상태를 유지하고 있다.

이렇게 애드웨어에 끼워팔기식으로 유포하는 기법은 기존의 [Drive By Download] 기법이나 [Watering Hole] 방식을 이용한 웹 보안 관제만으로는 탐지하기가 매우 어렵고, 이용자들의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 악성파일을 몰래 전파시킬 수 있기 때문에 사이버 범죄자들에게 감염율이 높은 공격기법으로 활용되고 있다.

[주의]애드웨어를 통한 메모리 해킹 KRBanker 변종 악성파일 유포
http://erteam.nprotect.com/460

[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
http://erteam.nprotect.com/437

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명

☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


보통 웹 사이트를 통한 악성파일 전파방식은 이용자 컴퓨터에 다양한 보안취약점이 우선 존재해야 하는 전제조건이 성립해야만 감염될 수 있기 때문에 아무리 많은 웹 사이트에서 악성파일을 동시다발적으로 배포하더라도 이용자의 보안수준에 문제가 없다면 악성파일에 노출될 빈도수는 상대적으로 낮아질 수 있었다.

그러나 애드웨어의 기존 유통 경로를 악용한 전파방식은 프로그램의 보안 취약점을 이용한 방식이 아니기 때문에 기존에 감염되어 있는 이용자들에게 업데이트 기능을 통해서 몰래 유입시키거나 애드웨어 유통 비율과 동일하게 악성파일을 배포할 수 있는 큰 장점을 보유하고 있다.

아래 파일들은 실제로 국내 인터넷 뱅킹 이용자와 온라인 게임 이용자의 계정정보 등을 노린 악성파일을 이용자 몰래 함께 배포한 이력을 가진 대표적인 애드웨어들이고, 이것 외에도 다수 존재한다. 공격자들은 상대적으로 보안이 허술한 국내 애드웨어 업체의 서버를 해킹하거나 파일을 변조하여 악성파일 유포에 남용하고 있는 것이다.


이는 Drive By Download 기법의 웹 모니터링과 탐지센서의 감시망을 은밀하게 우회해서 배포할 수 있다는 이점이 결합되면서 더욱 더 교묘하고 지능적인 공격기법이라 할 수 있다. 왜냐하면, 애드웨어가 설치하는 추가파일을 지속적으로 관찰하고 실체를 확인할 수 있어야만, 정확한 프로파일링과 대응이 가능하기 때문이다.

2. 퓨전공격 기법과 변화무쌍한 카멜레온 전술

지능적 사이버 범죄자들은 보안 전문업체의 관제를 회피하여 이용자의 컴퓨터에 안착하기 위한 다양한 공격기법을 연마하고 있다. 마치 공수부대 특수 침투조들이 상공에 떠있는 항공기에서 적지에 낙하산을 펴고 투입하는 작전을 진행하듯이, 악성파일 유포 방식이 갈수록 고도화되고 있는 추세이다.

국내에서는 유명 온라인 게임 계정탈취를 이용하는 악성파일이 오래 전 부터 기승을 부렸고, 그 계정을 통한 금전적 이득을 취한 사이버 범죄조직들은 인터넷 뱅킹 이용자도 정조준하고 있는 상태이다. 이렇듯 다양한 퓨전공격이 복합적으로 이뤄지고 있고, 공격자들은 필요에 따라 변장술을 적재적소에 적용하고 있다.

아래 화면은 악성파일 내부에 존재하는 문자열 등이고, 보안프로그램 방해와 여러 온라인 게임 문자들을 볼 수 있다.


국내 애드웨어 모듈을 바꿔치기한 악성파일류는 2013년 초순에는 인터넷 상품권, 사행성 게임, 온라인 게임 계정이나 아이템 등을 노린 악성파일로 "kakubi.dll" 이름의 파일명을 사용하였고, 2013년 중순 경부터는 "kakutk.dll" 이름의 파일명이 널리 사용되었다.

그러다가 2013년 하순 경에는 시스템에 존재하는 정상적인 "version.dll" 시스템 파일을 악성파일로 교체하고, 파일명이 유사한 "verslon.dll" 이름의 악성파일을 생성하고, 정상파일은 "vorsion.dll" 파일명으로 바꾸는 기법도 활용되었다. 더불어 2014년 1월에는 "version.dll" 파일과 "godlion.dll" 파일명으로 악성파일을 생성하는 기법으로 변모하고 있다.


가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.

혹시 아래 이미지와 유사한 화면을 목격하게 될 경우 악성파일에 감염된 상태이므로, 절대 보안카드 번호를 입력하지 말아야 한다.


3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 

 

2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

 

 
저작자 표시
신고
Posted by nProtect
1. 불청객 애드웨어와 KRBanker, 내 안에 너 있다.


잉카인터넷 대응팀은 최근 금융사 보안모듈의 메모리를 변조하는 지능화된 공격방식의 파밍용 악성파일이 변칙적인 광고성 악성 프로그램(애드웨어)을 통해서 은밀하게 전파되는 정황을 포착하였고, 그 실체를 처음으로 공개하고자 한다. 그동안 전자금융사기를 위한 악성파일들은 불특정 다수의 웹 사이트에 각종 보안 취약점 코드를 삽입하고 보안상태가 허술한 이용자들에게 무작위로 감염시키는 이른바 Drive By Download 기법이 주류를 이루고 있어, 웹 관제 감시센서 등을 통해서 조기에 탐지하여 차단하는 효과를 발휘하고 있다. 그러나 이번과 같이 포털사이트의 블로그나 인터넷 카페 등에 마치 정상적인 프로그램처럼 둔갑한 애드웨어 파일의 내부에 별도 악성파일을 몰래 추가한 경우 애드웨어로 단순분류되거나 보안패치가 최신으로 유지된 상태라 할지라도 추가 악성파일에 감염될 수 있게 된다.

