울지않는벌새 : Security, Movie & Society

내가 생각하는 가짜 백신(Rogue AV)의 기준

벌새::Security
해외에서 매일 새롭게 출현하는 가짜 백신(Rogue AV)은 이미 국내 인터넷 사용자에게까지 영향력을 부릴 정도로 대단합니다.

특히 이들 악성코드는 트로이목마(Trojan)와 같은 타 악성코드를 통해 감염을 시켜 추가적으로 다운로드하는 방식을 통해 사용자가 인지하지 못하는 방식을 사용하고 있는 것으로 보입니다.

국내의 경우에는 과거와 비교하여 현재 가짜 백신으로 진단되는 경우는 급격히 줄어들고 있습니다. 하지만 여전히 과거에 비해 보안제품을 표방하는 유사 제품군이 100~200개 수준으로 파악되고 있으며, 일부 인터넷 사용자의 경우 자신도 모르게 설치되어 사용자 컴퓨터를 괴롭히거나 금전적 피해를 주고 있는 것이 현실입니다.

먼저, 2007년 정부가 개정한 스파이웨어(Spyware) 진단 기준을 살펴보도록 하겠습니다.

- 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 다음 각 호의 어느 하나에 해당 하는 행위를 수행하는 프로그램은 스파이웨어에 해당(ActiveX 보안 경고 창만을 이용한 설치는 동의로 간주하지 않으나, 해당 웹사이트의 서비스를 이용하기 위해 그 사이트를 방문 때만 실행되는 프로그램은 예외로 함)

1) 웹브라우저 등 이용자가 그 용도를 명확하게 인지하고 동의한 프로그램(이하 '정상 프로그램'이라한다) 또는 시스템의 설정을 변경하는 행위
2) 정상 프로그램 또는 시스템의 운영을 방해, 중지 또는 삭제하는 행위
3) 정상 프로그램 또는 시스템의 설치를 방해하는 행위
4) 정상 프로그램 외의 프로그램을 추가적으로 설치하게 하는 행위
5) 이용자가 프로그램을 제거하거나 종료시켜도 당해 프로그램(당해 프로그램의 변종도 포함)이 제거되거나 종료되지 않는 행위
6) 키보드 입력 내용, 화면 표시 내용 또는 시스템 정보를 수집, 전송하는 행위(다만, 정보통신서비스 제공자가 이용자의 개인정보를 수집하는 경우는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제50조의5의 규정을 적용한다)

해당 기준의 핵심은 사용자의 동의 여부, 정상적인 컴퓨터 사용의 방해, 삭제 방해, 정보 수집으로 분류할 수 있습니다.

법적으로 정해놓은 기준과 함께 가짜 백신을 중심으로 한 개인적인 판단 기준에 대해 이야기를 해 보겠습니다.


1. 광고를 통한 배포 방식의 문제


■ 해외 사례


해외에서 최근 거론되는 유명 보안제품 중 ParetoLogic 업체의 제품의 경우 실제 보안제품에서는 악성코드로 진단하지 않지만 과거의 악의적인 배포 방식을 고려한다면 악성코드로 볼 수 있다는 주장이 있다고 알려져 있습니다.

이 업체 제품은 전형적인 가짜 백신의 배포 방식인 트로이목마를 통한 배포는 이루어지지 않았지만, 가짜 백신처럼 각종 블로그, 게시판, 사이트 개설을 통하여 비정상적인 홍보를 통한 제품 설치를 유도하였다고 알려져 있습니다.

예를 들어 특정 컴퓨터 문제와 관련된 용어를 입력시 검색 사이트 상단에 배치를 하거나 광고를 배치하여 자신들이 만물박사처럼 모든 것을 치료할 수 있는 것처럼 하여 유료 결제를 유도하는 방식을 취하거나, 다수의 배포자와 파트너 관계를 통한 홍보 방식으로 보안 전문가들 입장에서 악성코드 배포 방식과 크게 다르지 않다고 보았다고 합니다.

이렇게 초창기 제품 홍보를 통해 사용자 층을 확보한 제품은 현재는 극히 정상적인 프로그램 방식으로 영업 방식을 전환하는 한 사례로 알려져 있습니다.

