2016년 1월경부터 국내에서 배포되고 있는 일부 국내 광고 프로그램이 설치될 경우 Windows Defender 보안 제품의 기능을 중지하는 보안 문제에 대해 살펴보도록 하겠습니다.

 

 

Windows Defender 보안 제품은 Windows 7 운영 체제에서는 안티애드웨어(Anti-Adware)와 안티스파이웨어(Anti-Spyware) 기능만을 제공하는 제한적 보안 기능을 제공하는 반면, Windows 8.1과 Windows 10 운영 체제에서는 Microsoft Security Essentials (MSE) 무료 백신 기능을 완전히 대체한 안티바이러스(Anti-Virus) 제품입니다.

 

그런데 Windows 운영 체제에 기본 내장된 Windows Defender 보안 제품으로 인하여 광고 프로그램 설치 및 동작에 영향을 줄 수 있다는 점에서 국내에서 배포되는 광고 프로그램 중 설치 시 Windows Defender 기능을 자동으로 중지하도록 설정하는 사례가 발견되고 있습니다.

 

특히 Windows Defender 보안 제품을 단독으로 사용하는 사용자의 경우 안티바이러스(Anti-Virus) 기능이 중지되었는지 제대로 인지 못하고 장기간 사용함에 따라 다른 악성코드 감염에 쉽게 노출될 수 있는 것으로 파악되고 있습니다.

 

 

대표적으로 Windows Defender 보안 제품의 기능을 방해하는 Windows Application TopsAdon, Windows Application keycast 국내 광고 프로그램은 설치 시 다음과 같은 레지스트리 값을 추가합니다.

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
 - DisableAntiSpyware = 1

추가된 DisableAntiSpyware 레지스트리 값은 Windows Defender 기능을 중지하도록 설정을 변경하며 이 과정에서 어떠한 보안 해제 메시지는 표시되지 않습니다.

 

 

DisableAntiSpyware 레지스트리 값이 추가된 상태에서 Windows 재부팅이 이루어진 후 작업 표시줄 알림 영역에는 정상적인 Windows Defender가 시스템을 보호하고 있다고 표시(C:\Program Files\Windows Defender\MSASCuiL.exe)하고 있지만 Windows Defender 프로그램을 오픈할 경우 "그룹 정책에 의해 이 앱이 꺼져 있습니다."라는 메시지가 표시됩니다.

 

이로 인하여 단순히 Windows Defender 알림 아이콘만을 확인하고 정상적으로 시스템 보호가 이루어지고 있다고 착각할 수 있습니다.

 

 

하지만 실제 Windows Defender 보안 제품은 실시간 보호 기능을 비롯한 마우스 우클릭 수동 검사 기능까지 모두 비활성화된 상태임을 알 수 있습니다.

 

사용자가 Windows Defender 보안 제품 실행을 하는 과정에서 기능이 중지되어 있다는 것을 확인하여 안내 메시지에 따라 그룹 정책에서 Windows Defender 설정값을 확인해보면 모두 기본값 그대로 아무런 변화가 없기에 해당 문제는 해결되지 않습니다.

 

이런 문제를 해결하기 위해서는 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware" 레지스트리 값을 찾아 직접 삭제해야지 Windows Defender 기능이 정상적으로 동작합니다.

 

 

Windows 7 운영 체제의 경우에도 Windows Defender 보안 제품을 실행할 경우 "그룹 정책에서 이 프로그램을 차단했습니다. 자세한 내용은 시스템 관리자에게 문의하십시오.  [오류 코드: 0x800704ec)" 메시지를 생성하여 Windows Defender 프로그램이 차단되었음을 안내하고 있습니다.

 

이런 일련의 보안 문제를 유발하는 Windows Application TopsAdon, Windows Application keycast 악성 광고 프로그램을 제거하여도 광고 프로그램만을 제거할 뿐 설치로 인해 변경된 Windows Defender 기능을 방해하는 설정은 그대로 유지되므로 악성코드 감염에 무방비로 노출될 수 있습니다.

 

국내 광고 프로그램에 대한 진단 정책은 법적인 문제로 AhnLab V3, 알약(ALYac)과 같은 최대 사용자를 가지고 있는 무료 백신에서 진단되지 않을 수 있으며, 근본적으로 광고 프로그램은 국내외 백신 프로그램에서 진단되지 않을 가능성이 높다는 점에서 사용자가 설치되지 않도록 주의를 기울여야 할 것입니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..