잉카인터넷 대응팀이 자체 조사한 결과 이미 다수의 애드웨어 프로그램들이 변조되어 파밍용 악성파일을 전파해주는 또 다른 매개체로 악용되고 있는 사실을 확인했다. 이처럼 전자금융사기용 악성파일들은 유포기법부터 감염방식까지 갈수록 고도화, 지능화되고 있는 추세이다. 더불어 이런 방식은 자신의 컴퓨터가 최신의 보안상태를  유지하고 있더라도 변칙적인 광고프로그램에 현혹되어 노출되는 순간 파급력 및 위험도가 높은 전자금융사기용 악성파일에 동시 감염될 수 있다는 점에서 의미하는 바가 크고 이용자들의 각별한 주의가 요망된다.

2. 파밍용 악성파일을 품은 Adware

한국내 인터넷 뱅킹 이용자들을 겨냥한 맞춤형 악성파일인 KRBanker 종류는 변종이 거의 매일 발견되고 있을 정도로 그 심각성이 높아지고 있고, 우후죽순으로 퍼져나가고 있다. 사이버 범죄자들은 용의주도하게 이미 글로벌 기업형 사기단으로 활동할 정도로 조직이 발전하고 있고, 사이버상의 암전존재로 자리매김하고 있는 상태이다. 특히, 초기 호스트파일(hosts)을 변조하는 고전적인 단순수법에서 벗어나 나날이 고도화되고 있고, 보안모듈을 우회하거나 직접적으로 겨냥하는 등 치밀하고 과감해지는 추세이다.

최근 발견된 사례는 Drive By Download 방식의 웹 보안취약점을 이용하지 않고, 인터넷 이용자들의 활동반경과 심리를 절묘하게 역이용하여, 기존에 뿌려지고 있던 애드웨어에 KRBanker 변종 악성파일을 추가하는 방식을 도입했다. 따라서 이용자가 운영체제와 주요 응용프로그램의 최신 보안업데이트를 설치한 경우라도 애드웨어에 노출되는 순간 악성파일에 무장해제 되는 잠재적 보안위협에 노출될 수 있다. 

애드웨어들에 대한 정보는 아래 내용에서 자세히 확인해 볼 수 있다.

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


기존에도 애드웨어 종류의 악성파일을 변조하거나, 해당 사이트를 해킹하여 온라인 게임 계정 탈취용 악성파일이 배포된 경우는 여러 번 보고된 바 있다. 이러한 사이버 범죄자들이 온라인 게임 계정 뿐만 금융정보 탈취도 적극적으로 시도하고 있어 앞으로 다양한 방식의 공격이 발생할 것으로 우려된다.


변조된 애드웨어 (다운로더)프로그램이 실행된 후 약 10~20초 정도가 지나면 "kakutk.dll" 이름의 추가 악성파일이 설치된다.

2013년 05월 경까지 발견되었던 "kakutk.dll" 악성파일은 국내 유명 온라인 게임 계정 탈취용 기능만 보유하고 있었으나, 2013년 07월 경부터는 온라인 게임 계정 탈취 기능에 파밍 기능까지 추가된 상태로 발전된 상태이다.


해당 악성파일은 온라인 게임 계정탈취 기능도 함께 보유하고 있으며, 악성 드라이버 파일을 생성해서 유명 보안솔루션들이 정상적으로 작동하지 못하도록 방해기능을 시도하기도 한다. 


"kakutk.dll" 악성파일과 관련된 내용은 아래를 참고하면 좋겠다.

[주의]소켓통신(WinSock)을 가로채기하는 전자금융사기 수법 추가 등장
☞ http://erteam.nprotect.com/434


이렇듯 애드웨어를 변조하여 전자금융사기용 악성파일을 전파하는 기법도 발견되었기 때문에 인터넷 이용자들은 블로그나 인터넷 카페에서 다운로드한 프로그램을 실행할 경우 각별한 주의가 필요하다.

3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.

 

2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/

 

저작자 표시
신고
Posted by nProtect

잉카인터넷 대응팀은 순수하지 못한 방식으로 은밀하게 설치되고 있는 유해 가능한 국산 변칙 광고프로그램(Adware)들에 대해서 수 많은 인터넷 이용자들이 좀더 안전하고 편리하게 컴퓨터를 사용할 수 있게 하고자 변칙 광고프로그램들이 설치되기 이전에 충분히 인지할 수 있도록 하기 위한 자가진단 및 예방법을 안내하고자 한다.

이는 자신도 모르게 무심코 설치하여 예기치 못한 피해를 입는 것을 최소화하고, 무분별하게 배포되는 비정상적인 인터넷 광고 프로그램의 사회적 심각성과 폐해를 다시 한번 일깨우고자 하는데 그 주된 목적이 있다. 

[기고]무분별한 애드웨어, 팝업·팝다운광고에 대한 대응책은?
(법률사무소 민후 김경환 변호사)

http://www.ddaily.co.kr/news/news_view.php?uid=96994

[뉴스]지긋지긋한 애드웨어, 처벌 강화한다 (inews24)
http://news.inews24.com/php/news_view.php?g_serial=704965&g_menu=020100&rrf=nv

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
http://erteam.nprotect.com/319



 


1. 불특정 블로그나 인터넷 카페, 불분명한 자료실 등을 통해서 배포되는 공개프로그램을 함부로 설치하지 말고, 필요한 프로그램들은 반드시 검증되었거나 충분히 신뢰할 수 있는 유명 공식자료실 등을 이용하여 프로그램을 다운로드하고 설치하도록 한다.

2. 다운로더(Downloader)나 런처(Launcher), ActiveX 컨트롤 형태의 프로그램을 통해서 유해가능 제휴 프로그램이 다량으로 설치되는 경우가 많으므로, 인터넷을 통해 받은 프로그램은 추가설치 목록 여부를 꼼꼼히 살펴보고 진행하도록 한다.