■ 국내 사례와 현실

국내의 경우 역시 해외 사례와 유사한 방식으로 2005년경부터 다수의 유사 보안제품들이 홍보에 열을 올린 적이 있습니다. 이런 제품 중에서는 실제 올해 초반 재판까지 가는 일이 있었고, 뒷북 때리기 수사 덕분에 무죄로 판결이 난 것으로 알려져 있습니다.

과거의 방식은 성공 케이스를 통해 본다면 다수의 파트너를 확보하여 블로그, 게시판에 해당 제품에 대한 과장 광고를 하는 행위와 돈만 주면 프로그램의 검증없이 공개 자료실에 등록을 해주는 무분별한 관행으로 인하여 정상적인 컴퓨터 사용을 방해하거나 금전적 피해로 연결되는 부분이 과거부터 있었습니다.

잠시 해외 사례로 돌아가보면 유명 공개 자료실 Softpedia에서는 자체적으로 정한 정책에 따라 유명 보안제품을 애드웨어(Adware)로 분류하여 게시하는 등의 경우도 있습니다. 물론 이 공개 자료실의 정책이 100% 신뢰할 수는 없다는 점도 분명히 있습니다.

초기에는 이런 방식으로 공개적으로 자신들의 이름을 많은 사람들이 알게하는 영업 방식을 취하였다면, 현재는 그 반대로 제품 사이트를 운영하지만 외부적으로 자신들이 노출되는 것을 극도로 싫어하는 경향이 강하다고 생각합니다.

특히 자신들에 대한 이름만 들어가도 명예훼손이라는 신종 인터넷 무기를 빌려 해당 글은 차단이 되거나 법적 고소를 무기로 해당 게시글 작성자에게 반협박(?)을 하는 경우가 있습니다.

앞서 언급한 허위 과장 광고 방식이나 비정상적인 배포 방식을 통한 영업 방식은 극도로 비윤리적인 기업관을 가진 업체들이라고 생각됩니다.

[벌새가 생각하는 가짜 백신 - 하나]

자신의 제품이 인터넷 상에 언급되는 것을 극도로 꺼리는 제품은 가짜 백신이다. 모든 인터넷 사용자는 프로그램을 설치할 자유가 있고 평가할 자유가 있다.

단, 근거없는 비방과 욕설로 일관하지 않는다면...


2. ActiveX를 통한 배포 방식의 문제


국내 인터넷 환경에서 빠질 수 없는 프로그램 설치 방식 중의 하나인 ActiveX 설치 방식은 반드시 짚고 넘어갈 부분입니다.

정부의 ActiveX 설치 방식에 대한 항목을 보면 해당 사이트 서비스를 위해 사이트를 방문시에만 동작해야 한다는 근거를 달고 있지만, 사실상 유사 보안제품들의 ActiveX 설치 방식은 타 웹사이트와 계약을 통한 설치 당 수익금 배분에 따른 방식으로 진행되는 경우가 많으며, 악의적으로 구성된 광고 페이지를 통한 경우가 가끔씩 발견됩니다.

문구 그대로 해석을 한다면 ActiveX를 통해 설치를 하였지만 설치된 프로그램은 해당 사이트를 방문한 경우에만 동작하는 방식이 아니라 윈도우 시스템이 시작되면서 자동 실행이 되거나 독립적 프로그램으로 동작하기에 사실상 해당 규정의 보호를 받지 못하는 배포 방식이라고 개인적으로 생각됩니다.

특히 ActiveX를 통해 설치된 경우 제품 삭제를 할 경우 해당 Controller는 여전히 %Windir%\Downloaded Program Files\ 폴더 내에 존재하므로 차후에 재설치될 여지가 존재하며, 한 번 설치가 된 경우 자신의 사이트를 신뢰 사이트로 등록을 하여 추가적인 설치에 대한 보안상의 구멍을 열어주는 꼴이 될 수 있습니다.

