본문 바로가기

벌새::Security

네이버 애드포스트(Naver AdPost) 시스템의 허술한 보안 검증

네이버(Naver) 블로그에서만 적용이 되는 CPC 방식의 광고 시스템 애드포스트(AdPost)에 등록된 광고 중에서 특정 광고를 통해 접속이 되는 사이트에서 제공하는 프로그램 자체가 악성 프로그램인 부분이 발견되어 정보를 공개합니다.

직설적으로 표현을 하자면 돈을 받고 악성 프로그램을 광고해주고 있는 모양새가 될 수 있는데, 현재 네이버 약관을 근거로 이런 부분에 대해 문제 제기를 하자면 네이버 블로그의 경우 게시된 첨부 파일이 국내외 유명 보안 제품에서 악성코드로 진단되는 부분에 대해 네이버 고객센터에 신고를 하면 업체에서 확인 과정을 거쳐 강제로 비공개 처리를 하고 있습니다.


문제가 되고 있는 해당 광고는 PC 사용 흔적을 검사하여 유료 결제를 통한 치료를 지원하는 프로그램으로 해당 광고를 통해 접속된 제작사 사이트에서 제공하는 설치 파일에 대해서 확인을 해 보았습니다.

해당 설치 파일(MD5 : a48e62c64f68a2b32dc601efffa2973d)에 대하여 nProtect 보안 제품에서는 Trojan/W32.Agent.2409704 (VirusTotal : 30/42) 진단명으로 진단을 하고 있으며, 국내외 유명 보안 제품 중 70% 이상이 악성코드로 진단을 하고 있는 것을 확인할 수 있습니다.

세부적으로 국내 보안 시장에 참여 또는 엔진 라이센스를 한 것으로 알려진 국내외 보안 제품 진단을 살펴보았습니다.

[설치 파일(MD5 : a48e62c64f68a2b32dc601efffa2973d)]

avast! : Win32:Adware-gen
AVG : Generic18.AIHC
BitDefender : Trojan.Generic.KD.19919
Dr.Web : Trojan.Fakealert.15241
McAfee : Artemis!A48E62C64F68
Microsoft : Program:Win32/FakeDemic
nProtect : Trojan/W32.Agent.2409704
Symantec : Downloader
TrendMicro : TROJ_GEN.R47C3HA

네이버의 경우 무료 백신 네이버 백신(Naver Vaccine)의 경우 Kaspersky / Hauri ViRobot 엔진을 사용하는데, 해당 엔진들이 진단을 하지 않으므로 악성 프로그램이 아니라고 판단할 수도 있습니다.

그렇다면 실제 해당 프로그램의 설치 파일 내부(또는 실제 설치한 상태)에서 보안 제품의 진단을 확인해 보았습니다.


테스트에서는 해당 설치 파일 내부에 존재하는 파일을 확인해보면 안철수연구소(AhnLab) V3 보안 제품에서 pnfopopd.dll 파일(MD5 : 1e569cfab81872e4e0e5c85bd4a4c587)에 대하여 Trojan/Win32.Gen (VirusTotal : 27/43) 진단명으로 진단되는 것을 확인할 수 있습니다.

[pnfopopd.dll (MD5 : 1e569cfab81872e4e0e5c85bd4a4c587)]

AhnLab V3 : Trojan/Win32.Gen
avast! : Win32:Malware-gen
AVG : Generic18.BQOR
BitDefender : Trojan.Generic.4656236
Dr.Web : Trojan.Fakealert.15241
McAfee : FakeAlert-OT
Microsoft : Program:Win32/FakeDemic
Symantec : Trojan.Gen

최종적으로 설치된 파일 각각에 대해 확인할 필요가 없이 해당 프로그램의 경우 유명 보안 제품이 실시간 감시를 하는 과정에서 설치를 하는 과정에서 이미 60~70% 진단률로 인해 사용자에게 보안 경고가 노출이 되는 악성 프로그램이라고 할 수 있습니다.

위에서 언급한 것처럼 네이버 블로그 사용자는 유명 보안 제품에서 진단되는 첨부 파일을 게시할 경우 제재를 받는데 반해, 네이버측에서는 돈을 받고 오히려 이런 부분에 대해서는 제대로 검증을 하지 않고 광고를 하는 아이러니를 보여주는 것 같아 씁쓸합니다.