3. 스크롤 바를 통한 목록 숨김기능이나 프로그램 배경화면의 컬러와 유사한 글자색으로 쉽게 인지하기 어렵게 위장하고 고의성이 높게 은폐하는 경우가 많다는 것을 명심하여 설치프로그램을 진행할 때는 세심히 살펴보고 선택하도록 한다.


4. 사용자 동의나 이용자 약관 설정 등을 사용자가 직접 변경하지 못하게 하는 경우, 십중팔구 유해 가능한 변칙 광고프로그램일 가능성이 높으므로, 유사한 형태를 목격하게 될 경우 실행을 즉시 멈추고 설치를 중단하여야 한다.


5. 온라인 이용약관을 이용하는 경우 언제든지 임의로 조작, 변경, 폐기 등이 가능하므로, 약관으로서 실효성이 매우 낮으며 소프트웨어 배포 및 설치에 대한 법적효력에도 문제의 소지가 많으므로, 이런 방식의 프로그램은 절대로 설치하지 않도록 주의한다.

6. 추가 제휴 프로그램을 마치 권장 프로그램처럼 보이도록 하는 경우가 있으므로, 처음부터 자신이 원하는 프로그램이 아닌 경우 특정 용어나 문구 등에 현혹되어 설치를 진행하지 않도록 주의한다.

 


7. 유해 가능한 변칙 광고 프로그램들은 프로그램 내부적으로 사전동의를 미리 체크한 후 배포하며, 동시다발적으로 사용자 몰래 백그라운드로 설치하므로, 사전동의 등이 미리 표기된 추가 프로그램들은 설치 전에 유심히 살펴하고 한번 쯤 의심해 보아야 한다.

8. 실시간 검색 이슈나 키워드를 이용한 동영상재생기로 위장하거나, 마치 유명 소프트웨어 설치프로그램처럼 위장하여 변칙 광고 프로그램이 배포되는 경우가 많으므로,아이콘이나 파일명, 배포 경로 등이 불분명하거나 이상한 경우 절대 사용하지 않는다.

9. 토렌트, 웹하드, P2P 등 파일공유 서비스를 통해서 비정상적인 광고프로그램이 배포되는 경우가 많으므로, 파일공유 서비스 이용자들은 이점을 각별히 유념하여야 한다.

10. 유해 가능한 광고프로그램(Adware)들은 nProtect AVS3.0 제품을 이용해서 언제든지 편리하고 빠르게 검사하고 치료할 수 있으므로, 항상 최신 버전으로 업데이트하여 정기적으로 검사하고 치료하도록 한다. 

 

저작자 표시
신고
Posted by nProtect
1. 부적절한 광고업자들 누구보다도 당당하다?

예전부터 인터넷을 통해서 무료로 배포되는 유용한 프리웨어(Freeware)나 일정한 금액을 지불하고 구매해야 하는 일부 쉐어웨어(Shareware) 등에는 일정한 광고를 제공하는 조건으로 별도의 제휴 프로그램이 함께 사용되는 경우가 종종 있었다. 이 과정에서 발생되는 광고수익은 프로그램 원 개발자에게 일정부분 재배분되어 프로그램에 대한 정당한 대우와 건강한 개발환경 구축, 소프트웨어의 가치가 인정받는 공정한 거래가 성사되었다. 또한, 사용자가 제휴 프로그램 설치 여부를 육안으로 쉽게 인지하고 개별동의와 별도 설치과정 등이 모두 투명하게 공개진행되어 별다른 부작용이나 혼란의 여지가 없었다. 그 때문에 이와같은 순수한 방식의 온라인 광고는 당연히 불법행위로 간주되지 않았다. 

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
http://erteam.nprotect.com/319

[기고]무분별한 애드웨어, 팝업·팝다운광고에 대한 대응책은? (법률사무소 민후 김경환 변호사)
http://www.ddaily.co.kr/news/news_view.php?uid=96994

[뉴스]지긋지긋한 애드웨어, 처벌 강화한다 (inews24)
http://news.inews24.com/php/news_view.php?g_serial=704965&g_menu=020100&rrf=nv

그러나 지금 온라인에서 이처럼 순수함을 가진 광고 프로그램을 접하기는 정말 쉽지 않다. 몇가지(?)만 주의하면 특별한 법적처벌 규제도 없고, 언제든지 기존의 법망을 교묘히 우회할 수 있으며, 무엇보다도 단기간에 고수익을 창출할 수 있다는 신사업 모델이라는 달콤한 유혹과 소식에 너도나도 비정상적인 온라인 광고사업에 진출하고 있는 상황이다. 거기에 더해 마치 프랜차이즈 체인(Franchise Chain)처럼 광고 프로그램을  대신 개발하고 유통, 대행해주는 이른바 가맹점을 만들어 주는 광고대행 브로커들까지 은밀하게 성행하고 있을 정도이다.

비정상적 광고업체들은 불특정다수에게 부적절한 광고프로그램을 다량으로 설치시키고, 사후 어찌되든 오직 광고수익을 올리는데만 급급하고 있다. 광고수익은 그들에게 가장 큰 목표이자 관심사이기 때문에 기업의 도덕성이나 신뢰성은 전혀 고려대상이 아니다. 또한 무차별 배포와 설치과정에서 사용자가 입게되는 불편함이나 다양한 피해도 그들에게 전혀 민감하거나 중요한 사안이 아니다. 이러한 변칙 광고프로그램들은 각각의 기능에 따라서 정상적인 컴퓨터 사용을 불가능하게 할 정도로 무분별한 팝업광고나 웹 브라우저 강제 시작페이지 고정부터 잠재적으로 원하지 않는 각종 광고성 프로그램(PUP:Potentially Unwanted Program)을 무단설치하고 실행시켜 사용자 몰래 변칙적광고 행위를 수행하게 된다. 또한 광고업자들은 설치된 사용자의 컴퓨터 대수를 모니터링하고, 광고주로 부터 설치대수와 광고배포 가능 현황 등을 홍보나 마케팅 자료로 적극 활용하고 있다.

