본문 바로가기

벌새::Security

악성코드 프로그램의 저작권 주장

반응형
가끔 국내 광고 툴바, 적립금 프로그램, 검색 도우미 등의 프로그램들을 설치하다보면 다음과 같은 경고 문구를 볼 때가 있습니다.


자신이 배포하는 프로그램은 애드웨어(Adware)가 아닌 정상적인 동의 과정을 거쳐 사용자의 컴퓨터에 설치되는 프로그램으로 만약 자신들의 프로그램을 삭제할 경우 법적 대응을 한다는 무서운 문구를 포함하고 있는 경우가 있습니다.

심지어 어떤 프로그램은 자신이 삭제되는 것을 방지하기 위하여 제어판에서 프로그램을 삭제할 경우 특수 기능을 넣어 일종의 자기 보호를 하는 과잉 방어까지 일삼고 있습니다.

일단 보안업체에서 특정 업체 서비스가 마음에 들지 않는다는 이유로 감정적으로 진단에 포함할리는 만무하고, 자신의 프로그램이 어떤 문제가 있는지는 전혀 고려하지 않고 모든 제작된 프로그램은 저작권을 가지는 것처럼 자신의 권리만 주장하는 것도 잘못일 것입니다.

예를 들어 국내에서 제작되어 현재 시점까지 프로그램이 동작하는 것으로 확인된 악성코드 프로그램을 통해 좀 더 쉽게 이해를 도모해 보겠습니다.


해당 프로그램은 국내 보안업체 정보를 검색해 본 결과 2007년경부터 배포되어 당시에 악성코드로 진단이 이루어진 상태로 지금까지 정상적으로 프로그램 설치가 이루어지고 있습니다.

설치 초기는 제작사 사이트에서 제공하는 설치 파일을 이용할 경우 그림과 같이 사용자의 동의 과정을 거쳐서 이루어지고 있습니다. 물론 국내외 정상적인 프로그램 중에서도 배포 과정에서 변질되어 트로이목마와 같은 매체를 통해 사용자 몰래 설치가 되는 방식으로 초기 인지도를 올린 후 나중에 정상적인 운영을 하는 배포 방식도 간혹 보입니다.

아무튼 여기서 한 가지 사용자 입장에서는 과연 프로그램 설치 단계에서 동의를 하였다면 자신은 결백할 수 있다는 단순 논리는 잘못된 것이라고 볼 수 있습니다.

악성코드 중에서도 상당수는 마치 정상적인 프로그램처럼 동의 과정을 거쳐 사용자가 설치하도록 유도하는 것들이 많은 현실에서 동의를 하였기에 나를 진단하지 말라는 협박은 더 이상 통하지 않는다고 볼 수 있습니다.


설치 파일 중 가장 사용자가 판단하기 어려운 배포 방식이 설치 파일의 용량은 작게 구성하고 실제 설치 단계에서 특정 서버와 연결하여 그림과 같이 파일을 다운로드하는 방식이 아닌가 생각됩니다.

해당 프로그램 역시 특정 호스트에서 프로그램 구성 파일을 다운로드하여 설치를 하는 방식으로 구성되어 있으며, 이 프로그램의 경우 초기 설치 단계에서 프로그램 생성 폴더 정보 등을 사용자에게 제시하고 있지 않기에 설치 후 프로그램의 위치를 파악하기가 어렵게 되어 있습니다.

생성 폴더, 파일 정보


실제 설치된 프로그램은 WebSite 폴더 이외에 Esearch 폴더가 추가로 생성되어 사실상 2개의 프로그램이 설치된 것을 확인할 수 있습니다.

[생성 파일 진단 정보]

C:\Program Files\Esearch\BNKeyword.dll (nProtect : Trojan-Clicker/W32.Esearch.32768.B)
C:\Program Files\Esearch\BNKeyword2.dll (nProtect : Trojan-Clicker/W32.Esearch.32768)
C:\Program Files\Esearch\Esearch.exe (nProtect : Trojan-Downloader/W32.Small.36864.L)
C:\Program Files\Esearch\EsearchUnInstall.exe (nProtect : Trojan-Clicker/W32.Esearch.24576)

C:\Program Files\WebSite\WebSite.dll (nProtect : Trojan-Clicker/W32.WebSite.90112.B)
C:\Program Files\WebSite\WebSite.exe (nProtect : Trojan-Clicker/W32.WebSite.40960)
C:\Program Files\WebSite\WebSiteUnInstall.exe (nProtect : Trojan-Clicker/W32.WebSite.24576)
C:\Program Files\WebSite\WebSiteUpdate.exe (nProtect : Adware/WebSite.D)

하지만 현재 보안제품을 통해 검사를 해보면, 위와 같이 악성코드로 진단을 하는 것을 확인할 수 있으며, 최소한 2종 이상의 변종이 출현하였던 것으로 추정이 됩니다.

