본문 바로가기

벌새::Security

파일 다운로드시 주의할 점과 악용 사례

반응형
오늘자 기사 중에서 국내에서 음란물로 위장한 파일을 다운로드하여 DDoS 공격을 위한 파일을 사용자 컴퓨터에 심도록 한 유포자가 벌금형을 받았다는 내용이 있습니다.

해당 유포자는 실제 공격자가 아니므로 많은 선처를 한 것으로 보이는데, 비단 최근의 DDoS 공격으로 인해 이런 유사 사건에 대한 기사가 부각되는 측면도 있지만 웹 상에서 신뢰할 수 없는 출처를 가진 파일을 다운로드하는데 있어서 주의할 점과 이를 무시하고 설치한 경우 어떤 문제가 발생할 수 있는지 알아보도록 하겠습니다.

모범 사례로는 이전에 소개한 국내 애드웨어 유포인 Tpack21을 통해 알아보도록 하겠습니다.

파일을 통한 프로그램의 설치에는 3가지로 나눌 수 있습니다.

[설치 파일를 통한 프로그램 설치 과정]

1. 설치 과정에서 해당 프로그램에 대한 이용약관을 제시하며 동의 유/무를 구하는 방식
2. 설치 과정 자체를 화면으로 보여주지 않고 설치 완료하는 방식
3. 정상적인 프로그램과 함께 사용자가 모르게 다른 프로그램을 함께 설치하는 방식


이런 방식 중에서 전형적인 악성코드의 경우에는 2번처럼 파일을 실행하였을 경우 어떤 정보도 제시하지 않고 사용자 컴퓨터를 감염시키는 경우입니다. 하지만 또 다른 방식 중의 하나가 정상 프로그램으로 위장하여 프로그램 설치 과정에서 사용자 몰래 설치하는 방식이 있을 수 있습니다.

최근의 정체를 알 수 없는 DDoS 공격 역시 국내 웹하드 서비스의 정상적인 프로그램을 통해 사용자 컴퓨터에 설치를 하였다고 알려져 있으며, 이번 기사에서도 정상적인 프로그램처럼 위장하여 설치자를 안심시키는 방식을 이용한 것으로 보입니다.


그림과 같이 블로그나 게시판을 통해 사용자의 시선을 잡을 수 있는 사진, 동영상, 음악과 관련된 컨텐츠를 찾을 수 있다는 문구로 해당 페이지에서 제공하는 특정 파일을 사용자가 설치하도록 유도하고 있습니다. 특히 해당 문구에서는 [다운 없이 바로 실행하면 됩니다.]라고 표현을 하고 있는데, 여기서 명심할 부분이 있습니다.

예시를 드는 파일의 경우에는 설치 과정을 제시하고 있지만 그림과 같이 만약 해당 파일을 클릭하여 다운로드 관련 생성 화면에서 1번의 실행을 클릭할 경우에는 해당 파일을 사전에 확인할 기회를 상실하게 됩니다. 해당 파일이 설치시 어떠한 정보도 제공하지 않고 설치될 경우에는 실제 사용자는 자신의 컴퓨터에 어떤 위치에 어떤 파일이 생성되었는지를 전혀 확인할 방법이 없습니다.

그러므로 웹 상에서는 모든 파일은 반드시 2번 저장 버튼을 통해 파일을 특정 폴더에 저장하고 실행 여부를 결정하는 습관이 매우 중요합니다. 특히 그림과 같은 문구를 추가적으로 기입한 파일은 더욱 의심스러운 파일일 수 있다는 점을 명심하시기 바랍니다.


예시에서는 파일 설치 방식 3번인 정상적인 프로그램으로 위장을 하여 사용자가 인지하지 못하는 사이에 악성코드를 설치하는 방식이로 이번의 경우 과거 배포 파일과는 다르게 이용약관 등의 동의 과정이 또 다시 사라진 것을 확인할 수 있었습니다.


