본문 바로가기

벌새::Analysis

불법적인 한컴오피스 뷰어 배포를 통한 제휴(스폰서) 프로그램 유포 사례 (2012.5.21)

(주)한글과컴퓨터 업체에서는 한컴오피스 제품군을 통해 제작된 문서를 무료로 볼 수 있는 한컴오피스 뷰어 프로그램에 대해 작년(2011년)부터 일부 사용자(업체)들이 재배포를 하는 과정에서 악성코드를 추가하는 등의 문제가 발생하여 업체의 허락없이 재배포나 유통을 할 수 없도록 사용권을 변경하였습니다.

 

  <한글과컴퓨터 공식 다운로드 게시판> 한글과컴퓨터 오피스 뷰어 2010 SE

 

만약 한글과컴퓨터 공식 사이트 이외의 웹 사이트에서 배포를 하려면 반드시 사용 신청서를 접수하여 허락을 얻어야하는데, 최근 한컴오피스 뷰어 2010 SE 버전에 대해 모 업체에서 불법적으로 배포하는 과정에서 추가적인 제휴(스폰서) 프로그램을 추가하는 행위를 확인하였습니다.(※ 설마 업체 허락하에 이러지는 않겠지. ) 

유포 방식을 살펴보면 네이버(Naver) 블로그에 첨부 파일 형태로 등록하여 한컴오피스 뷰어 2010 SE 버전을 다운로드할 수 있도록 안내를 하고 있습니다. 

다운로드된 첨부 파일(HOfficeViewer2010SE.exe)의 속성을 확인해보면 LivefileDownloader.exe 파일이라는 원본 파일명을 가지고 있는 것을 확인할 수 있습니다. 

또한 국내 광고 프로그램 배포 목적으로 제작된 파일들에서 종종 발견되는 "CIDA(사이다)"라는 이름의 디지털 서명이 추가되어 있는 것을 확인할 수 있습니다. 

해당 파일을 직접 실행해보면 그림과 같이 Internet Explorer 웹 브라우저 다운로드 모양의 다운로더(Downloader) 창이 생성되며, 하단에는 추가적인 제휴 프로그램이 체크된 형태로 숨어 있는 것을 확인할 수 있습니다.

 

만약 사용자가 해당 제휴 프로그램의 체크를 해제하지 않은 상태에서 "실행" 또는 "저장" 버튼을 클릭할 경우 다수의 광고성 프로그램이 백그라운드 방식으로 설치되는 동작이 있을 수 있습니다.

 

  포털 사이트 광고를 통한 광고 프로그램 유포 사례 (2012.3.15)

 

위와 같은 Internet Explorer 웹 브라우저의 다운로드 창 형태로 추가적인 제휴(스폰서) 프로그램을 숨기고 있는 유포 방식에 대해 소개한 적이 있으므로 참고하시기 바랍니다.

 

실제 한컴오피스 뷰어 2010 SE 버전을 정상적으로 다운로드하는지 여부와 어디에서 받아오는지 확인해 보도록 하겠습니다. 

다운로드 창에서는 "super****.co.kr → HOfficeViewer2010SE.exe" 파일(124MB)을 받아온다고 표시를 하고 있습니다. 

하지만 실제 패킷을 떠보면 "searchmall.vipweb.kr(115.68.28.119)" FTP 서버로부터 설치 파일을 다운로드하는 동작을 확인할 수 있습니다.

 

한글과컴퓨터 업체에서는 한컴오피스 업데이트 패치 파일에 대해서는 회원 가입을 통한 로그인을 통해 다운로드를 할 수 있도록 제한하는 반면, 뷰어 프로그램에 대해서는 누구나 로그인없이 무료로 다운로드할 수 있도록 하고 있습니다.

 

그러므로 한컴오피스 뷰어 프로그램이 필요하신 분들은 반드시 공식 홈 페이지를 이용하여 다운로드하시기 바라며, 신뢰할 수 없는 블로그 또는 공개 자료실을 통해 다운로드할 경우에는 위와 같이 원치 않는 프로그램 다수가 함께 설치될 가능성이 있으므로 주의하시기 바랍니다.