울지않는벌새 : Security, Movie & Society

블로그를 통한 알약(AlYac) 설치 파일 다운로드 주의

벌새::Analysis
이스트소프트(ESTSoft)사에서 제공하는 무료 백신 알약(AlYac) 설치 파일을 블로그를 통해 다운로드하는 과정에서 해당 프로그램의 배포자가 변경되어 사용자에게 세부적인 이용약관을 제대로 공지하지 않고 추가적인 다수의 제휴(스폰서) 프로그램이 설치될 수 있는 위험성이 있으므로 주의하시기 바랍니다.

특히 해당 문제는 이전에 언급한 공개 자료실을 이용한 유사 설치 방식과 비슷한 사례이지만, 이번 경우에는 사용자가 프로그램 배포 공개 자료실을 제대로 인지하기 어려운 점이 있으며 배포처가 특정 사이트가 아닌 개인 블로그에서 발견되었다는 점에서 차이가 있습니다.

해당 블로그에서는 그림과 같이 알약 설치 파일을 첨부 파일(ZIP 압축 파일) 형태로 업로드한 것처럼 구성되어 있지만, 실제로는 특정 공개 자료실 링크 방식으로 사용자가 해당 아이콘을 클릭할 경우 510KB 용량의 작은 파일이 다운로드 되도록 구성되어 있습니다.


이는 실제 알약 업체에서 제공하는 설치 파일과 용량 및 디자인이 다른 형태임을 알 수 있습니다.


참고로 알약 업체에서는 온라인 다운로드 방식의 저용량 설치 파일을 배포하고 있지 않는 것으로 알고 있습니다.

다운로드된 파일을 실행해보면 마치 심파일에서 제공하는 프로그램 다운로더와 같은 방식으로 구성되어 있지만, 우측 하단에 스폰서 목록이 포함되어 있는 것을 확인할 수 있습니다.

해당 목록은 개별 목록별로 사용자가 스크롤바를 이용하여 체크 해제를 하지 않으면 알약 설치 파일을 다운로드하는 과정에서 자동으로 사용자 컴퓨터에 설치되도록 구성되어 있습니다.

특히 스폰서 목록 좌측의 이용약관에서는 해당 공개 자료실 이용과 관련된 약관 내용만을 포함하고 있을 뿐, 추가로 설치되는 스폰서 프로그램에 대한 개별 이용약관은 존재하지 않는 형태로 사용자 컴퓨터에 설치가 되고 있습니다.

실제 스폰서 프로그램은 해당 공개 자료실 업체에서 운영하는 프로그램이 아닌 외부 업체의 프로그램이 다수 포함되어 있으므로 각 프로그램마다의 이용약관 제시 및 동의 과정이 있어야 합니다.

사용자가 알약 설치 파일을 다운로드를 시도할 경우에 먼저 스폰서 프로그램에 등록된 프로그램이 다운로드됨과 동시에 설치가 자동으로 이루어지고 있으며 설치된 스폰서 프로그램은 초기 동작없이 시스템 재부팅 후에 동작하는 경우가 있으므로 자칫 사용자는 어떤 프로그램으로 인하여 설치가 이루어지는지 제대로 인지하지 못할 수 있습니다.

실제 설치된 프로그램의 경우 최초 스폰서 목록에서 각 프로그램의 세부적인 이름을 공지하지 않아서 업체를 제대로 알 수 없거나 프로그램 명칭을 제대로 확인하기 어려운 점이 있습니다.

즐겨찾기 항목에 추가된 옥션 바로가기, 11번가 쇼핑, G마켓 쇼핑과 같은 경우에도 사용자가 인지하기 힘든 상업적 목적의 코드가 포함되어 있습니다.

특히 이런 배포 방식 과정에서 사용자 Mac Address 값을 체크하여 최초 설치된 컴퓨터 환경에서 모든 프로그램을 초기화하고 재설치를 시도할 경우에는 그림과 같이 스폰서 목록에 활성화되지 않는 부분을 발견할 수 있습니다.

이는 어떤 목적에서인지 알 수 없지만 배포자가 1PC에 재설치하는 것을 통해 중복 설치시 지불해야 하는 금전적 피해를 방지할 목적이 아닌가 생각되며, 실제 설치된 파일 중에서 [%SystemRoot%\system32\macchange.exe] 파일이 존재한다는 점은 이를 뒷받침하고 있습니다.

이런 방식의 프로그램을 설치하는 과정에서 사용자가 스폰서 목록을 제대로 확인하지 않고 설치할 경우 안철수연구소(AhnLab) 보안 제품에서 스폰서 설치 파일 일부를 Malware/Win32.Generic 진단명으로 사전 진단하는 것을 통해 사용자는 알약 프로그램의 문제 또는 V3 제품의 오진 등으로 오해할 소지가 다분합니다.

참고로 이번 배포 사이트로 지적된 파일119(File119)의 경우에는 해당 공개 자료실에서 제공하는 프로그램 배포 방식과 이번처럼 블로그를 통해 유포되는 방식이 차이가 있으며, 실제 일부 인터넷 사용자들이 해당 공개 자료실 프로그램 삭제와 관련된 문의를 검색하는 수가 많으므로 자신의 컴퓨터를 점검할 필요가 있어 보입니다.

마지막으로 프로그램을 설치하기 위해서 설치 파일을 다운로드할 경우에는 반드시 제작사 사이트 또는 유명 공개 자료실만을 이용할 것을 권장하며, 프로그램 설치 과정에서 스폰서 프로그램이 추가되는지 여부를 반드시 체크하는 인터넷 습관을 가지시기 바랍니다.