2. 온라인 광고프로그램 심사 또는 허가제가 필요?

최근 일부 지상파 언론 등을 통해 알려지고 온라인 사업방해 이슈로까지 불거진 바 있는 유명 소셜커머스 경쟁사간 키워드 광고논란도 이러한 광고프로그램이 근본적 원인이었다. 따라서 인터넷 기반으로 사업을 영위하는 여타 기업들도 단순히 강 건너 불구경하듯 남의 일로만 치부하지 말고, 자사도 유사한 광고프로그램의 역효과와 폐해에 직접적인 영향을 받을 수 있다는 점에 함께 공감해야 할 시기이다. 이와같은 불공정거래는 부지불식간에 너무나도 우리 가까이 와 있고, 수 많은 사용자의 컴퓨터에 무심코 설치된 부적절한 광고프로그램 하나가 어떤 기업에게는 사업적으로 치명적 피해와 공정한 거래를 방해하고 있다는 것이다. 현재와 같은 상황에서 앞으로 온라인 광고의 공공성과 그 질서 및 품위를 유지하고, 적절한 규제안을 마련하기 위한 속칭 [온라인광고심의위원회]와 같은 조직체나 기관이 설립되어야만 온라인 부당광고로 인한 분쟁이슈들이 해소되고 조정이 될까라는 의문이 들 정도이니 말이다.

광고기능 파일의 배포는 광고수익금과 절대적으로 비례한다. 그렇기 때문에 광고업체들은 수단과 방법을 가리지 않고 배포수량을 높이는데 열을 올리고 있으며, 경쟁이 심화되면서 오히려 공정한 방식의 배포는 갈 수록 찾아보기 힘든 분위기다. 인터넷 광고사나 제휴프로그램 배포사들은 점차 과도한 경쟁에 빠져들었고, 그로인해 여러가지 폐해와 부작용 등이 꾸준히 발생하고 있다. 일부 Anti-Virus 업체들은 초기에 이러한 광고프로그램이 난립하고 많은 이용자들이 불편함을 호소하였으나, 비정상적인 광고프로그램의 행위에서 악성여부를 판단할 수 있는 법적기준이 아직은 구체적이지 못하고, 광고업자들은 사용자 동의와 약관 등을 포함해서 마치 법적으로 큰 문제가 없이 사용자가 설치한 것처럼 주장을 펼치고 있기 때문이다. 특히, 악성파일 종류로 탐지할 경우 제기되는 소송과 법적 항의 등에  적지 않은 부담을 가질 수 밖에 없었다.

3. 변칙 광고프로그램 유해성 여부 판단 어렵지 않아요!

보통 비정상적인 과정을 통해서 배포되는 광고 프로그램의 최종 기능은 별도의 제휴 파트너사 프로그램을 대행해서 다량으로 동시 설치해 주고, 배포 및 설치수량에 대한 수익금(광고비)을 배분받는 수익구조이다. 그렇기 때문에 최종적으로 설치시도하는 것은 매우 다양하고 가변적이며, 정상적인 프로그램이나 유명 인터넷 기업의 바로가기 아이콘 등도 포함된다. 따라서 최종 설치된 파일만으로 악성으로 판단하기에는 큰 무리가 뒤따른다. 이 때문에 잉카인터넷 대응팀은 해당 광고프로그램이 사용자 컴퓨터에 어떠한 과정으로 설치되는지 그 전과정을 모니터링하고 정보를 수집하며, 사용자 입장에서 설치 유입되는 과정 중 비정상적인 절차를 이용하여 설치를 시도하는 경우 유해가 가능한 광고프로그램(Adware)으로 구분하고 있다.

실제 이러한 광고프로그램들은 사용자들이 다른 파일처럼 인식하도록 고의적으로 조작한 블로그나 인터넷 카페, 파일 자료실 등을 통해서 설치를 유도한다. 이 과정을 보면 매우 사기성이 짙다는 것을 느낄 수 있고, 이 부분만으로도 악성 광고프로그램(Adware) 기준에 부합한다.

A. 먼저 포털 검색 사이트 등에서 특정 프로그램을 검색한다. 많이 본 글에 떡하니 찾던 대상이 나온다.

 


B. 검색 키워드로 발견한 특정 프로그램에 대한 소개 내용과 다운로드 링크가 포함되어 있다. 누가봐도 다른 프로그램이라고 의심하지 않을 것이다.

 


C. 하지만... 다운로드된 파일은 처음 검색해서 찾던 프로그램이 맞나라고 의심하게 된다. 다운로드해서 실행해 보자.

 


D. 근데 이건뭐지? 아무래도 내가 찾던 건 아닌것 같은데! 낚인 건가? 또 다시 다운로더(Downloader)라는 프로그램이 실행되면서 사용자의 실행명령을 대기한다.

 


E. 당신의 눈을 믿지 말라! 지금 설치하고 있는 것은 처음 검색해서 받고자 했던 프로그램 뿐만이 아니다. 오른쪽 하단에 또 다른 광고 프로그램들이 스크롤 밑에 다량으로 숨겨져 있는 것을 대부분의 사용자들은 알기 어렵다. 스크롤을 직접 내려서 보기 전까진 이런 것이 함께 설치된다는 것을 인지하기 어렵고, 이 프로그램 제작자는 고의적으로 사용자에게 보이지 않기 위해서 만들었다는 점에서 사기성이 높은 방법이라 할 수 있다. 이는 사용자의 심리와 눈속임을 이용한 일종의 피싱수법이라고 표현할 수도 있다.

 


이른바 다운로더(Downloader), 런처(Launcher) 라고 불리어지는 이러한 종류의 프로그램은 매우 다양한 형태가 존재하며, 대부분 웹 사이트를 통해서 전파되고 있다. 잉카인터넷 대응팀은 설치과정 상 사용자에게는 마치 특정 프로그램인양 안내하고, 이후에 특정프로그램을 다시 설치하는 형태의 모듈을 실행하게 유도하고 별도의 광고프로그램을 함께 설치하는 경우 비정상적인 광고프로그램(Adware)으로 진단하는 정책을 유지하고 있다.



