특정 웹 서비스 이용을 위해 필수적으로 설치를 요구할 수 있는 마크애니(MarkAny) 업체에서 제공하는 ImageSAFER 보안 솔루션에 대하여 예전부터 삭제가 제대로 이루어지지 않는 문제로 불평이 많은 것으로 알려져 있습니다.

지금까지 한 번도 설치한 적이 없는데 국민연금공단 서비스를 잠시 살펴볼 일이 있어서 다수의 솔루션을 설치하는 과정에서 ActiveX 설치 방식으로 "MarkAny Inc. e-PageSafer v2.5" 홈페이지 증명서 발급프로그램(MAW_NPS)을 설치하게 되었습니다.

설치가 완료된 프로그램은 기본적으로 "Image Protection (표시 이름 : Image Protect Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\ImageSAFERSvc.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있으며, 이를 통해 ImageSAFERStart_X64.exe, ImageSAFERStart_X86.exe 2종의 파일을 추가적으로 로딩하여 프로세스가 종료되지 않도록 프로세스 보호 기능을 수행합니다.

문제는 제어판을 통해 프로그램 삭제를 진행한 후 시스템 재부팅을 해보면 ImageSAFERSvc.exe, ImageSAFERStart_X64.exe, ImageSAFERStart_X86.exe 3종의 프로세스가 메모리에 상주하여 지속적으로 동작하는 문제를 발견할 수 있다는 점입니다.

어떤 문제로 위와 같은 문제가 발생하는지 자세하게 살펴보니 설치된 "MAWS_NPS - 증명서 발급 시스템" 프로그램을 정상적인 절차에 따라 삭제한 이후에도 프로그램 자체가 거의 삭제되지 않고 지속적으로 동작하게 제작된 것을 발견하였습니다.

 

이에 "MarkAny Inc." 디지털 서명이 포함된 화면 캡처 차단을 통해 정보 유출 차단 및 증명서 위변조 방지 기능을 제공하는 ImageSAFER 보안 솔루션의 삭제 방법을 자세하게 살펴보도록 하겠습니다.

 

참고로 해당 내용은 국민연금공단에서 배포하는 파일을 이용하여 작성되었으며, 다른 웹 사이트에서 배포하는 파일의 경우에는 일부 정보가 다를 수 있음을 밝힙니다.

 

(a) 제어판에 등록된 MarkAny Inc. 업체에서 설치한 "MAWS_NPS - 증명서 발급 시스템" 프로그램을 찾아 삭제를 진행하시기 바랍니다.(※ 프로그램 이름은 설치 사이트에 따라 달라질 수 있으므로 게시자(MarkAny Inc.) 이름으로 찾으시기 바랍니다.)

  • C:\Windows\System32\MAOnFPS_NPS.dll
  • C:\Windows\System32\MaPrintInfoMAWS_NPS.dat
  • C:\Windows\SysWOW64\MAOnFPS_NPS.dll
  • C:\Windows\SysWOW64\MaPrintInfoMAWS_NPS.dat
  • C:\Windows\SysWOW64\uninst_MAWS_NPS.exe

참고로 제어판의 삭제 기능을 통해 삭제를 진행한 경우 위와 같은 극히 일부 파일만 제거될 뿐 프로그램 기능은 정상적으로 동작합니다.

(b) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음과 같은 2개의 명령어를 순서대로 입력 및 실행하여 서비스 종료 및 삭제를 하시면 메모리에 상주하는 3종의 프로세스가 일괄 자동 종료됩니다.

  • sc stop "Image Protection"
  • sc delete "Image Protection"

(c) 다음의 파일을 찾아 존재할 경우 수동으로 삭제하시기 바랍니다.

 

C:\Program Files (x86)\Mozilla Firefox\plugins\npMAOnFPS_MultiBrowser.dll
C:\Program Files (x86)\Opera\program\plugins\npMAOnFPS_MultiBrowser.dll
C:\Program Files (x86)\Safari\Plugins\npMAOnFPS_MultiBrowser.dll
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\Application\Plugins\npMAOnFPS_MultiBrowser.dll
C:\Windows\ImageSAFERSvc.exe
C:\Windows\System32\drivers\VSHOOK.sys
C:\Windows\System32\ImageSAFERDrv64.sys
C:\Windows\System32\ImageSAFERDrv64xp.sys
C:\Windows\System32\ImageSAFERFilter.dll
C:\Windows\System32\ImageSAFERLang.xml
C:\Windows\System32\ImageSAFERMessage.exe
C:\Windows\System32\ImageSAFERMgr.dll
C:\Windows\System32\ImageSAFERProcMon.dll
C:\Windows\System32\ImageSAFERRecovery.exe
C:\Windows\System32\ImageSAFERStart_X64.exe
C:\Windows\System32\ImageSAFERStart_X86.exe
C:\Windows\System32\IMGSFMgr.dll
C:\Windows\System32\ImgsfprocPolicy.xml
C:\Windows\System32\ImgsfProcPolicyForExe.xml
C:\Windows\System32\MaApiZip.dll
C:\Windows\System32\MAOnFPS_CallVista.dll
C:\Windows\SysWOW64\drivers\vshook.sys
C:\Windows\SysWOW64\ImageSAFERFilter.dll
C:\Windows\SysWOW64\ImageSAFERLang.xml
C:\Windows\SysWOW64\ImageSAFERMessage.exe
C:\Windows\SysWOW64\ImageSAFERMgr.dll
C:\Windows\SysWOW64\ImageSAFERProcMon.dll
C:\Windows\SysWOW64\ImageSAFERRecovery.exe
C:\Windows\SysWOW64\IMGSFMgr.dll
C:\Windows\SysWOW64\ImgsfprocPolicy.xml
C:\Windows\SysWOW64\ImgsfProcPolicyForExe.xml
C:\Windows\SysWOW64\MaApiZip.dll
C:\Windows\SysWOW64\MAOnFPS_CallVista.dll

