울지않는벌새 : Security, Movie & Society

싸이월드 비밀 방명록 훔쳐보기의 진실

벌새::Analysis
SK Communications에서 서비스하는 싸이월드(Cyworld)는 각종 해킹이나 해당 서비스의 비밀스러운 부분에 대해 외부적인 서비스를 통해 정보를 알아내려는 시도가 참 많습니다.

가장 최근의 경우에도 위와 같이 외부적인 서비스를 통해 방문자 정보를 확인하거나, 그 외 누군가에 의해 제작된 투데이 올리기 등 다양한 프로그램이 돌아다니고 있는 것으로 알고 있습니다.

우연히 비밀 방명록에 작성된 글을 확인할 수 있다는 프로그램이 있어서 잠시 확인을 해보았습니다.

[싸이월드 비밀 방명록 훔쳐보기]

MD5 : 4e4878502ae0246310a5da1739dcb9f0



해당 단독 파일로 배포되는 실행 파일은 위와 같이 일부 보안제품에서 의심파일로 진단을 하고 있습니다.


해당 파일을 실제 동작시 생성되는 정보를 확인해 보면(제가 싸이월드를 이용하지 않는 점과 실행 중 VB 관련 파일이 존재하지 않는 점으로 인한 오류로 정상 동작 실패한 점을 고려해 주시기 바랍니다.), 위와 같이 Image File Execution options 항목에 자신을 등록하는 것이 아닌가 생각됩니다.

이는 윈도우 부팅시 해당 프로세스가 동작하면 자동으로 해당 프로그램도 동작을 시킬 수 있으며, 일부 악성코드가 이 점을 이용하고 있는 것으로 알고 있습니다.


특히 해당 파일의 내부를 살펴보면 특정 싸이월드 계정 2개를 확인할 수 있고, 기본적으로 윈도우 시작과 함께 해당 프로그램이 동작하도록 구성되어 있습니다.

시작 프로그램 등록 정보를 해지하여도 타 프로세스에 등록된 정보로 인하여 실제 프로그램 파일이 제대로 삭제가 되지 않을 수도 있는 것으로 보입니다.

그러면 진짜 이 프로그램의 정체는 무엇일까요?

배포자로 추정되는 남성 싸이월드


해당 파일에 등록된 싸이월드 계정을 추적해보면 모 남성 사용자 미니 홈페이지가 존재하다는 것을 알 수 있습니다. 특히 해당 방문자수를 보시면 00시가 되기 직전의 시점에서 벌써 6,641명의 카운터가 기록되어 있습니다.

배포자의 애인으로 추정되는 여성 싸이월드


또 다른 싸이월드는 여성으로 동일 시간대에 7,569의 카운터를 기록하고 있는 것을 확인할 수 있었습니다.

이 둘의 싸이월드 카운터를 00시 이후 1시간 가량 관찰해보면 70 카운터를 기록하고 있으며 둘 모두 동일한 수치로 올라가는 점을 고려해 본다면 비밀 방명록 프로그램은 자신들의 투데이를 사용자 몰래 올리기 위해 제작하여 배포하는 것으로 추정됩니다.

또한 남성 싸이월드의 일촌평에 해당 여성 싸이월드 주인이 기록을 한 점으로 미루어보아 확실해보입니다.

일반적으로 웹 상에서 신뢰할 수 없는 프로그램을 다운로드하여 정상적인 서비스가 아닌 우회적인 방법으로 접근을 하려고 하다보면 위와 같이 그런 점을 악용하여 배포되는 프로그램으로 인하여 타인에게 자신도 모르게 도움만 주면서 자신의 컴퓨터 리소스 낭비와 기타 악의적인 동작으로 인하여 개인정보 등이 탈취될 수 있습니다.