본문 바로가기

벌새::Analysis

심파일을 닮은 위험한 공개 자료실

글 제목이 다소 자극적입니다만 ActiveX를 통한 특정 서비스를 이용하는 것과 함께 추가적으로 제공되는 스폰서 프로그램의 문제에 대해 생각을 해 보도록 하겠습니다.

해당 게시글에서 예를 드는 특정 서비스의 명칭 및 해당 업체 정보는 모자이크 처리를 하였음을 밝힙니다. 이유는 해당 서비스는 제가 봐서는 심파일의 저작권을 침해하는 행위를 했다고 생각되기 때문입니다.(아니면 심파일의 동의를 구했는지도 모르겠습니다.)

최근 국내에 알려진 소프트웨어 공개 자료실 이외에 각종 포털 검색 사이트에 등록을 하여 사용자가 이용하도록 구성된 소규모 공개 자료실이 생겨나고 있습니다. 이런 공개 자료실은 큰 특징이 바로 ActiveX 설치를 통한 서비스 이용을 목표로 하고 있으며(물론 심파일 등 대부분의 자료실이 정상적인 운영을 위해 ActiveX 방식을 사용합니다.) 각종 스폰서 프로그램의 추가적인 설치 옵션을 제공하고 있습니다.

 

예전에 살펴본 마이폴더넷의 경우 최근 확인한 바로는 ActiveX를 설치하지 않고 프로그램을 다운로드시에는 특별히 제작된 설치 파일을 통해 시작 프로그램 등록 행위를 통한 프로그램 설치 등의 방식을 통해 해당 서비스를 이용하지 않을 경우에도 관련 파일이 동작하는 비정상적인 행위를 확인할 수 있었습니다.

 

또한 지금은 사라진 하이디스크 서비스 역시 당시 심파일 저작권 침해와 함께 ActiveX를 통한 비정상적인 서비스를 운영하였던 적도 있었습니다.

다시 본론으로 들어와서 이번에 살펴볼 서비스는 최근 생겨나고 있는 공개 자료실의 한 형태로 일부 서비스의 경우에는 보안제품에서 악성코드로 진단하는 것으로 알려져 있습니다.

등록 방식은 검색 사이트에서 스폰서 또는 프리미엄 방식 등을 통해 등록을 하여 사용자들이 많이 찾는 프로그램의 명칭을 입력시 그림과 같이 사이트가 검색되도록 구성되어 있습니다.

해당 사이트에 접속을 하면 다양한 국내외 프로그램을 등록하여 다운로드 서비스를 하는 정상적인 공개 자료실로 구성되어 있습니다.


해당 자료실 목록 중 최근 가장 인기가 있었던 안철수연구소(AhnLab) DDoS 전용백신을 실제로 다운로드를 시도해 보았습니다.


해당 프로그램의 게시글에서는 안철수연구소의 전용백신을 다운로드하기 위해서는 다음과 같은 ActiveX를 설치하도록 하고 있습니다.


ActiveX 설치명의 경우 [****Nara Launcher Controler v1.0]으로 표시를 하여 실제 해당 다운로드 서비스를 위한 프로그램으로 소개를 하고 있습니다. 즉 해당 사이트에 사용자가 접속을 하여 해당 프로그램이 동작한다는 의미로 해석할 수 있습니다.


설치를 진행하면 위와 같이 프로그램에 대한 이용약관을 제시하고 있는데, 해당 서비스를 회원 가입없이 이용을 할 수 있게 만들어 놓으면서 개인정보 수집 관련 이용약관이 존재한 점이 특이합니다.

액면 그대로 해석을 한다면 해당 서비스에서는 회원 가입 관련 항목이 없지만 프로그램 설치로 인하여 개인정보 수집이 가능하다고도 해석할 여지가 있습니다. 이 부분에 대해 수집과 관련된 확인된 사항은 없습니다.


다음 설치 화면에서는 해당 ActiveX Launcher 설치를 통해 프로그램 다운로드 기능과 업데이트 기능이 설치되는 기본 항목이 존재합니다. 하지만 마우스를 조금 내리면 추가적으로 제공되는 스폰서 프로그램 목록을 확인할 수 있으며, 기본값으로 전체가 체크되어 있기에 설치시 이 부분을 확인하지 않는다면 총 9개의 Internet Explorer 관련 툴바, 악성코드 치료 프로그램, 적립금 프로그램, 코덱류 등 해당 업체와 외부 업체에서 서비스하는 다른 각종 프로그램들이 모두 설치될 수 있습니다.