최근에는 단독적인 ActiveX 배포 방식에서 벗어나 타 서비스(동영상 서비스, 파일 공유 서비스, 적립금 서비스, 개인정보 확인 서비스 등)와 연계된 방식으로 설치를 유도하는 경우를 통해 하나의 서비스 속에서 다수의 제휴 프로그램으로 등록되어 사용자가 일일히 설치 과정에서 각 프로그램에 대한 정보를 확인하기 힘들게 만드는 배포 방식으로 전환하고 있다고 보여집니다.

특히 일부 프로그램의 경우에는 제작사 홈페이지에서 제공하는 설치 파일을 통한 설치와 ActiveX 방식의 외부적 경로를 통한 설치 파일 구성을 다르게 하여 제작사에서 제공하는 경우에는 삭제를 지원하지만 다른 경로의 경우에는 삭제를 지원하지 않는 문제 등도 있을 수 있습니다.

[벌새가 생각하는 가짜 백신 - 둘]

자신의 사이트를 벗어난 ActiveX 설치 방식을 유도하는 제품은 가짜 백신이다.


3. 스파이웨어(Spyware) 진단 정책 속의 가짜 백신(Rogue)의 모습


스파이웨어 진단 내에는 애드웨어(Adware)가 포함된 개념입니다. 일반적으로 스파이웨어라고 칭하면 사용자 컴퓨터의 민감한 개인정보를 탈취하는 기능이 포함되어야 된다고 용어적 해석을 내릴 수 있지만, 프로그램 설치로 인하여 원치않는 광고창 생성, 허위 진단을 통한 유료 결제, 비정상적인 설치 방식 등 다양한 변수가 존재합니다.

앞서 말한 가짜 백신만을 초점으로 본다면 현재 국내 보안업체에서 진단하는 국내에서 제작된 가짜 백신의 진단명을 대체로 다음과 같습니다.

[안철수연구소(AhnLab)의 최근 국내 가짜 백신 진단명 예시]

Win-Adware/Rogue.VirusBye.344189 
Win-Dropper/Rogue.VirusBye.433152
Win-Adware/Rogue.VaccineClear.364544
Win-Downloader/Rogue.VaccineClear.527360
Win-Adware/Rogue.HelpClear.155648
Win-Downloader/Rogue.HelpClear.540672

진단명은 스파이웨어 분류의 애드웨어 또는 다운로더(Downloader) 형태를 가지고 있습니다. 진단명을 근거로 해석해 본다면 해당 프로그램이 설치되는 과정 상에서 사용자 동의없이 설치되거나 타 프로그램으로 인하여 설치되는 형태임을 알 수 있습니다. 또한 프로그램 설치로 인하여 광고가 추가되는 형태를 취하고 있는데 이는 BHO 방식을 통한 경우로 Internet Explorer를 통해 검색을 할 경우 생성되는 방식이 아닌가 추정됩니다.

위와 같이 현재 국내 보안업체에서는 단순히 허위 과장 진단을 수백개를 한다고 가짜 백신으로 진단하는 진단정책을 가지고 있지 않으며, 이런 허위 진단을 통해 결제를 유도한다고 진단하지 않는다는 점은 현실적인 한계라고 봅니다. 이 부분은 신뢰할 수 있는 보안제품들 역시 오진의 문제에서 벗어날 수 없기 때문에 진단값만을 놓고 가짜 백신으로 분류할 수 없는 점을 이해해야 할 것 같습니다.

그러므로 국내 가짜 백신의 기준을 잡을 때에는 보안제품의 가장 기본이 되는 진단을 첫 번째 요소로 고려할 수 있지만, 보안업체에 특정 프로그램을 진단하도록 요청하고자 할 경우에는 그 부분보다는 비정상적인 설치 경로가 가장 핵심이 아닐까 생각됩니다. 제가 이 글의 첫 번째 고려 요소로 배포에 신경을 쓰는 점이 이 때문이기도 합니다.

그렇다고 일부 국내 프로그램 중에서는 윈도우에서 필수적인 파일을 악성코드로 진단하는 제품들이 있고, 불필요한 진단을 통해 과장 진단을 하는 제품들이 있다는 점을 무시하면 안된다고 생각합니다. 결국 이런 제품의 목표는 사용자가 자신의 제품을 이용하기 위해 유료 결제로 연결을 시키는 것이 가장 큰 목표이기 때문입니다.

