본문 바로가기

벌새::Analysis

미니서든 좀비 버전을 이용한 허위 이용약관과 스폰서 프로그램

예전부터 국내 블로그 등의 유포 경로를 통해 수익 창출을 목적으로 한 각종 광고(스폰서) 프로그램의 강제적 설치에 대해 T-Solution / NS-Solution 등에 대해 살펴본 적이 있습니다.

이번에 살펴볼 형태 역시 큰게 달라진 부분은 거의 없지만, 현재의 보안업체 진단 정책의 한계가 있는 부분과 그것을 역이용한 합법을 가장한 유포 방식에 문제가 있기에 앞으로도 계속적으로 언급을 할 예정입니다.

많은 인터넷 이용자들 중에 자신도 모르게 원치 않는 프로그램이 설치되는 현실과 비정상적인 경로로 설치된 프로그램의 경우 삭제 후에도 재설치되는 문제 등에 의문을 갖는 분들은 참고하시기 바랍니다.

게임을 좋아하는 일부 사용자들은 검색 사이트를 통해 제시되는 블로그 게시물을 통해 파일을 다운로드하는 좋지 않은 습관이 있습니다. 예로 살펴볼 미니서든 좀비버전이라는 파일의 경우를 통해 자세히 살펴보도록 하겠습니다.

해당 프로그램을 설치할 경우 이용약관을 제시하고 있는데, 최상단에서는 [프로그램 설치시 약관 동의 후에 스폰서 프로그램이 선택에 따라 설치]가 된다고 표시하고 있습니다.

일반적인 사용자라면 이런 약관 자체에 대해 전혀 읽어보지 않는 습관으로 무엇이 해당 프로그램을 통해 설치되는지 조차 관심이 없고, 차후 자신이 원치 않았던 프로그램이 추가로 동작할 경우 배포자만 욕하는 실정입니다.

만약 설치자가 상단의 이용약관만 확인하고 동의 버튼을 클릭하여 다음 단계에서 스폰서 프로그램의 설치에 관해 선택하려고 한다면 오산입니다. 이유는 실제 해당 이용약관을 조금 더 아래로 내리면 위에서 말한 것과는 반대로 몇 가지의 스폰서 프로그램이 함께 설치가 된다고 표시되어 있습니다.

생성 폴더, 파일 정보

이렇게 설치된 프로그램 정보를 살펴보면, 프로그램에서 제시하는 임시 폴더에는 프로그램(미니서든 좀비버전) 설치 파일만 존재할 뿐 실제 게임이 설치되었는지 조차 알 수 없으며, 스폰서 프로그램은 치밀하게 Windows 폴더와 Program 폴더에 잘 설치하고 있는 것을 확인할 수 있습니다.

이번의 예에서 설치되는 스폰서 프로그램 중 SMS1000의 경우에는 이전에 소개한 정보에 따르면 추가적으로 또 다른 스폰서 프로그램 다수를 설치하는 동작이 있으므로 이런 것까지 고려하면 실제 미니서든 게임으로 인해 11가지의 프로그램이 설치될 수도 있다는 말이 됩니다.

특히 해당 스폰서 프로그램의 경우 [%SystemRoot%\system32\syslig.exe] 파일을 시작 프로그램으로 등록하여 초기 프로그램 설치 후에는 동작하지 않지만, 윈도우 재부팅과 함께 추가적인 프로그램 설치 등을 통해 실제 사용자는 어떤 프로그램 설치로 인해 스폰서 프로그램이 설치되는지 확인하기 어렵게 만들 수도 있습니다.

테스트에서는 syslig.exe 파일이 제대로 동작하지 않는 관계로 확인하지 못하였지만, 만약 해당 파일로 인해 추가적인 프로그램이 설치가 된 경우, 제어판에서 해당 프로그램을 삭제할 경우 재부팅 과정에서 또 다시 설치가 이루어지는 악순환이 반복될 수 있습니다.

또한 바탕화면과 빠른 실행에 추가되어지는 위와 같은 바로가기 링크의 경우 Windows 폴더에 위치한 사이트 정보와 연결을 하여 추가적인 수익을 창출하고 있습니다.

