본문 바로가기

벌새::Security

V3를 이용한 nProtect KeyCrypt Manager Service 차단 가능할까?

국내 보안업체 잉카 인터넷(INCA Internet) nProtect에서 제공하는 보안 기능 중 금전과 관련된 결제 사이트에 접속시 ActiveX를 이용한 키보드 보안 관련 프로그램을 설치하도록 하는 경우가 있습니다.


실제 해당 프로그램을 설치하는 이유는 해당 사이트의 서비스를 이용할 경우에 한하여 보안상 설치를 하는 것인데, 해당 프로그램은 사용자 컴퓨터의 서비스(Services) 항목에 등록되어 윈도우 시작시 자동으로 프로세스를 생성하도록 제작되어 있습니다.


1. 파일 경로 : C:\WINDOWS\system32\npkcmsvc.exe
2. 프로세스명 : npkcmsvc.exe
3. 상세 정보 : nProtect KeyCrypt Manager Service

해당 파일은 키보드 보안과 관련된 암호화 기능을 하는 것으로 보이는데, 단순히 윈도우 시작시 자동 실행되어 프로세스 메모리에 상주한다고 사용자의 모든 키보드 내용을 암호화하는 것은 아닐 것입니다.

해당 프로그램이 동작해야 하는 특정 사이트에서만 실행되도록 구성되어 있지만, 어떤 제작상의 이유에서 현재와 같이 한 번 설치를 하면 사용자 시스템이 시작하면서 함께 동작하도록 구성되어 있습니다.


해당 프로그램은 제어판의 [nProtect KeyCrypt] 삭제 항목을 이용하여 삭제를 할 수 있지만, 매번 결제를 위해 이용할 경우 재설치를 해야 하는 것을 감안하거나 설치를 하지 않으면 특정 서비스를 이용하지 못하는 제약을 극복하기 위해서는 임시적으로 프로세스가 동작하지 않도록 해야 할 속이 시원하신 분들이 계실 겁니다.

이제 안철수연구소(AhnLab)에서 제공하는 AhnLab V3 Internet Security 8.0 버전에서 제공하는 실행 차단 기능을 이용하여 해당 프로세스를 차단할 수 있는지 확인해 보겠습니다.


해당 [PC 도구 - 실행 차단 목록] 기능은 사용자 컴퓨터에서 실행되는 프로세스를 기반으로 특정 프로세스가 동작하지 못하도록 실행 차단을 지원하는 기능입니다.


실제 npkcmsvc.exe 프로세스를 입력해보면 그림과 같이 [프로세스 실행 차단 목록에 등록할 수 없는 파일입니다.]라는 메시지를 통해 따로 화이트 리스트(White List) 목록을 통해 프로세스 차단이 되지 않는 것을 확인할 수 있습니다.

만약 npkcmsvc.exe 프로그램 자체가 설치되지 않은 환경에서 악성코드가 동일한 파일명과 경로를 통해 사용자 컴퓨터에 감염이 되었을 경우 사용자가 해당 프로세스의 실행을 차단하기 위해 해당 기능에 등록을 시도할 경우 단순히 파일 경로와 프로세스 이름으로만 등록하지 못하게 하는 일은 없겠지만, 이렇게 등록을 애초에 거부하는 것도 아쉬움이 남습니다.


결국에는 프로그램 삭제가 아닌 서비스 항목에서 해당 서비스 [시작 유형 - 사용 안 함 / 서비스 상태 - 중지됨]으로 변경하는 방법 이외에는 없을 것 같습니다.

문제는 이렇게 설정을 한 경우 특정 서비스 이용시 해제를 하지 않으면 접근이 안되고, 그 이유가 이 항목 때문인 것을 인지하기 힘들다는 점도 있을 것 같습니다.

ActiveX를 통한 특정 사이트에서만 동작하는 프로그램의 경우에는 위와 같은 방식으로 영역을 벗어나서 기생하지 않았으면 합니다.
  • 화이트리스트에 있던지 없던지...사용자가 차단하겠다는데 차단이 가능해야하는 것이 아닌가 하네요. 좀 문제가 있군요.

  • 가끔은 샌드박스의 힘이 필요할떄가 있는것 같습니다.조금은 번거롭겠지만..

  • 개인적으로 맘에 들지 않는 방법이지만 어쩔 수 없는 방법인듯 합니다.

    1. 잉카의 제품은 설치전에 팝업을 통해 서비스 형태로 등록됨과 삭제방법을 고지하고 있으며 동의 버튼을 누르게 되어 있습니다. 동의를 하지 않으면 인터넷 뱅킹을 못하게 되어 있으니 낭패지만 최소한의 고지의무는 하고 있는 것으로 해석될 수 있습니다.

    2. 과거 다잡아, 다간다 사태처럼 다른 회사의 솔루션을 함부로 차단하거나 삭제하는 기능을 넣었다가는 법적공방에서 자유로울 수 없으므로 V3에서도 화이트리스트에 추가한 것이 아닐까 생각됩니다. 다른 HIPS 기능에서 처리하도록 하는게 좋을듯 하군요.

    3. 제 환경에서는 서비스에서 사용안함으로 해도 자동으로 뜨던데 그새 변경이 되었나요? 확인해봐야겠습니다.

  • npkcmsvc.exe...
    언급하기조차 싫어하는 1인입니다.. ㅎㅎ