@잉카인터넷 ISARC
저작자 표시
신고
Posted by nProtect
1. 부적절한 인터넷 광고, 불편한 진실과 현실

다년 간 무수히 많은 인터넷 이용자들에게 호기심 유발이나 인기검색 키워드 등으로 현혹하여 배포과정 상에 문제를 가지고 있고, 유해가능한 광고성 프로그램(Adware)을 무단 배포하는 수법이 나날이 심화되고 있는 실정이다.  아직도 수 많은 인터넷 이용자들이 잠재적으로 원하지 않는 프로그램(PUP:Potentially Unwanted Program)에 순간의 부주의로 반강제 노출되어 많은 불편함을 호소하고 있고, 피해도 꾸준히 속출하고 있는 상황이다.

이에 근본적인 대안과 철저한 근절대책이 요구되고 있는 시점이다. 이 때문에 대부분의 보안업체들이 Adware 종류를 악성으로 분류하고 치료기능을 제공하고 있지만, 금전적 수익을 높이기 위한 광고업체들은 육안상으로 잘 보이지 않게 사용자 동의 및 약관을 포함하는 등 법망을 교묘히 우회시도하고 유포수법도 나날이 지능화되고 있다.

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
http://erteam.nprotect.com/346

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
http://erteam.nprotect.com/350

[뉴스]당신의 PC, 깨끗합니까? (KBS 취재파일 4321)
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=2639387

[뉴스]애드웨어로 전파된 신종 메모리 해킹 일당 검거 (SBS 8시뉴스)
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1002198339
[기고]무분별한 애드웨어, 팝업·팝다운광고에 대한 대응책은? (법률사무소 민후 김경환 변호사)
http://www.ddaily.co.kr/news/news_view.php?uid=96994

[뉴스]나도 몰래 깔리 몹쓸 '애드웨어' 이젠 가만 안둬 (김희정 새누리당 의원실)
http://www.etnews.com/news/contents/internet/2677425_1488.html?mc=d_002_00001

ㅁ김희정 의원은 “광고 프로그램뿐만 아니라 개인정보 보안 프로그램, 불량 백신 등 제휴·스폰서 프로그램을 설치할 때 이용자 동의여부 표시가 가려져 있거나 이용약관을 알아보기 어려운 형태로 제시해 이용자 불편을 초래하는 일이 많다”며 법안 제출 이유를 밝혔다. 이를 위반해 사용자 컴퓨터에 중대한 장애를 초래하면 1년 이하의 징역 또는 1000만원 이하 벌금에 처한다.

[뉴스]새누리 김희정 의원 “애드웨어 무단설치시 처벌 강화해야”
☞ 
http://www.ddaily.co.kr/news/article.html?no=97543

[뉴스]애드웨어 무단설치 처벌 강화된다
☞ 
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121115103646&type=det

[뉴스]무단설치 백신·애드웨어, 처벌 강화법안 발의
☞ 
http://www.eto.co.kr/news/outview.asp?Code=20121115152844197&ts=115452

[뉴스]지긋지긋한 애드웨어, 처벌 강화한다 (inews24)
http://news.inews24.com/php/news_view.php?g_serial=704965&g_menu=020100&rrf=nv

[긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증
☞ http://erteam.nprotect.com/461

따라서 보안업체들은 유해성 판단을 위한 불법 유포경로와 근거자료(동영상 촬영 등) 확보에 부단한 시간과 인력을 투입하고 있는 상태이지만, 유포업체는 스스로 합법적 서비스라는 점을 강조하고 내세우면서 보안업체가 근거자료를 보관하고 있지 않다고 보일 경우 탐지예외 요청 및 내용증명 등 법적 항의서안들을 끈질기게 발송하여 보안업체들로 하여금 정상적인 업무를 방해하고 오히려 불필요한 업무에 많은 시간이 투입되고 자원이 소모되도록 유도하고 있어 큰 문제점으로 대두되고 있다.

방송통신위원회, 한국인터넷진흥원 등 주요 정부기관과 대검찰청, 경찰청 등 수사기관에서도 보안업체와 협력하여 부적절한 인터넷 광고업체에 대한 조사를 진행하고 있다. 그러나 대부분의 광고업자들은 이러한 것이 불법행위로 간주되고 법적으로 구속될 수 있다는 점을 인지하지 못하는 경우가 많다. 아래 내용은 2012년 07월 12일에 언론을 통해서 발표된 비정상적인 방식 등으로 광고프로그램을 유포하여 부당이익을 챙긴 적발사례이며, 광고수수료를 챙긴 일당은 경찰 수사에 의해서 체포 및 구속수감되었다.

[2012-07-12 광고수수료를 챙긴 일당이 경찰에 적발된 언론 보도자료]
악성 프로그램 유포해 PC 270만 대 감염
http://www.ytn.co.kr/_ln/0115_201207121537138266 

 

다음은 2012년 08월 22일 검찰 첨단범죄수사대에 적발된 불법 광고업체에 대한 내용으로 제휴 파트너사 등을 통해서 비정상적으로 배포한 광고프로그램 업체 관계자 6명과 업체 3곳을 기소하고, 수사를 확대할 방침이라는 내용의 보도자료이다. 

