글로벌 보안 업체 (주)안랩(AhnLab)에서 새롭게 선보이고 있는 AhnLab Next V3 보안 제품은 그 동안 국내 보안 제품의 약점으로 꼽히던 광고 프로그램에 대한 적극적인 대응을 위해 시스템 방역과 네트워크 방역 기능에 확장 검사 기능을 추가하였습니다.
- 시스템 방역 : 확장 검사 - 불필요한 프로그램 검사(PUP) :: 기본값이 OFF이므로 반드시 ON으로 변경하시기 바랍니다.
- 네트워크 방역 : 확장 검사 - 불필요한 사이트 검사(PUS) :: 기본값이 OFF이므로 반드시 ON으로 변경하시기 바랍니다.
"불필요한 프로그램 검사(PUP)"는 현재 AhnLab V3 365 클리닉 유료 제품에서 수동 검사 방식으로 진단을 제공하고 있지만, AhnLab Next V3 보안 제품에서는 실시간 검사 기능에서도 차단할 수 있도록 제공하고 있는 것이 가장 큰 특징입니다.
또한 새롭게 추가된 네트워크 방역 기능에서는 "불필요한 사이트 검사(PUS)"를 통해 "불필요한 프로그램(PUP)"과 연관된 웹 사이트(URL/IP)를 차단할 수 있는 기능을 통해 다양한 변종 프로그램이 다운로드되지 않도록 예방할 수 있습니다.
▷ AhnLab Next V3 Beta : 환경 설정 (2013.1.30)
해당 내용은 AhnLab Next V3 보안 제품의 환경 설정에서 다루고 있으므로 참고하시기 바랍니다.
이번 글에서는 "불필요한 프로그램 검사(PUP)"와 "불필요한 사이트 검사(PUS)" 기능의 조합을 통해 사용자의 부주의한 동의를 얻어 설치가 이루어지고 있는 배포 사례를 통해 중요성을 살펴보도록 하겠습니다.
1. 배포 방식과 설치 파일 정보
테스트에 사용된 배포 파일은 스팸성 블로그를 통해 다양한 유명 프로그램의 설치 파일을 다운로드할 수 있는 링크 방식을 이용하고 있으며, 특징적인 것은 네이버(Naver)에서 제공하는 "me2.do" 단축 URL 서비스를 이용한다는 점입니다.
- v3litesg_setup.exe (MD5 : 9ca91f3d3d89e79b23ad4f6ae00dab09) - Malwarebytes : Adware.KorAd (VT : 2/46)
다운로드된 AhnLab V3 Lite 무료 백신(v3litesg_setup.exe)은 특정 업체의 디지털 서명이 포함되어 있으며, 국내외 보안 제품들 대부분이 진단하지 않기 때문에 사용자들은 의심없이 파일을 실행할 수 있습니다.
2. 설치 파일(v3litesg_setup.exe) 실행시 AhnLab Next V3 동작 정보
AhnLab Next V3 보안 제품이 설치된 환경에서 다운로드된 파일(v3litesg_setup.exe)을 실행하면, "URL 차단 알림" 창을 통해 "불필요한 사이트 접속을 차단 하였습니다."라는 경고창이 생성됩니다.(※ 해당 경고창은 "불필요한 사이트 검사(PUS)" 기능을 통해 이루어집니다.)
위와 함께 "파일 다운로드" 창이 생성되지만 "실행" 또는 "저장" 버튼을 클릭하여도 파일 다운로드 동작은 원천적으로 차단되어 시스템에 어떠한 파일 생성 동작이 일어나지 않습니다.(※ 위와같은 창이 생성되어 사용자가 창을 종료하기 위해 "닫기(X)" 버튼을 클릭할 경우 생성되는 안내창에서도 문구를 잘 읽고 버튼을 선택하시기 바랍니다. 배포자들은 사용자의 실수를 끝까지 노리고 파일을 제작합니다.)
이러한 AhnLab Next V3 보안 제품의 "불필요한 사이트 검사(PUS)" 기능을 통해 다양한 프로그램의 다운로드가 발생할 수 있는 행위에 대해 근본적으로 차단하여 차단된 사이트(URL/IP)를 통해 진단되지 않을 수 있는 프로그램의 다운로드를 예방할 수 있는 장점을 가지고 있습니다.
3. 설치 파일(v3litesg_setup.exe) 분석 정보
그렇다면 AhnLab Next V3 보안 제품이 설치되어 있지 않은 환경에서는 다운로드된 설치 파일(v3litesg_setup.exe)을 통해 어떤 문제가 발생할 수 있는지 간단하게 살펴보도록 하겠습니다.
