울지않는벌새 : Security, Movie & Society

싸이월드 방문자 추적기 자동 설치 프로그램을 이용한 웹하드 가입 주의 (2011.11.27)

벌새::Analysis
아직도 인터넷 상에서는 싸이월드(CyWorld) 방문자 추적기를 자동으로 설치할 수 있는 서비스를 빙자하여 사용자 몰래 악의적인 행위를 하는 프로그램이 유포되고 있는 것으로 보입니다.

이번에는 꾸준히 버전 업데이트가 이루어지는 싸이월드 방문자 추적 프로그램으로 위장하여, 프로그램 사용을 위한 회원 가입시 실제로는 사용자 몰래 특정 웹하드로 회원 가입이 이루어지는 사례를 살펴보도록 하겠습니다.

해당 사이트는 개인 도메인(pe.kr)을 통해 운영되고 있으며, 싸이월드 방문자 자동 설치 프로그램을 6.2 최신 버전까지 꾸준하게 업데이트되는 것처럼 외관상 구성하고 있습니다.

실제 파일 다운로드는 티스토리(Tistory) 블로그에 업로드된 파일을 다운로드하는 방식으로 이루어지고 있습니다.

다운로드된 압축 파일 내부에 존재하는 V6.2_Cyworld_AutoSetup.exe 파일은 11월 24일경에 등록한 것으로 추정되며, 해당 파일을 실행할 경우 다음과 같은 동작을 확인할 수 있습니다.

GET /cy/cylink_ver.txt HTTP/1.1
Accept: image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,*/*
User-Agent: Microsoft URL Control - 6.00.8169
Host: cy****.pe.kr
Connection: Keep-Alive
Cache-Control: no-cache

최초 실행시 최신 버전 체크를 한 후, 프로그램 메인 화면으로 전환되도록 구성되어 있습니다.

프로그램은 "싸이월드 방문자 추적기 자동 설치 프로그램"이라는 이름으로 로그인, 회원 가입, 싸이월드 메뉴 및 프로그램 안내 메시지를 확인할 수 있습니다.

먼저, 싸이월드 메뉴에 제시된 싸이월드 방문자 추적기 사용법 설명서는 회원 가입을 통한 로그인을 하지 않을 경우 볼 수 없도록 구성되어 있습니다.

싸이월드 방문자 추적기 개인 TID 설치 메뉴에서는 회원 가입 후 로그인을 통해 인증을 한 경우에만 활성화되는 것처럼 구성되어 있습니다.

싸이월드 방문자 내역 역시 회원 가입 후 로그인이 이루어져야지 활성화되는 메뉴처럼 구성되어 있습니다.

실제 해당 프로그램에서 제공하는 회원 가입 버튼을 클릭하여 생성되는 무료 회원 가입창은 어떤 비밀이 숨어있는지 확인해 보았습니다.

해당 무료 회원 가입창이 생성되는 과정에서 국내 특정 웹하드 서버로 연결이 이루어지며, 특정 파트너 아이디(ID)가 등록되어 추천인 방식으로 회원 가입이 연동되는 것을 확인할 수 있습니다.

더 정확하게 확인해보면 회원 가입란에 입력하는 개인정보 중 주민등록번호를 입력할 경우, 해당 입력 정보가 유효한지 여부를 해당 웹하드에서 체크를 하는 동작을 확인할 수 있습니다.

즉, 싸이월드 방문자 추적 자동 설치 프로그램에서 제공하는 프로그램 사용을 위한 회원 가입은 실제로는 웹하드 서비스 회원 가입일 뿐이라는 의미입니다.

만약 프로그램의 로그인 정보에 아이디(ID)와 비밀번호를 입력하고 로그인을 시도하면 해당 웹하드 로그인 체크만 일어날 뿐, 싸이월드 방문자 추적과 관련된 어떠한 동작도 일어날 수 없는 구조로 보입니다.

그러므로 실제 해당 프로그램을 통해 회원 가입을 하게되는 사용자는 자신이 어떤 사이트에 회원 가입을 하였는지 알지 못할 가능성이 높으며, 해당 웹하드 서비스의 경우 회원 가입시 기본값으로 특정 화재 보험사에 회원 정보를 제공하는데 동의가 이루어지는 등의 문제가 발생할 것으로 추정됩니다.

여전히 이런 불법 프로그램의 유혹에 빠져 프로그램 사용을 목적으로 검증되지 않은 프로그램에 개인정보를 입력하는 일이 없도록 주의하시기 바랍니다.