[2012-08-22 네이버 광고 바꿔치기한 일당 검찰에 기소된 언론 보도자료]
검찰, 해킹 프로그램으로 네이버 광고 바꿔치기한 일당 기소
http://www.asiatoday.co.kr/news/view.asp?seq=686395

'인터넷 낚시 광고' 24억 챙긴 업체 적발
http://www.ytn.co.kr/_ln/0103_201208221819506573


[2012-10-11 광고프로그램을 이용한 검색 키워드 가로채기 SBS 언론자료]
[단독] "여기 아닌데?"…황당한 소셜커머스 경쟁
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001426974

티몬 검색하니 쿠팡이...“어라? 이상하네“
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121011184305&type=xml

경쟁사 검색때 함께 뜨는 ‘얌체광고’ 또 법정行
http://www.fnnews.com/view?ra=Sent0601m_View&corp=fnnews&arcid=201210150100119140007237&cDateYear=2012&cDateMonth=10&cDateDay=15

티켓몬스터 "'쿠팡', 악성 광고 소프트웨어로 '티몬' 고객 유입"
http://news1.kr/articles/848780

티켓몬스터 측은 "쿠팡이 이들 불법마케팅을 적극 사용한 것이 밝혀지면 부정경쟁방지법 2조 1항을 어긴 것이며 영업방해죄에 해당된다. 정보통신망법 위반 행위의 교사 및 공범행위 등으로도 책임을 물을 수 있다"고 밝혔다.

"이들 불법 마케팅 업체들은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 48조 2항 '누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다'를 위반한 것으로 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해지게 된다"고 설명했다.

티몬 측은 "방송통신위원회는 이런 문제를 본질적으로 해결할 수 있도록 악성 프로그램 유포 방지를 위한 제도를 마련해야 할 것"이라며 "광고주들도 강도높은 처벌을 해야만 근절될 것으로 보인다"고 밝혔다.



2. 유해 광고프로그램 실태와 불법적 행위의 근원

인터넷 광고프로그램은 그 본질과 기능만으로는 절대 불법이나 유해가능 프로그램으로 분류할 수 없지만, 인터넷 광고노출 및 매출 수익금을 분배하고 고수익 창출을 목적으로하는 스폰서나 인터넷 제휴 파트너 업체들의 부적절하고 무분별한 배포과정에서 유해성 부작용이 발생하게 된다. 이것은 짧은 시간에 수 많은 이용자에게 해당 광고프로그램을 노출시키고 설치시켜야 수익률이 비례적으로 증가할 수 있는 광고 사업구조의 특성 때문이며, 정상적인 광고업체와는 별개로 제휴업체들을 통해서 비정상적인 유포행위가 아무 거리낌없이 꾸준히 자행되고 있는 문제점을 안고 있는 것이다.

이런 연장선에서 불법적인 과정을 통해서 무차별적으로 배포되는 광고프로그램은 설치율이 높아지고, 결과적으로 수익이 높아짐에 따라 주 광고업체와 배포를 담당하는 제휴업체는 서로 암묵적으로 편의를 봐주거나 금전관계로 친밀하게 결탁되어 있는 것도 사실이다. 하지만 주 광고업체는 보안프로그램이 자신의 프로그램을 탐지하고 저지하면 일부 극소수 제휴업체의 불법적 행위로 간주되기 때문에 그 업체에게 경고 및 제재를 주기 위해서 유포처 및 탐지 근거자료를 공개요구하지만, 그 자료를 공유해 줄 경우 그곳만 제거하고 다른 곳을 통해서 은밀히 유포를 지속하는 경우가 다반사이다. 이에 잉카인터넷은 현재 유포처 및 탐지 근거자료를 관계자 외 비공개를 원칙으로 하고 있다. 이는 추후 정식 법적대응 및 불법적 행위의 근거자료와 수사기관에 제시하는 증거자료로 활용된다.

또한, 일부 제휴 및 파트너사의 불법적 단독행위가 있을 수 있으므로, 광고수익 손해에 대한 책임을 묻기 위해서는 각 제휴 배포사마다 다른 모듈을 제공하거나 배포지 추적이 가능하도록 구분코드를 삽입하여 제작하도록 하며, 사후관리 및 계약상 손해배상에 대한 책임의식을 가지도록 계약서상에 이를 구체적으로 명시하여야 하는 관리적 책임을 가지고 있다. 일부 파트너사들의 비정상적인 배포를 관리하지 않았다면 이는 광고업체의 관리적측면에서 업무상 과실에 해당될 수 있다. 

특히, 일각에서는 이런 배포용 프로그램을 아웃소싱 형태로 제작하고 배포해 주는 서비스까지 유료화로 운영하며, 해당 광고업체는 자신들의 이런 프로그램 배포사업 자체가 정당하고 합법적이라는 근거를 제시하기 위해서 대부분 정상적 절차와 비정상적인 방식의 배포를 동시에 사용하여, 정상적인 서비스를 진행하고 있다는 점을 부각시켜, 비정상적인 서비스는 일부의 잘못된 부분이라는 주장을 펼치게 된다. 그러나 비정상적으로 배포된 그 사실 하나만으로 악성파일 배포에 대한 법적책임을 묻게 될 수 있다는 점을 간과해서는 안되며, 최근 경찰과 검찰에 이런 형태로 적발된 사례가 보고되었다.

보안업체는 비정상적으로 배포된 근거만으로 Adware 진단정책에 포함한다.

정상적인 배포를 동시에 진행했다는 이유로 비정상적인 배포 모듈을 예외처리로 분류하고 적용하지는 않는다. 비정상적인 광고업체들은 거의 모두 정상적인 사이트를 함께 운영하며 마치 정상적인 사업범위로 활용하고 있기 때문이며, 정식 사이트에서 공식배포도 하고 있으므로 정상배포를 하고 있다는 이유만으로 비정상적인 모듈을 진단 예외정책에 모두 적용하지 않는것이 기본원칙이다. 


 

 
3. 합법과 불법을 자유자재로 이동하는 능력자?