설치 파일(v3litesg_setup.exe)을 실행하면 "파일 다운로드" 창이 생성되어 AhnLab V3 Lite 프로그램을 다운로드할 수 있도록 하고 있지만, 하단의 작은 영역에는 총 13종의 제휴 프로그램이 숨어 있는 것을 볼 수 있습니다.
이러한 사용자의 부주의한 동의 과정을 거쳐 설치되는 프로그램들은 국내의 경우 법적인 문제로 인해 보안 제품에서 진단하는데 많은 제약 조건이 있었으며, 반대로 해외 보안 제품은 법적인 문제에서 한결 자유로운 관계로 사용자 입장에서는 국내 보안 제품에 대한 불신을 유발하고 있습니다.
사용자가 제휴 프로그램의 체크 박스를 찾아 모두 해제하지 않고 다운로드가 진행되면 현재 12종의 다양한 수익성 프로그램이 백그라운드 방식으로 자동 설치되어 다양한 광고 행위 및 유료 결제를 유도하는 문제가 발생할 수 있습니다.
특히 현재 확인된 이들 제휴 프로그램 중에서는 3개의 프로그램(※ 밥그릇 모양 아이콘)은 외부 해킹에 의해 원래의 프로그램 기능이 아닌 온라인 게임핵(OnlineGameHack) 또는 인터넷뱅킹 악성코드 감염으로 연결되어 금전적 피해를 유발하고 있는 것으로 확인되고 있습니다.
우선 설치될 수 있는 제휴 프로그램의 설치 파일에 대한 AhnLab Next V3 보안 제품의 진단을 확인해보면 12개의 파일 중 8개의 파일은 "불필요한 프로그램 검사(PUP)"를 통해 진단되어 실제 설치로 연결되지 않는 것을 확인할 수 있습니다.
그렇다면 나머지 4개의 프로그램은 AhnLab Next V3 보안 제품이 설치 파일을 진단할 수 없으므로 설치가 이루어지는지 전체적인 테스트를 진행해 보았습니다.
(1) 제휴(스폰서) 프로그램 : 윈도우 유틸리티 업데이트(Windows Utility Update) (2013.2.9)
- h**p://util***.com/app/wuu/wuu_utiltop.exe (MD5 : 4fede2a0c083a2122187fe0e2a83fccb) - AVG : unknown virus Win32/DH{DwNnNg} (VT : 12/46)
"윈도우 유틸리티 업데이트(Windows Utility Update)" 프로그램 설치 파일은 AhnLab Next V3 보안 제품에서 진단하지 못하고 있지만, 실제 설치 과정에서는 "URL 차단 알림 - 불필요한 사이트 접속을 차단 하였습니다." 메시지를 통해 "불필요한 사이트 검사(PUS)" 차단이 이루어지고 있습니다.(※ [그림 1]의 좌측 그림을 참고하시기 바랍니다.)
특히 해당 설치 파일은 기존에 소개한 "윈도우 유틸리티 업데이트(Windows Utility Update)" 관련 파일을 다운로드하는 것이 아니라, 현재 외부 해킹에 의해 변조된 설치 파일을 통해 해외 특정 서버로부터 악성 파일을 다수 다운로드하는 것으로 확인되고 있습니다.
이를 통해 다운로드된 악성 파일들은 사용자가 금융권 웹 사이트로 접속할 경우 hosts.ics 파일 정보를 체크하여 중국(China)에 위치한 가짜 금융 웹 사이트로 연결하는 인터넷뱅킹 악성코드임을 확인할 수 있습니다.
(2) 검색 도우미 : Network Manager Win (2013.3.21)
- h**p://www.***click.kr/down/NM_code10.exe (MD5 : 97ac01e333733e8ad4fa693447d5f7b9) - AhnLab V3 : PUP/Win32.AdvTopC (VT : 23/46)
"탑클릭(TopClick)"으로 등록된 "Network Manager Win" 검색 도우미 프로그램은 AhnLab Next V3 보안 제품에서 설치 파일 진단을 하며, 추가적으로 "불필요한 사이트 검사(PUS)" 진단을 통해 파일 다운로드를 차단하고 있습니다.(※ [그림 1]의 우측 그림을 참고하시기 바랍니다.)
(3) 검색 도우미 : 윙고 툴바(WingGo Toolbar) - winggom.exe (2012.7.5)
- h**p://s.wing**.co.kr/SM3/utilmaniaSetup.exe (MD5 : b356e4040be3ad25c7ec71cee715edea) - AhnLab V3 : PUP/Win32.WingGo (VT : 23/46)
"윙고(WingGo)"로 등록된 "윙고 툴바(WingGo Toolbar)" 프로그램은 AhnLab Next V3 보안 제품에서 설치 파일 진단 및 "불필요한 사이트 검사(PUS)" 진단을 통해 파일 다운로드를 차단하고 있습니다.(※ [그림 2]의 좌측 그림을 참고하시기 바랍니다.)