이런 과정을 통해 설치된 후 처음 목적의 DDoS 전용백신을 다운로드하기 위해 시도를 하면 마치 심파일에서 제공되는 모양과 매우 흡사한 다운로드 관련 창이 생성되어 정상적으로 프로그램을 다운로드할 수 있도록 제공되고 있습니다.


실제 해당 공개 자료실의 경우 구성 자체가 심파일과 유사한 형태를 취하고 있으며, 프로그램 리뷰글 자체는 심파일의 내용을 그대로 복사하여 이용하고 있는 것을 확인할 수 있었습니다.(심파일 : AhnLab DDoS 전용백신 v1.0)

참고로 심파일에서는 자신들이 서비스하는 프로그램 리뷰글을 무단으로 타 사이트에서 인용시 저작권 침해라고 밝히고 있습니다.

ActiveX 생성 폴더, 파일 정보


해당 ActiveX 파일의 구성을 살펴보면 그림과 같은 생성 파일 중 ****naraupdate.exe 파일이 시작 프로그램으로 등록이 되어 사용자의 시스템이 시작될 경우 자동으로 실행되도록 구성되어 있습니다.

[****naraupdate.exe 시작 파일 내부 정보]

00000000C3E4   00000040C3E4   http://www.****nara.com/updater/bundle/
00000000C6D0   00000040C6D0   http://www.****nara.com/updater/****nara_update.php

초기 설치시에는 분명 해당 사이트의 특정 프로그램을 다운로드하기 위한 프로그램처럼 소개를 하면서 실제로는 내부에서는 프로그램 설치 과정에서 제공된 스폰서 프로그램(Bundle)을 체크하는 것을 확인할 수 있습니다.

스폰서 프로그램 중에는 해당 업체의 프로그램이 있지만 분명히 외부 프로그램도 존재하므로 사용자가 외부 업체의 스폰서 프로그램을 설치하였다면 그 프로그램은 실제 이 업데이트 파일에서 그 후부터 관리를 할 명목이 사라졌다고 볼 수 있습니다. 이유는 각 스폰서 프로그램에서 제공하는 이용약관이 따로 존재하며 계약은 외부 업체와 하고 있는데 설치 후에도 해당 프로그램이 계속적으로 체크할 이유는 없습니다.

또한 앞서도 언급한 것처럼 해당 프로그램은 특정 사이트 내부에서 동작을 할 프로그램이며 설치된 각 프로그램마다의 업데이트 기능이 존재하다는 점에서 윈도우 시작 프로그램에 등록하여 사용자가 해당 공개 자료실을 이용하지 않는데도 실행되는 과욕을 부리고 있습니다.

결국 돈과 연결된 부분의 해당 파일 내부에 존재하다는 것을 확인할 수 있었으며, 위와 같이 최근의 공개 자료실이 자신만을 설치하는 것이 아닌 운영을 위해, 더 빠른 다운로드 서비스 제공을 위해 또는 오로지 금전적 목적을 위해 타인이 무료로 배포하는 파일을 미끼로 자신들의 프로그램을 설치하려고 하는 영업 방식은 보기에 썩 좋아 보이지 않습니다.

스폰서 프로그램의 설치를 사용자가 해지를 하고 이용을 할 수 있지만 사용하지 않는 프로그램을 사용자가 인지하지 못하면서 매번 윈도우 시작시 체크 당하는 나쁜 부분과 이용하는 사용자 입장에서 기본값으로 체크가 된 부분으로 인해 제대로 확인하지 않고 다수의 프로그램이 설치가 되어 마치 자신도 모르게 설치된 프로그램으로 인해 고생을 할 수 있다는 점에서 이래저래 불편한 서비스로 평가가 됩니다.

  • 파일 하나 다운받을려다가 완전히 이상한 것만 다운받겠네요...

    저는 파폭으로 Daum 자료실에서 받는데, ActiveX 필요없이 바로 다운로드가 되더군요.^^

    • 제가 지금까지 본 것 중에서 최고인 것 같습니다. 저렇게 많이 설치할 줄은 몰랐습니다.

      실제 전부 설치를 해보는건데..ㅎㅎ

      다음 자료실도 심파일과 연결이 되죠? 저는 국내 공개자료실은 앳파일만 사용하고, 가끔 마이폴더를 이용하지만 정보를 보고 되도록이면 해당 제작사 사이트에서 받습니다.