네이버(Naver) & 티스토리(Tistory) 유사 도메인을 이용한 스폰서 프로그램 유포 주의

일전에 블로그를 중심으로 한 국내 특정 공개 자료실에서 제공하는 다운로더(Downloader) 프로그램의 문제점을 지적하면서 무료 백신 알약(AlYac)을 설치하는 과정에서 보안 제품의 진단이 발생하는 사례를 공개한 적이 있었습니다.

• 블로그를 통한 알약(AlYac) 설치 파일 다운로드 주의 (2010.4.22)

최근 위와 유사한 방식으로 사용자 컴퓨터에 원치않는 프로그램이 설치되어 해당 문제에 대해 문의가 들어와(보통 저에게 문의하는 사람들이 없습니다. 얼마나 급하셨으면 ) 확인하는 과정에서 기존과 동일한 공개 자료실의 문제로 확인이 되었으나, 이번에는 추가적으로 사용자의 눈을 속이기 위해 다음과 같은 방식을 이용하고 있는 것을 확인할 수 있었습니다.

블로그 게시글의 댓글에 그림과 같이 첨부 파일로 강조한 바로가기 형태로 zip 압축 파일을 다운로드할 수 있는 것처럼 구성을 하고 있습니다. 하지만 실제 다운로드가 완료되면 압축 파일이 아닌 exe 실행 파일임을 확인할 수 있습니다.(실행 파일 아이콘은 이런 쪽에 관심있는 분들이라면 무슨 자료실인지 짐작이 되시리라 생각됩니다.)

h**p://file.naver.**unse.com/download.php?code=util&cid=1091&search_code=best

여기서 흥미로운 사실은 해당 링크 주소가 네이버(Naver) 자료실로 착각을 할 수 있게 구성을 하여 마치 네이버 자료실에서 다운로드를 하는 것으로 생각하게 만들고 있습니다.

또 다른 사례를 살펴보면 블로그 게시글을 통해 해외 소프트웨어를 소개하면서 첨부 파일로 구성된 zip 압축 파일 모양의 링크를 통해 위에서 소개한 것과 동일한 exe 실행 파일을 다운로드하도록 배포되고 있습니다.(파일명은 다르지만 모두 동일한 MD5값을 갖는 공개 자료실 다운로더 파일입니다.)

h**p://guliver.tistory.com.**util.com/download.php?code=util&cid=1050&search_code=best

해당 링크의 경우에는 마치 티스토리(Tistory) 블로그에 업로드하여 첨부된 것으로 눈속임을 하기 위해 도메인을 위와 같이 구성하고 있지만, 실제로는 외부 서버에서 다운로드되는 방식입니다.

위와 같은 네이버 자료실 또는 티스토리 블로그 첨부 파일로 위장하여 다운로드된 파일을 실행할 경우, 그림과 같은 프로그램 다운로더 실행창과 함께 스폰서 목록이라는 매우 작은 창에 다수의 제휴(스폰서) 프로그램이 숨어있어 사용자가 해당 항목을 하나씩 체크 해제를 하지 않을 경우 파일 다운로드 과정에서 자동으로 설치되는 문제가 발생하고 있습니다.

이들 추가적인 프로그램들 중에는 안철수연구소(AhnLab) V3 보안 제품에서 악성 프로그램으로 사전 차단하는 등의 동작을 확인할 수 있을 정도로 신뢰할 수 있는 프로그램이 아닐 수도 있습니다.

그러므로 소프트웨어를 다운로드하실 때에는 반드시 제작사 사이트, 유명 공개 자료실을 이용하시는 습관을 가지시기 바라며, 프로그램 설치 뿐만 아니라 다운로드 과정에서 이처럼 추가로 설치되는 항목이 존재한지를 꼼꼼히 확인하는 습관이 필요합니다.