안녕하세요.

사용자 삽입 이미지

네이버에서 서비스하고 있는 지역 정보 서비스의 교통 관련 지도 서비스에 대해 지적할 부분이 있어 적습니다.

해당 서비스는 국내 교통 정보를 상세하게 제공하고 있는 서비스로 버스 관련 내용을 자세히 보기 위해서는 ActiveX를 통한 추가적인 파일을 설치하고 있습니다.

* 해당 분석글의 글쓴이는 보안 전문가가 아니므로 오류가 있을 수 있습니다.

사용자 삽입 이미지


스크린샷과 같이 특정 노선을 보기 위해서는 반드시 네이버에서 제공하는 ActiveX 컨트롤러를 설치해야 합니다.

사용자 삽입 이미지

해당 서비스는 네이버에서 제작한 기술이 아닌 선도소프트(
http://www.sundosoft.com)에 의뢰하여 제작된 것으로 보입니다.

실제 해당 다운로드 파일을 받아서 파일을 살펴보았습니다.

사용자 삽입 이미지

붉은색 동그라미를 친 부분이 자세하게 살펴보아야 할 부분입니다.

이유는 해당 ActiveX를 설치하는 과정에서 해외 유명 보안업체 일부에서 악성코드(스파이웨어)로 진단하고 있기 때문입니다.

사용자 삽입 이미지

[WooricyCtrl.dll]

사용자 삽입 이미지

Antivirus Version Last Update Result
AhnLab-V3 2008.6.18.1 2008.06.18 -
AntiVir 7.8.0.55 2008.06.18 ADSPY/Wooricy.A
Authentium 5.1.0.4 2008.06.18 -
Avast 4.8.1195.0 2008.06.17 -
AVG 7.5.0.516 2008.06.18 -
BitDefender 7.2 2008.06.18 -
CAT-QuickHeal 9.50 2008.06.17 -
ClamAV 0.93.1 2008.06.18 -
DrWeb 4.44.0.09170 2008.06.18 -
eSafe 7.0.15.0 2008.06.17 -
eTrust-Vet 31.6.5884 2008.06.18 -
Ewido 4.0 2008.06.17 -
F-Prot 4.4.4.56 2008.06.18 -
F-Secure 6.70.13260.0 2008.06.18 Adware.Agent
Fortinet 3.14.0.0 2008.06.18 -
GData 2.0.7306.1023 2008.06.18 -
Ikarus T3.1.1.26.0 2008.06.18 AdWare.Wooricy.A
Kaspersky 7.0.0.125 2008.06.18 -
McAfee 5319 2008.06.17 -
Microsoft 1.3604 2008.06.18 -
NOD32v2 3196 2008.06.18 -
Norman 5.80.02 2008.06.17 -
Panda 9.0.0.4 2008.06.18 -
Prevx1 V2 2008.06.18 -
Rising 20.49.21.00 2008.06.18 -
Sophos 4.30.0 2008.06.18 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.18 -
TheHacker 6.2.92.354 2008.06.18 -
TrendMicro 8.700.0.1004 2008.06.18 -
VBA32 3.12.6.7 2008.06.17 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.18 Ad-Spyware.Wooricy.A
Additional information
File size: 389120 bytes
MD5...: 5a1896b402fb37166f8430761de1c367
SHA1..: 18db5f8d617f813963da79bbaef25a207688387a
SHA256: 393c22b9eccfa01c13e463f2457611af9e55647bd5442babe8d539885cb3fb7c
SHA512: a52be51b04119d6320f4147b22a87a099f3cbc1b7a6c398243890aad317ef419
a3009e4a90b4957d1930156410b7e63333b4ef7fc2adacd98f9a9c094ea41c49

해당 파일을 정확하게 분석한 업체는 AntiVir로 진단명이 정확하게 해당 파일을 지적하고 있습니다.

사용자 삽입 이미지

실제 해당 업체에서 분석하여 업데이트한 일자를 보면 2008년 1월 9일로 나옵니다.

F-Secure 제품에서 진단한 근거는 다음과 같습니다.

Adware.Agent - 휴리스틱 진단 추정

Spyware is any software that gathers user information without users' knowledge.

즉, 사용자의 인지없이 사용자 컴퓨터의 정보를 수집하는 현상을 가진 파일


실제 파일을 열어서 분석하는 부분은 보안 전문가 분들이 잘 하시리라 봅니다.