(4) 검색 도우미 : Metablog New Issues (2013.3.15)
- h**p://down.****danawa.com/down/adInstall_ad044.exe (MD5 : 74bdcf4d5a53e52709cc509047886175) - AhnLab V3 : PUP/Win32.AdMatching (VT : 9/46)
"메타블로그 최신이슈"로 등록된 "Metablog New Issues" 프로그램은 AhnLab Next V3 보안 제품에서 설치 파일 진단 및 "불필요한 사이트 검사(PUS)" 진단을 통해 파일 다운로드를 차단하고 있습니다.(※ [그림 2]의 우측 그림을 참고하시기 바랍니다.)
(5) 검색 도우미 : SignKey (2012.12.15)
- h**p://down.sign***.co.kr/lime/signkey.exe (MD5 : 91c7940e13f4fc2d9478d78411c5906c) - AhnLab V3 : PUP/Win32.SignKey (VT : 36/46)
"싸인키"로 등록된 "SignKey" 검색 도우미 프로그램은 AhnLab Next V3 보안 제품에서 설치 파일을 진단하고 있으며, "URL 차단 알림 - 위험 사이트 접속을 차단 하였습니다." 경고창을 통해 "유해 웹 사이트 차단(URL)"이 이루어지고 있습니다.(※ [그림 3]의 좌측 그림을 참고하시기 바랍니다.)
(6) 검색 도우미 : 윈도우즈탭(WindowsTab) (2012.4.12)
- h**p://****.muuk.co.kr/app/windowstab/WindowsTabSetup_utiltop.exe (MD5 : 4494e8c9399f3e3f964ff7bd2e105b64) - AhnLab V3 : PUP/Win32.WindowTab (VT : 2/46)
"윈도우즈탭"으로 등록된 "윈도우즈탭(WindowsTab)" 검색 도우미 프로그램은 AhnLab Next V3 보안 제품에서 설치 파일을 진단하고 있으며, "불필요한 사이트 검사(PUS)" 진단을 통해 파일 다운로드를 차단하고 있습니다.(※ [그림 3]의 우측 그림을 참고하시기 바랍니다.)
(7) 프리리슨(FreeListen)에 포함된 FreeListenManager.exe 광고 파일 (2012.6.26)
- h**p://setup.****listen.co.kr/Setup/120/FreeListenSetup.exe (MD5 : 5a6cbe8d3051de960c8b018db7e13424) - AhnLab V3 : PUP/Win32.FreeListen (VT : 18/46)
"프리리슨"으로 등록된 "프리리슨(FreeListen)" 프로그램은 AhnLab Next V3 보안 제품에서 설치 파일을 진단하고 있으며, "불필요한 사이트 검사(PUS)" 진단을 통해 파일 다운로드를 차단하고 있습니다.(※ [그림 4]의 좌측 그림을 참고하시기 바랍니다.)
(8) 검색 도우미 : 오픈키워드(OpenKeyword) (2011.12.21)
- h**p://sub.****keyword.co.kr/opapp/postmedia1/OKExtern.exe (MD5 : 6a0af5c736cf3636fad6e89c8b3eea14) - AhnLab V3 : PUP/Win32.OpenKeyword (VT : 8/46)
"오픈키워드"로 등록된 "오픈키워드(OpenKeyword)" 검색 도우미 프로그램은 AhnLab Next V3 보안 제품에서 설치 파일을 진단하고 있으며, "불필요한 사이트 검사(PUS)" 진단을 통해 파일 다운로드를 차단하고 있습니다.(※ [그림 4]의 우측 그림을 참고하시기 바랍니다.)
(9) 악성코드 제거 프로그램 : 백신시큐어(VaccineSecure) (2013.1.13)
- h**p://util***.com/request/vaccinesecure_utiltop.exe (MD5 : 4fede2a0c083a2122187fe0e2a83fccb) - Microsoft : Trojan:Win32/SystemHijack.gen (VT : 12/46)
"백신시큐어(VaccineSecure)" 프로그램의 설치 파일에 대해서는 AhnLab Next V3 보안 제품을 통해 진단되지 않고 있지만, "네트워크 방역"을 통해 파일 다운로드를 정상적으로 차단하고 있습니다.(※ "백신시큐어(VaccineSecure)" 관련 차단창은 표시되지 않지만, 로그([그림 5] 참조)에서는 정상적으로 차단이 이루어졌습니다.)