이렇게 자신의 프로그램이 정상적으로 설치되었다는 메시지와 함께 실제 네트워크 동작을 보면 그림과 같이 특정 서버에서 코덱팩 관련 파일을 다운로드하는 것으로 위장을 하여 각종 국내에서 제작된 애드웨어(Adware)류를 다수 설치를 하고 있습니다.

이번 예시에는 또 달라진 점 중의 하나가 자신을 설치하고 정상적인 프로그램을 설치를 하지 않는 점도 특이합니다.


실제 설치된 파일 구성을 살펴보면 프로그램 폴더 내에 baseword(미설치), Batty, IHBar, insideword(미설치), keyover, mcchart(미설치), MicroCode(미설치), nssoft(미설치), softside, Wizzon 총 10종의 애드웨어류가 설치될 여지가 존재합니다.

특히 윈도우 시스템 폴더 내에는 해당 애드웨어가 정상적으로 동작하기 위한 VB 관련 파일을 생성하고 있으며, 윈도우 폴더와 C 내부에 관련 파일들을 다운로드하고 관리하는 업데이트 파일이 존재합니다.

특히 국내 보안업체의 진단을 우회하기 위해 업데이트 관련 파일들은 수시로 변종을 만들어서 진단을 회피하는 경향이 있는 것으로 추정됩니다.

이들 광고 프로그램들은 사용자의 동의를 구하지 않고 설치가 되고 있으며, 설사 동의를 구하더라도 비정상적인 설치 경로와 전형적인 악성코드 설치 방식을 통해 악성코드로 분류되고 있다고 판단됩니다.

이전에 Tpack21을 살펴보면서 당시 설치되는 애드웨어의 종류와 현재 시점에서 살펴보는 애드웨어는 그 수가 계속 증가하고 있으며, 이렇게 사용자 컴퓨터에 설치를 하도록 하여 설치된 환경에서 Internet Explorer를 통한 활동 과정에서 사용자가 인지하지 못하는 사이에 금전적 이득을 취할 수 있을 것으로 보입니다.

특히 사용자에게 프로그램 폴더 내에 설치된 각종 애드웨어를 삭제할 수 있는 기능을 제공하여 마치 삭제가 되는 것처럼 구성되어 있지만 핵심 파일인 윈도우 폴더 내에 존재하는 업데이트 관련 파일이 여전히 존재하는 한 윈도우 재시작과 함께 시작 프로그램으로 등록된 파일의 동작을 통해 다시 재설치가 반복된다는 점에서 지식이 없는 일반 사용자의 경우 보안제품이 진단하지 못한다면 해결하기 어려운 문제로 보입니다.



현재 국내 보안제품 nProtect 기준으로 해당 악성코드가 설치된 환경을 검사하면 인터넷 임시 폴더까지 합하여 33개의 악성코드가 진단될 정도로 심하게 컴퓨터를 감염시키며 시스템을 느리게 하는 원인을 제공하고 있습니다.

그렇다면 보안제품에 진단되는 이런 악성코드를 왜 유포할까요? 대부분의 사용자는 신뢰할 수 있는 보안제품을 사용하면서 사전에 차단을 할 수 있지만, 여전히 업데이트 파일이나 일부 비정상적인 컴퓨터 사용 습관을 가진 틈새시장을 노린다고 볼 수 있습니다.

특히 지식인에 올라오는 질문들을 보면 여전히 자신의 컴퓨터에 해당 악성코드 일부가 설치된 상태로 이용하시는 분들을 종종 볼 수가 있습니다.


이 외에도 동영상 재생을 위한 프로그램 설치 방식이나 ActiveX 설치 방식을 통해서 사용자가 인지하지 못하거나 전형적인 협소한 정보 제공창을 통해 제대로 읽지 못하도록 구성하여 배포자가 원하는 목표를 달성하는 경우가 많습니다.

DDoS와 같은 유포 방식이나 위와 같은 방식이나 결국은 사용자가 조금 더 안전하지 못한 인터넷 환경에서 자신의 컴퓨터를 보호하기 위해서는 나쁜 사용 습관을 통한 파일 다운로드 및 설치에 주의할 필요가 있습니다.

반응형