만약 초기 해당 프로그램이 배포되면서 보안제품에서 진단이 된다면 자신들의 프로그램 배포 방식이나 보안업체 진단 정책에 맞는 부분을 수정하여 정상적인 프로그램으로 수정해야 할텐데, 오로지 자신들의 프로그램에 대한 저작권을 주장하며 악성코드가 아니라고 식으로 대응을 한다면 벌써 이 진단으로 인해 문제가 있지 않았을까 생각이 듭니다.

해외의 경우에도 얼마 전 Kaspersky 제품과 유명 광고 프로그램간의 법적 다툼에서 보안업체의 손을 들어준 것을 고려한다면 합리적인 진단 정책을 가지고 악성코드 프로그램과 정상 프로그램을 분류하는 보안업체를 향해 저런 식으로 협박만 하는 프로그램들은 법에 대해 잘 모르는 사용자들만 혼란을 겪을 것으로 보입니다.

특히 국내의 일부 프로그램의 경우 해외 유명 보안제품에서는 절대 다수가 악성코드로 진단을 하는데 반하여 국내 보안제품은 진단 정책과 법적 이유로 진단하지 않기에 사용자 입장에서 국내 보안제품을 이용하다가 어느날 해외 보안제품을 설치하여 발견된 악성코드로 인하여 오해만 늘어갈 것으로도 생각이 듭니다.

이런 부분이야 보안에 종사하시는 분들이 잘 판단할 문제지만, 사용자 입장에서는 저런 프로그램 배포자의 협박과 국내 보안제품에서 진단되지 않는 파일에 대한 해외 보안제품의 진단으로 인한 협박 아닌 경고로 인해 누구를 믿을지 난감할 때가 있습니다.

그런데 과연 악성코드의 저작권은 인정을 해줄까요?
728x90
반응형
  • 이미 보안 업체가 진단하고 있는데 무의미한 저작권 주장인 것 같네요. ㅎㅎ

  • 저런글들을 볼떄마다 해외사례들이 한편으로 부럽기도 합니다.

  • Galneryus 2009.08.12 17:25 댓글주소 수정/삭제 댓글쓰기

    벌새님, scribbles님한테 뭐 밉보인거 있습니까? 혹시 어릴때 누나와 부적절한 관계에 있다는걸
    학교에 소문냈나요? 아니면 단순한 난독증 환자인가 -_-;;
    뭐암튼.. 마우스쉐이커때문에 왔다가 좋은자료 얻어갑니다

    • 저 트랙백으로 알게 된 것 외에는 초면입니다.

      게시글 링크도 트랙백 링크를 거는 걸 봐서는 블로그를 잘 이해하지 못하시는 분 같더군요.

  • Galneryus 2009.08.12 17:55 댓글주소 수정/삭제 댓글쓰기

    무튼.. 조심하십시오.. 비오는날 전화걸려고 전화부스 찾으면
    납치당해 15년동안 한가지 음식만 먹게될지도 모릅니다.

  • 개인적으로 '업체'의 정체를 하고서 배포하는 모든 국내 악성 코드 탐지 프로그램은 절대 신뢰하지 않습니다. 거의 대다수가 특정 파일이 특정 폴더에 있는지만 검색하거나 하는 등의 검색만 하고 있는데다가 자기네들끼리 (경쟁사 제품) 악성코드로 탐지해내는 것도 모자라 스스로를 탐지해내는 놀라운 녀석들도 종종 있더군요.

    글에 등장한 프로그램은 조금 무섭네요. 삭제 프로그램 배포시 가만두지않겠다는 무서운 멘트를 보내고 있는데, 그럼 자기 스스로는 삭제 프로그램을 제공하는지도 궁금합니다. 피씨방이나 공공장소에 설치된 PC에는 삭제할 방법조차 보이지 않는 악성코드들이 많이 있더라구요.

    • 잘 지적하셨네요. 서로 경쟁업체를 은근히 진단하는 것이나 사용자들이 많이 설치하는 툴바 등을 진단하여 결제를 유도하는 경향이 강하죠.

      더욱 핵심은 악성 DB가 서로 동일하다는거겠죠. 제품명은 다른데 진단하는 것들은 상당히 유사해서 사실상 돈벌이 목적이지 보안을 내세운다는 것이 웃기죠.

  • 해볼테면 해봐라 식의 멋진 마인드를 가진 업체군요 ㅎㅎ