해당 설치 파일은 변조된 "윈도우 유틸리티 업데이트(Windows Utility Update)" 프로그램과 동일하며, 이를 통해 인터넷뱅킹 악성코드 감염이 이루어지고 있습니다.
▷ 온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4) (2013.3.17)
특히 해킹에 의한 정상적인 프로그램 또는 수익성 프로그램의 변조를 통한 악성코드 유포 행위를 통한 시스템 감염 사례는 이전에 자세하게 언급을 하였으므로, 위와 같은 관리가 제대로 이루어지지 않는 프로그램이 설치될 경우 또 다른 보안 위협이 될 수 있으므로 조심해야 합니다.
(10) 개인정보 보안 솔루션 : 프라이버시게이트(PrivacyGate) (2013.1.12)
- h**p://util***.com/request/PrivacyGate_utiltop.exe (MD5 : 4fede2a0c083a2122187fe0e2a83fccb) - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VT : 12/46)
"프라이버시게이트(PrivacyGate)" 프로그램의 설치 파일에 대해서는 AhnLab Next V3 보안 제품에서 진단되지 않지만, "네트워크 방역" 기능을 통해 파일 다운로드를 정상적으로 차단하고 있습니다.(※ "프라이버시게이트(PrivacyGate)" 관련 차단창은 표시되지 않지만, 로그([그림 5] 참조)에서는 정상적으로 차단이 이루어졌습니다.)
해당 설치 파일은 변조된 "윈도우 유틸리티 업데이트(Windows Utility Update)", "백신시큐어(VaccineSecure)" 프로그램과 동일하며, 감염을 통해 인터넷뱅킹 악성코드가 설치됩니다.
(11) PC 최적화 프로그램 : 윈도우패스트(WindowFast) (2013.2.10)
- h**p://update.window****.co.kr/set/windowfastsetup_post.exe (MD5 : aae785a8ad3ef38d0c14647d9dd39814) - AhnLab V3 : PUP/Win32.PowerBoan (VT : 33/46)
"윈도우패스트(WindowFast)" 프로그램은 AhnLab Next V3 보안 제품에서 설치 파일을 진단하고 있으며, "불필요한 사이트 검사(PUS)" 진단을 통해 파일 다운로드를 차단하고 있습니다.(※ [그림 6]의 좌측 그림을 참고하시기 바랍니다.)
(12) [삭제] Window Guide (2013.3.15)
- h**p://down.win***uide.com/setup_kid001_silent.exe (MD5 : 4f144325add3e90259f008c513db722b) - Malwarebytes : Adware.KorAd (VT : 3/46)
"윈도우가이드"로 등록된 "Window Guide" 프로그램의 설치 파일은 AhnLab Next V3 보안 제품에서 진단되지 않지만, "유해 웹 사이트 차단(URL)"을 통해 파일 다운로드를 차단하고 있습니다.
(13) 추천 사이트
그 외에 "추천 사이트" 등록을 통해 특정 연결을 통한 바로가기 아이콘 생성 동작을 "불필요한 사이트 검사(PUS)"를 통해 차단하여 실행 파일 기반이 아닌 설치도 차단할 수 있습니다.
결과적으로 AhnLab Next V3 보안 제품이 설치된 환경에서 "불필요한 프로그램 검사(PUP), "불필요한 사이트 검사(PUS)" 확장 검사 기능을 사용할 경우, 사용자의 부주의한 동의 과정을 통해 설치될 수 있는 다양한 수익성 프로그램을 파일 기반, URL/IP 기반으로 차단하여 원치 않는 프로그램이 설치되지 않도록 보호받을 수 있습니다.
특히 이번 사례와 같이 관리가 부실한 수익성 프로그램의 설치 파일이 외부 해킹에 의해 변조된 경우에도 파일 진단과 상관없이 "네트워크 방역" 기능을 통해 차단이 이루어지는 부분도 확인할 수 있었습니다.
현재까지는 이러한 광고 프로그램, 불량 백신 등의 설치에 대해 AhnLab V3 Lite, AhnLab V3 365 보안 제품에서 실시간 검사 기능을 통해 차단하지 못하였기에 해외 보안 제품(avast!, AVG, ESET NOD32, Malwarebytes Anti-Malware 등) 중 PUP 진단이 강한 제품을 선호하는 일이 있었습니다.
하지만 해외 보안 제품과 비교하여 국내 환경을 가장 잘 이해하고 모니터링이 가능한 안랩(AhnLab) 보안 제품을 통해 앞으로는 PUP/PUS 진단을 통해 더욱 깨끗한 사용자 시스템을 유지할 수 있도록 지원하므로 혜택을 볼 수 있다고 판단됩니다.