초기 단계의 유해가능 광고 프로그램(Adware)들은 방문자수를 높이기 위한 광고목적의 [시작페이지 고정]이나 운영체제 바탕화면 또는 즐겨찾기 목록에 [바로가기 아이콘]을 생성하는 등 악의적인 의도 보다는 순수한 광고방식에 널리 활용되었다. 그러나 점차 시간이 지남에 따라 사용자 정보를 불법 수집하거나 정상적인 배포방식과 동의 절차없이 설치되는 등 악의적으로 변질되기 시작했고, 광고수익금의 이익에 치중한 나머지 합법과 불법의 경계를 자유자재로 넘나드는 불균형이 초래되기 시작하였다.

이렇듯 정상적인 광고프로그램이 본래의 배포과정에서 어긋나고, 일정한 기준이나 한도를 넘어 남용 수위가 높아지면서 보안업체들의 대응범위도 넓어졌다. 거기에 사용자가 인지하지 못한 상태에서 비상식적으로 동의시킨 매월 소액 자동결제 서비스나 허위 또는 불량한 유료 서비스를 통해서 사용자에게 금전적 피해 부담을 입히는 경우가 종종 발견되여 경찰 등 수사기관에 의해서 검거되는 해결사례도 다수 있었지만, 보안업체와 일부 부적절한 광고업체간의 유해성 공방은 지금까지도 현재 진행형이다.

이런 유해성 공방은 현 법률상 인터넷 광고의 유해성 및 가능범위를 확실하게 규정할 수 있는 법적근거와 기준이 모호하고, 광고업체들은 법적인 문제점을 피하기 위해서 다양한 우회기법을 활용하고 있는 점을 지적할 수 있다. 아울러 실제 재판에서 무죄판결 판례와 이미 고수익을 통한 재력을 보유한 경우 전문 변호인단을 앞세워 자신들의 정당성을 주장하기도 한다.

4. 부도덕한 애드웨어 주의보! 관심을 미끼로 낚시질을 한다.

2012년 04월 24일에 "[정보]나도 모르게 설치된 그것이 알고 싶다." 라는 Adware 관련 포스트를 대응팀 공식블로그에 게시한 바 있다. 이처럼 악의적인 광고성 프로그램들은 일반 사용자들이 어떤 과정을 통해서 설치되었는지 스스로 인지하지 못하고 있는 것이 안타깝지만 현실이다. 부적절한 인터넷 광고업체들은 불특정 다수의 이용자들을 표적으로 삼고 있으며, 시종일관 더 많은 사용자들에게 자신의 광고프로그램을 설치시키기 위한 혼신의 노력을 다하고 있다.

보통 인터넷 광고프로그램 개발사들은 정상적인 법인체와 웹 사이트를 구축하여 합법적으로 운영하고, 해당 웹사이트를 통해서 광고프로그램 소개와 배포 등을 서비스한다. 그러나 일반 사용자가 해당 광고업체의 웹 사이트를 직접 방문하고, 광고 프로그램을 자신의 선택과 의지로 설치할 확률은 거의 0%에 가깝다고 해도 과언이 아니다.

그렇다보니 광고업체는 인터넷 배포방식에 대한 다양한 방식을 검토하고 도입시도하게 되는데, 대형 포털 사이트 등과 공식적인 광고계약을 체결하고 정상적인 절차로 프로그램을 배포할 경우 적정한 규모의 광고비용이 책정되어 사용되어야 하지만 도덕성을 무시하고 오직 수익에만 급급한 부도덕적인 업체들의 경우 인터넷 사용자들이 최대한 인지하지 못하게 조작한 수법을 도입하여 Adware 파일이 사용자몰래 광범위하게 설치되도록 유인하고 있다. 이는 결국 합법적 절차를 거친 정상적인 광고프로그램 개발사에게까지 직간접적인 손해를 끼치고, 정당한 광고사업을 방해하는 단초역할을 하게 된다.

[2012-04-20 광고프로그램을 통한 구인구직 채용 웹 사이트간 불공정 마케팅 논란]
잡코리아-사람인, ‘불공정 마케팅’ 공방 가열
http://www.etoday.co.kr/news/section/newsview.php?TM=news&SM=2306&idxno=574391

{일부 발췌}
잡코리아는 사람인이 다량의 악성 애드웨어(adware)를 배포해 자사의 영업을 방해한데 대해 20일 형사 고발했다고 밝혔다. 애드웨어는 영화나 게임, 만화 등을 다운로드 서비스 하는 파일공유 사이트의 프로그램 설치 시 함께 랜덤으로 자동 설치되며 자신이 의도하지 않은 정보에 노출되는 피해를 입을 수 있다.

잡코리아 관계자는 “지난달 말 고객센터로 포털사이트 검색창에 잡코리아를 입력해도 사람인 사이트가 대신 뜨는 현상에 대한 피해가 접수됐다”며 “시스템을 점검한 결과 네이버 등 포털사이트에 잡코리아를 검색을 할 경우 사람인 사이트가 자동적으로 팝업 되도록 다량의 애드웨어가 배포되고 있는 게 확인됐다”고 밝혔다.

5. 프로그램 다운로더의 주목적? 사용자 몰래 Adware 설치!

먼저 유명 게임이나 유무료 프로그램, 실시간으로 이슈가 되고 있는 인기 검색 키워드나 파일 등으로 사칭하여 사용자의 검색유입을 유도하고 개인 블로그나 포털 카페 게시글, 덧글 등을 통해서 파일 다운로드를 유인한다.


URL 링크를 클릭하게 되면 다음과 같이 파일이 다운로드된다.

 

 


보통 이런 프로그램의 경우 제휴목록이나 동의 및 약관이 일부 포함되어 있지만, 화면 하단이나 모서리에 작게 등록하여 육안상 잘 보이지 않도록 구성하고 글자색도 회색 등 배경화면과 거의 유사한 색을 사용한다. 또한, 스크롤바를 통해서 설치 목록이 극히 일부만 보여지도록 만들어 다수의 프로그램이 동시에 설치되는 것을 숨긴다. 이처럼 일반 사용자가 제휴프로그램 설치 과정을 즉각 인지하고 선택을 해제할 확률은 매우 낮아지게 된다. 따라서 광고업체들은 정상적인 동의와 약관 등을 명시하였기 때문에 자신들은 법적으로 전혀 문제가 되지 않는다고 황당한 주장을 하고 있는 것이다. 이것이 바로 일종의 법망을 우회하기 위한 찌질한 수법 중에 하나이다.