여기에서 진단의 기준은 보안업체의 기준이겠지만, 해외 업체의 특성상 언어적인 문제로 인해 제대로 평가를 하지 못하였을 수도 있습니다. 즉, 해당 설치 파일에 대한 이용약관을 실제 파악하지 못하였을 수도 있다는 것입니다.

실제 네이버의 이용약관을 살펴보겠습니다.

사용자 삽입 이미지

네이버 전체의 이용약관 사항 중 서비스 관련 항목에 보면 제휴를 맺은 버시스 역시 네이버의 서비스 이용약관에 따른다고 나와 있습니다.

실제 해당 서비스를 제작한 선도소프트 홈페이지에 서비스 관련 이용약관을 제시하여도 그것보다는 네이버라는 웹 공간에서 서비스할 때에는 네이버의 서비스로 인정할 수 있는 것으로 보입니다.

그렇다면 네이버에서는 해당 지도 서비스 관련하여 추가적으로나 독립적으로 해당 파일에 대해 어떤 정보를 제공하고 있었는지 궁금합니다. 제가 개인적으로 살펴본 바로는 해당 서비스에 대한 이용약관이나 해당 서비스를 통해 사용자의 정보를 수집한다는 내용을 찾아볼 수 없었습니다.

즉 해외 보안업체에서 지적하듯이 사용자 몰래 사용자의 정보를 수집하는 행위를 실제하였을 경우 이는 스파이웨어로 분류하는 것이 정당하다고 생각합니다.

물론 해당 파일이 실제 그런 동작을 하는지는 보안 전문업체에서 판단할 일입니다.

이제 ActiveX를 실제로 설치하여 보겠습니다.

사용자 삽입 이미지

주목할 파일은 C:\WINDOWS\WooricyCtrl.dll 경로에 설치되었습니다.

HKEY_USERS\machine\software\microsoft\Code Store
 Database\Distribution Units\{91A6D076-F1AA-44DC-9825-9F7DE41E2398}
  \Contains\Files

"C:\\WINDOWS\\WinSxS\\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\\GdiPlus.dll"=""
"C:\\WINDOWS\\system32\\mfc71.dll"=""
"C:\\WINDOWS\\system32\\msvcp71.dll"=""
"C:\\WINDOWS\\system32\\msvcr71.dll"=""
"C:\\WINDOWS\\zlib1.dll"=""
"C:\\WINDOWS\\PathClient.dll"=""
"C:\\WINDOWS\\ODsay_SundoKT.dll"=""
"C:\\WINDOWS\\WooricyCtrl.dll"=""
"C:\\WINDOWS\\Downloaded Program Files\\WooricyMap.ocx"=""
HKEY_USERS\machine\software\microsoft\Windows\CurrentVersion
 \ModuleUsage\C:/WINDOWS/WooricyCtrl.dll
".Owner"="{91A6D076-F1AA-44DC-9825-9F7DE41E2398}"
"{91A6D076-F1AA-44DC-9825-9F7DE41E2398}"=""
HKEY_USERS\machine\software\microsoft\Windows\CurrentVersion
 \SharedDlls

"C:\\WINDOWS\\WinSxS\\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\\GdiPlus.dll"=dword:00000001
"C:\\WINDOWS\\system32\\mfc71.dll"=dword:00000004
"C:\\WINDOWS\\system32\\msvcp71.dll"=dword:00000004
"C:\\WINDOWS\\system32\\msvcr71.dll"=dword:00000005
"C:\\WINDOWS\\zlib1.dll"=dword:00000001
"C:\\WINDOWS\\PathClient.dll"=dword:00000001
"C:\\WINDOWS\\ODsay_SundoKT.dll"=dword:00000001
"C:\\WINDOWS\\WooricyCtrl.dll"=dword:00000001
"C:\\WINDOWS\\Downloaded Program Files\\WooricyMap.ocx"=dword:00000001

사용자 삽입 이미지

해당 파일은 IE에 삽입이 되는 것으로 보입니다. 즉 해당 지도 서비스를 이용할 경우 IE와 같이 동작하면서 어떤 동작을 취하고 있습니다.

AntiVir 업체에서 실제 파일을 분석하여 업데이트 패턴에 추가한 것을 고려한다면 분명 사용자 컴퓨터에서 어떤 정보(예를 들어 IP를 이용한 사용자 컴퓨터의 위치 정보 등)를 수집하기에 스파이웨어라는 진단명으로 포함한 것으로 보입니다.

네이버가 지도 서비스를 하면서 해당 서비스에 대한 추가적인 정보를 언급하지 않은 이상 보안업체의 진단이 올바른 선택이라고 보여집니다.
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..