V3 아이콘을 이용한 악성코드 프로그램 유포 행위 검거 소식

국내 인터넷에서 돋보기 프로그램이라는 명칭으로 온라인 게임 등에서 불법적으로 이용될 수 있는 악성코드 프로그램이 국내 보안 업체 안철수연구소(AhnLab) V3 보안 제품 아이콘으로 위장하여 판매 및 유포 행위를 하다가 검거 되었다는 소식입니다.

• <동아일보> 컴퓨터 훔쳐보는 프로그램 유포 7명 검거 (2010.3.24)

실제 인터넷 상에서 이런 프로그램에 대한 정보를 확인해보면 쉽게 당시 유포자로 추정되는 사람들이 홍보글을 게시한 것을 확인할 수 있으며, 국내 포털 사이트에 카페를 개설하여 판매를 한 것으로 추정됩니다.(참고로 현재 해당 정보를 바탕으로 프로그램을 찾아봐야 존재하지 않으므로 고생하지 마시기 바랍니다. )

해당 기사 내용에서는 이런 프로그램의 설치 파일에 이용된 아이콘이 V3 제품 아이콘으로 위장을 하여 실제 인터넷 사용자들이 안심하고 실행을 하도록 유도한 것으로 보이며, 이에 대해 몇 가지 개인 사용자가 확인할 수 있는 부분에 대해 알아보도록 하겠습니다.

가장 핵심은 블로그, 카페, 이메일 등 출처가 불분명한 경로를 통해 유명 프로그램을 다운로드하여 실행하는 행위 자체가 위험에 노출될 수 있다는 점입니다.

특히 일부 인터넷 사용자들은 자신이 원하는 소프트웨어를 인터넷 검색을 통해 노출되는 블로그 또는 유명하지 않은 공개 자료실 등을 통해 다운로드하여 설치하는 과정에서 원치않는 추가적인 제휴(스폰서) 프로그램 등에 노출될 수 있습니다.

다른 한 가지는 사용자가 유명 프로그램의 설치 파일을 다운로드하여 최소한의 정보를 확인할 수 있는 방법이 있다는 점입니다.

예를 들어, 이번과 같이 V3 보안 제품의 설치 파일을 보면 그림과 같이 안철수연구소에서 배포하는 것과 동일하게 아이콘을 구성할 수 있습니다.

하지만 사용자는 해당 파일을 공식 배포 사이트가 아닌 다른 경로를 통해 다운로드하였을 경우 해당 파일의 속성을 통해 해당 파일이 외부에서 변조되었는지 여부를 확인할 수 있는 다른 방법이 존재합니다.

먼저, 설치 파일의 속성에서 유명 프로그램의 경우 [디지털 서명]을 포함하고 있으며, 해당 서명자 이름과 타임스탬프를 통해 최종적으로 파일이 생성된 날짜를 확인할 수 있습니다.

해당 디지털 서명의 인증서를 확인하기 위해서는 [자세히] 버튼을 클릭하여 인증서 정보를 다음과 같이 확인할 수 있습니다.

디지털 서명 정보가 유효한지 여부를 확인하여 만약 과거에 사용하던 인증서를 이용한 경우 해당 설치 파일을 의심해 볼 수 있습니다.

실제 인증서의 최종 확인 단계에서는 [인증 경로]를 통해 안철수연구소가 확실한지 확인을 할 수 있습니다.

물론, 위와 같은 디지털 서명 방식도 최근에는 국내에서 제작되어 사용자 컴퓨터의 정상적인 사용을 방해하는 악성코드 치료 프로그램이나 개인정보 보안 솔루션 프로그램에서도 일부 추가하여 정상적인 프로그램처럼 등록된 경우를 발견할 수 있습니다.

하지만 사용자 입장에서는 최소한의 정보를 추가로 확인하여 설치 파일을 검증할 수 있는 방식 중의 하나이므로 앞으로 출처가 불분명한 경로를 통해 유명 프로그램을 다운로드 하였을 경우에는 확인해 보시기 바라며, 단순히 파일의 아이콘 모양만을 보고 판단하는 습관은 위험하므로 주의하시기 바랍니다.