 


수개월 동안 유행처럼 가장 많이 사용되는 수법은 특정 프로그램 다운로더(Downloader)나 실행기(Launcher)처럼 보이도록 만든 후 해당 프로그램을 설치해 주는 목적으로 제휴프로그램을 함께 설치하게 만드는 형태이고, 대표적인 프로그램 화면들은 다음과 같다. 이런 종류의 프로그램들은 사용자가 원하는 프로그램을 제공하는 것이 아니고, 특정 광고프로그램들을 대거 설치하는데 그 주목적이 있다. 그리고 대부분 프로그램 다운로드 기능은 관련된 이미지만 보여주는 등 빛좋은 개살구이거나 허울 뿐이며, 기능 자체가 무용지물이다.

 


6. 국산 Adware 근절 대책의 핵심, 광고 제휴프로그램에 대한 규제 강화

가끔 주변에 있는 지인들로부터 듣게 되는 질문이 하나 있다. 홍수처럼 쏟아지는 수 많은 광고프로그램 중에서 정상과 악성을 구분하는 구체적인 근거 기준이 과연 무엇인가에 대한 것인데, 그 질문에 서슴지 않고 이렇게 답한다. "유포과정 및 설치방식에 대한 정당성과 사용자 입장에서의 잠재적 피해가능성 여부"

Adware 프로그램들은 대다수가 도덕성이 결여되어 있고, 최종목적은 반드시 금전적 수익과 결부되기 때문에 정당한 배포와 설치방식과는 절대로 부합할 수 없는 조건을 갖추고 있다. 따라서 이러한 문제를 근본적으로 해결하기 위해서는 사용자 입장을 최우선적으로 고려하여 ▲유해가능 배포과정 및 설치방식에 대한 가이드와 기준안이 마련되어야 하고, ▲형식적인 사용자 동의절차나 약관 보여주기 방식이 개발사와 배포사를 법적 분쟁으로부터 안전하게 보호해 주는 범위에 포함되지 않도록 강력히 규제해야 한다.


 


또한, ▲별도의 제휴 또는 파트너 프로그램을 함께 배포하는 경우 사용자에게 모두 보여지고, 직접 선택해야지만 설치가 진행될 수 있도록 부가 프로그램 설치에 대한 규제를 강화하고, 설치되는 셋업화면이 백그라운드가 아니라 사용자에게 모두 육안으로 확인될 수 있도록 하며, 언제든지 제거할 수 있는 언인스톨 기능을 포함해야 한다.

7. 잉카인터넷 Anti-Virus 엔진에 Adware 치료 기능 추가

그동안 잉카인터넷에서는 내부 정책적으로 nProtect Anti-Virus 엔진과 Anti-Spyware 엔진을 분리 운용하였고, Adware 종류의 탐지 및 치료 패턴은 Anti-Spyware 엔진에서 전문적으로 담당하여 서비스를 제공하였다. 일부 제품의 경우 서비스모델과 정책에 따라 Anti-Virus 엔진만 사용하는 경우가 있는데, 근래들어 국산 Adware 프로그램이 급증하고 있는 실정을 반영하고, 근절대책의 핵심 일환으로 2012년 08월 08일부터는 nProtect Anti-Virus 엔진에서도 국산 Adware 들을 탐지하고 치료할 수 있도록 대응조치를 강화한 상태이다. 이에따라 유포방식 및 설치과정에 보안상 문제가 될 수 있다고 판단되는 국산 광고프로그램들은 지속적으로 모니터링하고 수집하여 신속하게 대응할 수 있도록 운영할 예정이다. @잉카인터넷 ISARC


저작자 표시
신고
Posted by nProtect
안녕하십니까?
2010년 11월 24일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 7389개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 23개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-24.01

1-1. 다음 1772개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Trojan/W32.Agent.118272.FA
     Trojan/W32.Agent.200704.KY
     Trojan/W32.Agent.66048.IY
     Trojan/W32.Agent.84992.ID
     Trojan/W32.Agent.50704
     Trojan/W32.Agent.181248.CG
     Trojan/W32.Agent.201216.BD
     Trojan/W32.Agent.104960.GG
     Trojan/W32.Agent.84480.HR
     Trojan/W32.Agent.100352.GB

더보기

저작자 표시
신고
Posted by nProtect
안녕하십니까?
2010년 11월 23일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 8289개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 21개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-23.01

1-1. 다음 2617개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.1003520.F
     Backdoor/W32.Agent.1015808.F
     Backdoor/W32.Agent.114112
     Backdoor/W32.Agent.114764.B
     Backdoor/W32.Agent.125763
     Backdoor/W32.Agent.135229
     Backdoor/W32.Agent.146991
     Backdoor/W32.Agent.159805
     Backdoor/W32.Agent.173862.B
     Backdoor/W32.Agent.1798144.B

더보기

     
저작자 표시
신고
Posted by nProtect
안녕하십니까?
2010년 11월 17일자 첫번째 업데이트 안내문입니다.

금일 긴급 업데이트에서는 총 5765개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 63개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-17.01

1-1. 다음 699개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.1224704.E
     Backdoor/W32.Agent.1756376
     Backdoor/W32.Agent.245248.G
     Backdoor/W32.Agent.388096.G
     Backdoor/W32.Agent.429568.J
     Backdoor/W32.Agent.788272
     Backdoor/W32.Agent.946449
     Backdoor/W32.Bifrose.351151
     Backdoor/W32.Bifrose_Packed.846829
     Backdoor/W32.BlackHole.1641712

더보기

저작자 표시
신고
Posted by nProtect