해외 IT 보안 관련 NetSec Consulting Corp의 Mohamed Hassan씨가 발견한 이번 삼성 노트북 키로거 발견 이슈는 과거 2006년 소니(Sony) BMG 제품에서 보안을 목적으로 루트킷(Rootkit)을 몰래 설치하였다가 문제가 되었던 사례와 함께 해외에서 언급되고 있습니다.
이번에 발견된 StarLogger는 예전부터 상업적 목적으로 판매가 이루어지고 있는 프로그램으로, 이번 삼성 노트북에서는 Pre-Installed 방식으로 [C:\Windows\SL] 폴더에 설치되어, 시스템 시작시 자동 실행되는 방식으로 동작합니다.
해당 프로그램은 자녀 감시, 직원 감시용으로 사용되며 설치된 PC에서는 시작 메뉴를 통해 해당 프로그램에 접근할 수 없으며, 사용자가 Windows 상에서 이루어지는 모든 활동을 기록하고 스크린 샷까지 찍어 외부에 전송하는 기능을 가지고 있습니다.
보안 제품에서는 업체 진단 정책에 따라 진단 여부가 결정되며 소포스(Sophos) 보안 제품의 경우 Mal/LineDLL-B 진단명으로 진단되며, 시만텍(Symantec) 제품에서는 Spyware.StarLogger 진단명으로 진단되고 있습니다.
해외에서는 StarLogger 프로그램의 설치 여부 확인 및 제거 방법이 공개되어 있으므로 참고하시기 바랍니다.
이번 삼성 노트북에 설치된 키로거 프로그램이 어떤 과정에서 설치가 이루어졌는지는 조사가 이루어져야 알 수 있지만, 보안 목적이나 기타 용도를 위해 설치가 되더라도 사용자가 분명히 인지를 하고 동의를 받아야 하는 과정을 빼먹었다면 문제가 있을 것으로 보입니다.
Update : 삼성전자 입장
이번 이슈와 관련하여 삼성전자에서는 해당 진단은 당시 발견자 PC에 설치된 GFI Software사의 보안 제품 SunBelt Vipre의 오진이라고 밝히고 있습니다.
즉, 마이크로소프트(Microsoft)사에서 제공하는 Live Application 프로그램이 해당 발견자 PC 환경에서 C:\Windows\SL 폴더를 생성하여 보안 제품이 오진을 했다고 하므로 참고하시기 바랍니다.