반응형
국내 보안업체 잉카 인터넷(INCA Internet) nProtect에서 제공하는 보안 기능 중 금전과 관련된 결제 사이트에 접속시 ActiveX를 이용한 키보드 보안 관련 프로그램을 설치하도록 하는 경우가 있습니다.
실제 해당 프로그램을 설치하는 이유는 해당 사이트의 서비스를 이용할 경우에 한하여 보안상 설치를 하는 것인데, 해당 프로그램은 사용자 컴퓨터의 서비스(Services) 항목에 등록되어 윈도우 시작시 자동으로 프로세스를 생성하도록 제작되어 있습니다.
해당 파일은 키보드 보안과 관련된 암호화 기능을 하는 것으로 보이는데, 단순히 윈도우 시작시 자동 실행되어 프로세스 메모리에 상주한다고 사용자의 모든 키보드 내용을 암호화하는 것은 아닐 것입니다.
해당 프로그램이 동작해야 하는 특정 사이트에서만 실행되도록 구성되어 있지만, 어떤 제작상의 이유에서 현재와 같이 한 번 설치를 하면 사용자 시스템이 시작하면서 함께 동작하도록 구성되어 있습니다.
해당 프로그램은 제어판의 [nProtect KeyCrypt] 삭제 항목을 이용하여 삭제를 할 수 있지만, 매번 결제를 위해 이용할 경우 재설치를 해야 하는 것을 감안하거나 설치를 하지 않으면 특정 서비스를 이용하지 못하는 제약을 극복하기 위해서는 임시적으로 프로세스가 동작하지 않도록 해야 할 속이 시원하신 분들이 계실 겁니다.
이제 안철수연구소(AhnLab)에서 제공하는 AhnLab V3 Internet Security 8.0 버전에서 제공하는 실행 차단 기능을 이용하여 해당 프로세스를 차단할 수 있는지 확인해 보겠습니다.
해당 [PC 도구 - 실행 차단 목록] 기능은 사용자 컴퓨터에서 실행되는 프로세스를 기반으로 특정 프로세스가 동작하지 못하도록 실행 차단을 지원하는 기능입니다.
실제 npkcmsvc.exe 프로세스를 입력해보면 그림과 같이 [프로세스 실행 차단 목록에 등록할 수 없는 파일입니다.]라는 메시지를 통해 따로 화이트 리스트(White List) 목록을 통해 프로세스 차단이 되지 않는 것을 확인할 수 있습니다.
만약 npkcmsvc.exe 프로그램 자체가 설치되지 않은 환경에서 악성코드가 동일한 파일명과 경로를 통해 사용자 컴퓨터에 감염이 되었을 경우 사용자가 해당 프로세스의 실행을 차단하기 위해 해당 기능에 등록을 시도할 경우 단순히 파일 경로와 프로세스 이름으로만 등록하지 못하게 하는 일은 없겠지만, 이렇게 등록을 애초에 거부하는 것도 아쉬움이 남습니다.
결국에는 프로그램 삭제가 아닌 서비스 항목에서 해당 서비스 [시작 유형 - 사용 안 함 / 서비스 상태 - 중지됨]으로 변경하는 방법 이외에는 없을 것 같습니다.
문제는 이렇게 설정을 한 경우 특정 서비스 이용시 해제를 하지 않으면 접근이 안되고, 그 이유가 이 항목 때문인 것을 인지하기 힘들다는 점도 있을 것 같습니다.
ActiveX를 통한 특정 사이트에서만 동작하는 프로그램의 경우에는 위와 같은 방식으로 영역을 벗어나서 기생하지 않았으면 합니다.
실제 해당 프로그램을 설치하는 이유는 해당 사이트의 서비스를 이용할 경우에 한하여 보안상 설치를 하는 것인데, 해당 프로그램은 사용자 컴퓨터의 서비스(Services) 항목에 등록되어 윈도우 시작시 자동으로 프로세스를 생성하도록 제작되어 있습니다.
1. 파일 경로 : C:\WINDOWS\system32\npkcmsvc.exe
2. 프로세스명 : npkcmsvc.exe
3. 상세 정보 : nProtect KeyCrypt Manager Service
2. 프로세스명 : npkcmsvc.exe
3. 상세 정보 : nProtect KeyCrypt Manager Service
해당 파일은 키보드 보안과 관련된 암호화 기능을 하는 것으로 보이는데, 단순히 윈도우 시작시 자동 실행되어 프로세스 메모리에 상주한다고 사용자의 모든 키보드 내용을 암호화하는 것은 아닐 것입니다.
해당 프로그램이 동작해야 하는 특정 사이트에서만 실행되도록 구성되어 있지만, 어떤 제작상의 이유에서 현재와 같이 한 번 설치를 하면 사용자 시스템이 시작하면서 함께 동작하도록 구성되어 있습니다.
해당 프로그램은 제어판의 [nProtect KeyCrypt] 삭제 항목을 이용하여 삭제를 할 수 있지만, 매번 결제를 위해 이용할 경우 재설치를 해야 하는 것을 감안하거나 설치를 하지 않으면 특정 서비스를 이용하지 못하는 제약을 극복하기 위해서는 임시적으로 프로세스가 동작하지 않도록 해야 할 속이 시원하신 분들이 계실 겁니다.
이제 안철수연구소(AhnLab)에서 제공하는 AhnLab V3 Internet Security 8.0 버전에서 제공하는 실행 차단 기능을 이용하여 해당 프로세스를 차단할 수 있는지 확인해 보겠습니다.
해당 [PC 도구 - 실행 차단 목록] 기능은 사용자 컴퓨터에서 실행되는 프로세스를 기반으로 특정 프로세스가 동작하지 못하도록 실행 차단을 지원하는 기능입니다.
실제 npkcmsvc.exe 프로세스를 입력해보면 그림과 같이 [프로세스 실행 차단 목록에 등록할 수 없는 파일입니다.]라는 메시지를 통해 따로 화이트 리스트(White List) 목록을 통해 프로세스 차단이 되지 않는 것을 확인할 수 있습니다.
만약 npkcmsvc.exe 프로그램 자체가 설치되지 않은 환경에서 악성코드가 동일한 파일명과 경로를 통해 사용자 컴퓨터에 감염이 되었을 경우 사용자가 해당 프로세스의 실행을 차단하기 위해 해당 기능에 등록을 시도할 경우 단순히 파일 경로와 프로세스 이름으로만 등록하지 못하게 하는 일은 없겠지만, 이렇게 등록을 애초에 거부하는 것도 아쉬움이 남습니다.
결국에는 프로그램 삭제가 아닌 서비스 항목에서 해당 서비스 [시작 유형 - 사용 안 함 / 서비스 상태 - 중지됨]으로 변경하는 방법 이외에는 없을 것 같습니다.
문제는 이렇게 설정을 한 경우 특정 서비스 이용시 해제를 하지 않으면 접근이 안되고, 그 이유가 이 항목 때문인 것을 인지하기 힘들다는 점도 있을 것 같습니다.
ActiveX를 통한 특정 사이트에서만 동작하는 프로그램의 경우에는 위와 같은 방식으로 영역을 벗어나서 기생하지 않았으면 합니다.
728x90
반응형