본문 바로가기

벌새::Analysis

파일 공유 가제트 분석

반응형
(주)하나로네트웍스 업체에서 서비스하는 파일 공유 서비스 가제트 프로그램을 이용하시는 분들이 참고할 몇 가지 사항에 대해 살펴보도록 하겠습니다.
일반적으로 국내에서 서비스되는 대다수의 파일 공유 서비스는 해당 서비스 이용 여부와 관계없이 사이트의 특정 컨텐츠에 접근하는 것만으로도 ActiveX 방식의 프로그램을 설치할지 여부를 묻고 있습니다.

이로 인하여 사용하지 않을 경우에도 설치될 수 있으며, 일부 프로그램의 경우에는 해당 서비스에서 제공하는 삭제 방식을 이용하더라도 추가적인 삭제를 하지 않을 경우 해당 사이트 접속으로도 재설치가 될 수 있는 부분이 있습니다.

해당 파일 공유 서비스 역시 ActiveX 방식으로 설치를 시도하고 있으며, 테스트에서는 ActiveX 방식을 통해 설명을 하겠습니다.
생성 폴더, 파일 정보
해당 프로그램의 설치 과정은 ActiveX를 통해 설치가 진행이 되면, 윈도우 시스템 폴더 내에 GazSetup.exe 설치 파일을 생성하고 사용자가 웹 페이지의 특정 컨텐츠에서 제공하는  다운로드 버튼을 클릭할 경우 가제트 파일이 설치되도록 구성되어 있습니다.
제품의 이용약관에서는 해당 프로그램은 (주)와이즈휴먼네트웍스에서 서비스하는 제품이라고 밝히고 있으며, 실제 제작사 홈페이지의 업체명과는 개발사가 다른 것으로 추정됩니다.

제품의 설치 단계에서 [타 P2P 공유폴더 추가] 항목이 기본적으로 체크된 상태로 제시되고 있는데, 해당 서비스에서 타 공유 프로그램의 공유폴더를 연결하는 것은 개인적으로 보안상 추천하지 않습니다.

이렇게 설치된 프로그램은 기본값으로 윈도우 시작과 함께 Gaz.exe 프로세스가 동작하게 구성되어 있습니다.
[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - GAZ = "C:\Program Files\Gaz\Startup"
그런데, 프로그램 설치 과정에서 제공하는 이용약관이나 제작사 홈페이지 이용약관에서도 밝히지는 않았지만 해당 프로그램 자체는 그리드(Grid) 방식을 이용하고 있는 것을 확인할 수 있습니다.

사용자의 인터넷 자원을 사용한다는 것은 특히 유료 결제까지 사용하도록 하면서 이용시에는 반드시 이런 부분에 대해 사용자가 인지할 수 있도록 안내를 하는 것이 도리가 아닌가 생각됩니다.

그러므로 해당 서비스를 이용하는 경우에는 되도록이면 서비스를 이용하지 않을 경우에는 환경설정에서 자동으로 실행되지 않도록 설정하시기 바랍니다.
프로그램의 삭제는 제어판의 [가제트 1.0.2.535] 삭제 항목을 이용하여 삭제할 수 있습니다. 하지만 앞서 언급한 것처럼 해당 삭제 기능은 오직 가제트 설치 폴더 내의 정보만을 삭제하고 있으며 ActiveX 방식으로 설치한 경우 해당 컨트롤러는 그대로 존재하므로 해당 사이트에 접속하는 경우 재설치될 가능성이 있습니다.
[수동 삭제 파일 정보]

C:\Downloaded Program Files\GazStarter.inf
C:\Downloaded Program Files\GazStarter.ocx

C:\WINDOWS\System32\Gaz.ico
C:\WINDOWS\System32\GazSetup.exe

[수동 삭제 레지스트리 정보]

HKEY_CLASSES_ROOT\CLSID\{1894F1BB-9459-41FE-80F9-CB3ACEE5D84F}
HKEY_CLASSES_ROOT\CLSID\{BFF43C82-4AC2-441F-9B85-4340679DA897}
HKEY_CLASSES_ROOT\GAZSTARTER.GazStarterCtrl.1
HKEY_CLASSES_ROOT\Interface\{2B7EDD28-7249-46FB-8DB1-360A2E468E75}
HKEY_CLASSES_ROOT\Interface\{ED9A7C61-6DA5-4664-B241-E3123E32A0C6}
HKEY_CLASSES_ROOT\TypeLib\{AC29A393-1DCB-427C-8BAF-5631F7F4BAA5}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1894F1BB-9459-41FE-80F9-CB3ACEE5D84F}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BFF43C82-4AC2-441F-9B85-4340679DA897}
HKEY_LOCAL_MACHINE\software\Classes\GAZSTARTER.GazStarterCtrl.1
HKEY_CLASSES_ROOT\Interface\{2B7EDD28-7249-46FB-8DB1-360A2E468E75}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{ED9A7C61-6DA5-4664-B241-E3123E32A0C6}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{AC29A393-1DCB-427C-8BAF-5631F7F4BAA5}
HKEY_LOCAL_MACHINE\software\Microsoft\Code Store Database\Distribution Units\{BFF43C82-4AC2-441F-9B85-4340679DA897}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/GazStarter.ocx
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\SharedDLLs
 - C:\WINDOWS\Downloaded Program Files\GazStarter.ocx = 0x00000001 (1)
마지막으로 테스트를 진행하는 과정에서 해당 프로그램 자체의 심각한 버그를 발견하였습니다.

정상적인 경우, 해당 서비스에 회원 가입을 하고 유료 결제를 이용한 회원의 경우 AtiveX 방식으로 설치된 경우 특정 컨텐츠를 다운로드할 경우 프로그램 동작과 함께 로그인 과정을 반드시 거쳐야 합니다.
하지만 그림과 같이 해당 서비스의 회원 가입을 하지 않은 상태에서 다운로드 클릭을 시도에 로그인이 자동으로 이루어지면서 선택한 컨텐츠의 다운로드가 진행되는 부분을 확인할 수 있었습니다.

특히 해당 화면에서는 6일이 남은 정액제가 동작하고 있다고 표시를 하고 있습니다.

해당 부분에 대해서는 더 자세하게 확인을 하면 서비스 침해 요소가 될 것으로 생각하여 해당 부분만 확인하며 다운로드가 실제 진행이 되는지만을 최종적으로 확인하였습니다.

이 부분은 프로그램을 완전히 삭제 후 재설치를 통해 확인을 하여도 여전히 발생하며, 타 환경에서는 발생하지 않는 특이한 경우로 추정됩니다.

참고로 해당 발견된 버그는 절대로 비밀리에 사용하지 않았음을 밝힙니다. 물론 이용하지도 않는 서비스 업체에 해당 사항에 대해 지적해 주지도 않을 예정입니다.


728x90
반응형