특히 유료 결제를 해야하는 제품의 경우에는 반드시 일정 기간 무료 체험을 통해 해당 제품의 치료 능력도 검증을 받아야 하지만, 이런 제품들은 설치와 동시에 진단되는 부분에 대해 바로 유료 결제를 요구하므로 실제 치료가 제대로 이루어지는지 여부는 신뢰할 수 없습니다.

[벌새가 생각하는 가짜 백신 - 셋]

프로그램 설치 후 허위 진단을 통한 주기적인 결제 유도 행위 및 추가적인 광고 생성 행위를 하는 제품은 가짜 백신이다.


4. 허술한 이용약관의 문제


프로그램을 설치하는 과정, 특정 사이트 가입시, 유료 결제 화면에서 제공하는 이용약관을 보면 이들 제품 뿐 아니라 다양한 사이트와 서비스에서 이용약관을 매우 읽기 어렵게 구성하고 있는 경우를 쉽게 찾아볼 수 있습니다.

저번에 언급한 네이트온 메신저의 경우와 같이 충분히 사용자가 읽기 편하게 구성할 수 있는 방법이 존재하지만 마치 읽어서는 안되는 글처럼 그리고 읽지 않기를 희망하는 글처럼 교묘하게 이용약관을 제시하는 경우가 많습니다.

가뜩이나 문구 자체가 길고 해석상의 문제가 있는 내용으로 구성되어 있는데 좁은 공간에서 마우스 클릭을 통해 이를 읽는다는 것은 사실상 매우 어렵습니다.

특히 일부 업체의 경우 업체명이 엉터리로 표기되어 있거나, 타 업체의 이용약관을 그대로 복사하여 사용하는 경우, 기간을 제시하지 않고서 결제를 유도하는 경우 등 사용자 입장에서 금전적 피해로 연결될 수 있는 여지가 존재하기에 이런 부분에 대해 이용시 더욱 주의가 요구됩니다.

실제 유료 사용자가 문제를 업체에 제기를 하면 해당 업체에서는 이용약관을 근거로 자신들의 정당성을 입증하려 할 것이지만, 또 다른 면에서 본다면 허술한 이용약관에 대해 문제를 제기시 자신들의 단순하 실수로 치부하는 경향도 있으리라 보여집니다.

이야기에서 다소 벗어난 내용이지만 무료 체험을 통한 이벤트 광고를 통해 차후 자동 연장 결제로 이어지는 이용약관의 경우와 같이 보안제품들에서도 보안의 특성상 자동 연장 결제를 통한 경우로 피해를 보시는 경우가 많이 있습니다.

특히 초기 제품을 출시하면서 자동 연장 결제 가격을 5,000원선으로 유지하지만 몇 개월만에 바로 9,000원대로 올리는 영업 방식은 초기 사용자를 모아서 사실상 목표로 하는 가격대로 변경하려는 방식은 전형적인 이런 프로그램들의 결제 함정이 아닐까 생각됩니다.

[벌새가 생각하는 가짜 백신 - 넷]

결제 가격의 급격한 상승 및 부정확한 이용약관을 제시하는 제품은 가짜 백신이다.

이상에서 개인적으로 생각하는 가짜 백신에 대해 정리를 해 보았습니다. 어차피 이런 내용은 개인적인 판단 기준일 뿐이지만, 정말 자신의 컴퓨터를 보호하기 위해 금전을 지불하고 프로그램을 이용하신다면 신뢰할 수 있는 보안제품에 돈을 투자하는 것이 올바른 소비자의 길이 아닐까 생각됩니다.

이 외에도 자신들이 생각하는 제품 판단 기준이 있을 수 있기에 실제 사람들 입에 오르내리는 유명 보안제품이라도 가짜 백신은 아니지만 신뢰할 수 없는 경우가 있으므로 반드시 제품을 유료 구매를 하신다면 사전에 설치를 하여 자신의 컴퓨터 환경에 맞는 제품을 결정하는 소비 행태가 필요해 보입니다.