참고로 파일 삭제 중 "C:\Windows\System32\ImageSAFERFilter.dll", "C:\Windows\SysWOW64\ImageSAFERFilter.dll" 모듈이 삭제되지 않는 경우에는 모든 절차 완료 후 Windows 재부팅 이후 재삭제를 진행하시면 정상적으로 삭제가 이루어집니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바라며, 일부 레지스트리 값은 제어판을 통한 삭제시 제거되었을 수도 있으며 배포처에 따라 일부값이 다를 수 있습니다.

 

HKEY_CLASSES_ROOT\AppID\{663FAB43-DA0E-4155-8771-81AFE6137AD6}
HKEY_CLASSES_ROOT\AppID\MAOnFPS_CallVista.DLL
HKEY_CLASSES_ROOT\CLSID\{663FAB43-DA0E-4155-8771-81AFE6137AD6}
HKEY_CLASSES_ROOT\CLSID\{6812FE23-7822-4DB8-982D-C535CE3E08C0}
HKEY_CLASSES_ROOT\Interface\{80C8E31A-DAF7-4766-94A8-3A415AFE0AC5}
HKEY_CLASSES_ROOT\Interface\{BC6699C1-DDD5-4C71-854C-8C3F3ACFDD7D}
HKEY_CLASSES_ROOT\Interface\{C844D687-71D8-4490-94CF-E8B2DD5542B8}
HKEY_CLASSES_ROOT\MAOnFPS_CallVista.MAWS_CallVista
HKEY_CLASSES_ROOT\MAOnFPS_CallVista.MAWS_CallVista.1
HKEY_CLASSES_ROOT\MAOnFPS_NPS.MAWS_NPS
HKEY_CLASSES_ROOT\MAOnFPS_NPS.MAWS_NPS.1
HKEY_CLASSES_ROOT\TypeLib\{125BD2CE-760C-46CB-A5BC-14CD8E6EFB02}
HKEY_CLASSES_ROOT\TypeLib\{6D80719B-4F77-41F4-8FAC-7DFAB9D28418}
HKEY_CLASSES_ROOT\Wow6432Node\AppID\{663FAB43-DA0E-4155-8771-81AFE6137AD6}
HKEY_CLASSES_ROOT\Wow6432Node\AppID\MAOnFPS_CallVista.DLL
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{663FAB43-DA0E-4155-8771-81AFE6137AD6}
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{6812FE23-7822-4DB8-982D-C535CE3E08C0}
HKEY_CLASSES_ROOT\Wow6432Node\Interface\{80C8E31A-DAF7-4766-94A8-3A415AFE0AC5}
HKEY_CLASSES_ROOT\Wow6432Node\Interface\{BC6699C1-DDD5-4C71-854C-8C3F3ACFDD7D}
HKEY_CLASSES_ROOT\Wow6432Node\Interface\{C844D687-71D8-4490-94CF-E8B2DD5542B8}
HKEY_CLASSES_ROOT\Wow6432Node\TypeLib\{125BD2CE-760C-46CB-A5BC-14CD8E6EFB02}
HKEY_CLASSES_ROOT\Wow6432Node\TypeLib\{6D80719B-4F77-41F4-8FAC-7DFAB9D28418}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ISMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Image Protection

참고로 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISMGR" 키값을 삭제하기 위해서는 권한 수정이 필요하므로 링크 내용을 참고하시기 바랍니다.

 

마지막으로 마크애니(MarkAny) 업체에서 ImageSAFER 보안 솔루션을 왜 이런 식으로 제작했는지 모르지만 제어판을 통한 삭제 기능을 제공하는 것처럼 사용자를 기만하는 행위는 수정되기를 희망합니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..