7일간 공짜 MP3 다운 접속 로그(Log)

예를 들어, 바탕화면의 MP3 다운로드 바로가기를 클릭하여 특정 웹 사이트에 접속을 시도할 경우 프로그램 배포자가 준비한 특정 도메인을 경유하여 자신의 파트너 아이디(추천인 아이디) 정보를 포함한 형태로 무료 이벤트 관련 사이트로 접속을 하게 됩니다.

이를 통하여 접속자가 해당 이벤트에 참여할 경우 사용자 몰래 추천인 아이디가 등록되어 금전적 수익을 창출하는 것으로 보입니다.

특히 이런 바로가기는 프로그램 삭제가 아닌 사용자가 수동으로 제거를 하지 않는한 사용자 컴퓨터에 존재하게 되므로 문제가 될 수 있습니다.

많은 국내 인터넷 사용자들이 블로그(최근에는 배포 목적의 공개 자료실로 제작하여 배포하는 상황) 등 출처가 불분명한 경로를 통해 프로그램을 설치하면서 대수롭지 않게 차후 삭제하면 된다는 생각으로 함께 설치를 하여 나중에 삭제를 하지 못하는 문제가 발생하고 있으므로 주의하시기 바랍니다.

  • 감사합니다.
    다행히 더 퍼지기 전에 막았군요.

    곰플레이어로 하는 메탈슬러그6라는 훼이크파일을 받는 바람에 저놈의 프로그램이 깔릴 뻔 했습니다.

    다행히 생기는 바로가기를 보고 프로그램 이름을 알아 냈죠;;ㅎㅎ


    그리고 한가지 더 말씀드리자면 "□□ 다운로드" 라는 직접적인 제목(대게 전각글자와 특수문자등으로 장식이 되어 있더랍니다.)와 그 파일과는 상관없는 썸네일, 미리보기글의 쌩뚱맞음(요즘은 머리를 썼는지 포스트를 그렇게 쌩뚱맞게 쓰지는 않더랍니다.) 으로 대충 확인할 수 있겠지만

    이녀석을 내포한 포스트은 지능범이더라구요...

    • 이런 방식으로 배포하는 종류가 몇 가지 되는 것으로 보이는데, 인터넷 상에서 사용자들이 많이 찾는 프로그램을 저렇게 변경하여 설치를 유도하죠.

  • 안녕하세요 2010.03.31 18:05 댓글주소 수정/삭제 댓글쓰기

    NS-Solution package이 무슨 프로그램인가
    검색하다가 여기까지 왔습니다.

    C:\Program Files\game 폴더 안에
    agree라는 파일이 있고,
    클릭을 해보니

    ** 본 프로그램은 키워드 도우미 'NS-Solution package' 및 약관 하단과 같은 프로그램이 설치후 해당 프로그램이 설치됩니다. 원치 않으시면, 동의안함을 선택하여 주세요. **
    .................
    생략


    이런 내용이 있습니다.

    이 프로그램을 삭제하는 방법도 좀 알려주시면 고맙겠습니다.

    • 안녕하세요.

      http://hummingbird.tistory.com/1557 내용을 참고하시기 바랍니다.

      말씀하시는 삭제와 관련해서는 사용자가 설치한 파일이 무엇이냐에 따라 설치되는 내용이 다를 수 있고, 배포자가 수시로 내용을 변경할 수 있어서 확인이 불가능합니다.

      여기 내용에서 중요한 점은 해당 프로그램 설치로 인해 사용자가 제대로 인식하지 못하는 사이에 몇 개의 광고 또는 유료 프로그램을 설치하고 있으므로 그런 부분은 추가로 설치된 프로그램에 대해 각각 찾아서 개별 삭제를 해야합니다.

  • 안녕하세요 2010.03.31 18:08 댓글주소 수정/삭제 댓글쓰기

    그리고 배포자를 알 수 있는 방법은 없나요?
    법적인 조치를 할 수 있나 알아보려고 하는데요.

    • 배포자는 아마 전문적으로 이런 식의 배포를 하고 있는 것으로 보이며, 법적인 문제는 제가 뭐라고 하기에는 그렇지만 일단 이용약관을 제시하기 때문에 반은 합법이고, 이용약관에 설치되는 프로그램에 대한 자세한 안내가 없기에 반은 불법이라고 볼 수 있습니다.