레알 신세계 허위 설치 파일로 위장한 웹하드 가입 유도 사례 (2011.9.15)

웹하드 프로그램을 설치할 때 부가적으로 추가되는 그리드(Grid) 서비스를 찾아 제거하는 것으로 유명하였던 레알 신세계 프로그램으로 위장하여 웹하드 가입을 유도하는 설치 파일이 블로그 등을 통해 유포되고 있는 것을 확인하였습니다.

해당 프로그램을 소개하는 블로그 상에서 레알 신세계 프로그램의 정상적인 설치 과정을 스크린 샷으로 제공하고 있지만, 첨부 파일에 등록된 설치 파일 설치 단계와는 확연하게 차이가 있습니다.

첨부 파일에 포함된 설치 파일 속성을 확인해보면 원본 파일 이름이 흥미롭게도 "가짜.exe"로 등록되어 있습니다.

참고로 해당 설치 파일(MD5 : 37599ebf859c4f8688f177e03b7020a0)에 대하여 nProtect 보안 제품에서는 Gen:Variant.Kazy.37432 (VirusTotal : 17/44) 진단명으로 진단되고 있습니다.

설치 파일을 이용하여 설치하는 과정에서는 허술한 이용약관과 프로그램 설치 경로를 제공하여 정상적인 프로그램 설치가 이루어질 수 있는 것처럼 구성하고 있습니다.

특히 프로그램 설치 상태 진행바가 동작하여 파일을 생성하는 것처럼 사용자 눈을 속이고 있습니다.

하지만 이 과정에서 설치를 완료하려면 로그인을 해야한다는 안내 메시지창이 생성되며 사용자가 확인 버튼을 클릭할 경우 다음과 같은 웹하드 사이트 회원 가입 페이지가 열리는 동작을 확인할 수 있습니다.

해당 웹하드 사이트로 연결되는 접속 경로를 확인해보면 국내 무료 도메인 사이트를 경유하여 특정 웹하드 추천 아이디가 포함되어 있는 것을 확인할 수 있습니다.

이를 통하여 사용자가 설치 파일을 통해 프로그램을 설치하는 과정에서 해당 웹하드 사이트에 회원 가입을 할 경우 프로그램 배포자에게 금전적 혜택이 주어질 것으로 판단됩니다.

또한 프로그램 설치 화면에서도 회원 로그인 양식창이 제공되고 있지만 실제 정보를 입력할 경우 안내 메시지를 통하여 아이디 또는 패스워드가 존재하지 않는다는 메시지가 나옵니다.

하지만 해당 로그인 체크 과정은 외부와 연결되지 않는 단순한 안내 메시지로 확인이 되고 있으므로 계정 정보 유출과는 관계가 없는 것으로 보입니다.

이번 사례와 같이 인터넷 상에서 사용자들이 많이 찾는 소프트웨어 설치 파일로 위장하여 제공되는 것처럼 구성하였지만 최종적인 다운로드는 웹하드에서 받도록 유도하는 경우에는 금전적 수익 목적의 광고 행위일 뿐이므로 가입하지 않도록 하시기 바랍니다.

또한 비공식 외부 프로그램을 통해 특정 서비스 계정 로그인을 하도록 유도할 경우에는 절대로 계정 정보를 입력하지 않도록 주의하시기 바랍니다.