본문 바로가기

벌새::Analysis

윈드러너(WindRunner) 쿠폰 파일을 이용한 웹하드 결제 유도 주의 (2013.3.9)

카카오(Kakao) 달리기 게임으로 유명한 윈드러너(WindRunner) 이슈를 이용하여 윈드러너 쿠폰, 공략법 등과 관련된 파일을 블로그 첨부 파일로 등록하여 사용자 모르게 특정 웹하드 서비스에 자동 연장 결제 방식의 회원 가입을 유도하는 사례를 살펴보도록 하겠습니다.

 

  "배신자톡 ver 1.0" 프로그램을 이용한 결제 사기 주의 (2012.8.8)

 

특히 해당 파일은 기존의 배신자톡 프로그램을 이용한 결제 사기와 연관성이 있으므로 참고하시기 바랍니다.

파일 배포 방식을 확인해보면 "윈드러너 쿠폰, 공략법, 루비, 펫" 등과 같은 제목과 글을 통해 특정 블로그로 연결되는 링크를 게시하며, 이를 통해 접속된 블로그에서는 첨부 파일을 통해 프로그램을 실행하도록 등록되어 있습니다.

다운로드된 압축 파일 내부에는 윈드러너1.8.9v.exe (MD5 : 15cf81b8e95eb27a2ac316cce779cf21) 실행 파일과 VB6KO.DLL 파일이 포함되어 있습니다.

윈드러너1.8.9v.exe 파일은 그림과 같은 파일 아이콘을 가지고 있으며, VB6KO.dll 파일이 시스템 폴더에 위치했을 때 동작하도록 제작되어 있습니다.

윈드러너1.8.9v.exe 파일의 코드를 봤을 때에는 특정 웹하드 파트너 아이디가 포함되어 있는 것을 확인할 수 있으며, 실제 어떤 식으로 사용자를 속이고 있는지 실행해 보도록 하겠습니다.

파일을 실행하면 "File Guri Premium Patch"라는 이름의 창이 생성되며(※ 과거 파일구리 프리미엄 패치를 이용한 사기 파일을 변형한 것으로 추정됩니다.), 상단의 File 영역에 배치된 버튼을 클릭하면 "Errorcode 372" 에러창을 생성하며 로그인을 하도록 유도합니다.

 

또한 하단의 Login 영역에서는 사용자가 실제 회원 가입을 하였다고 가정할 경우 아이디와 비밀번호를 입력하고 로그인을 시도하여도 "등록된 아이디가 없습니다."라는 창이 생성되는 가짜 파일입니다.

"사용 방법" 버튼을 클릭할 경우에는 회원 등록 후 이용하도록 안내를 하고 있으며, 결론적으로 해당 파일의 핵심 기능은 파일 이용을 위해서는 다음과 같이 생성되는 창에서 회원 가입을 하도록 제작된 파일임을 알 수 있습니다.

생성된 회원 가입 창에서는 사용자가 어떤 서비스에 가입이 되는지 휴대폰 인증 번호를 입력할 때까지 알 수 없도록 제작되어 있습니다.

이 부분을 알기 위해 회원 가입창이 연결되는 부분을 확인해보면 회원 가입시 사용자 몰래 특정 파트너 아이디(ID)를 추가하는 부분을 발견할 수 있습니다.

또한 회원 가입은 특정 웹하드 서비스의 회원 가입 양식 부분만을 "File Guri Premium Patch" 회원 가입창을 통해 구현한 것을 확인할 수 있습니다.

 

실제 웹 페이지 상에서는 "본 페이지는 유료서비스 사이트의 결제페이지이며, 24시간 내내 시간제한없이 모든 컨텐츠와 서비스를 이용하고 다운받으실 수 있습니다. 가입시 19,800원이 결제되며 월 자동연장결제됩니다.자동연장결제란 사용자의 별도해지요청이 없을시 요금이 매월 정기적으로 자동청구 및 결제되는 서비스입니다. ○○○ 서비스의 월 자동연장결제해지요청은 사이트 하단의 메일보내기에서 바로 신청하실 수 있습니다."와 같은 안내 문구를 통해 자동 연장 결제 방식임을 표기하고 있습니다.

 

하지만 파일을 통해 회원 가입을 할 경우에는 사용자는 자동 연장 결제, 가입하는 서비스 위치 등에 대한 정보를 전혀 확인할 수 없습니다.

제 7 조 (유료정보 이용을 위한 결제)

 

① 결제를 하기 전에 본 회사는 금액을 표시하며, 금액이 변경할 경우에는 해당페이지(문서)에 그 금액을 표시 합니다.
② 회사가 제공하는 서비스는 기본적으로 정액 단위의 과금으로 운영됩니다. 단, 회사와 제휴된 사이트가 제공하는 별도의 유료정보에 대해서는 해당 정보에 명시된 요금을 지불하여야 사용 가능합니다.
③ 이용요금은 정액 1개월 18,000원(VAT별도)이며 매월 자동연장결제 방식으로 제공됩니다.

특히 이용약관에서는 결제하기 전에 금액을 표시한다고 안내되어 있지만, 파일 실행을 통한 휴대폰 인증을 한 후 회원 가입을 하는 과정에서는 사용자가 알지 못합니다.

 

이처럼 다양한 이슈를 이용하여 파일 다운로드를 위한 회원 가입시 제한된 정보만을 제공하면서 결제를 유도하는 파일이 많이 유포되고 있는 것으로 추정되므로, 이런 방식으로 회원 가입을 시키는 서비스는 사용자가 금전적 피해를 볼 수 있으므로 절대로 이용하지 마시기 바랍니다.

 

특히 인터넷 상에서 "주민등록번호 + 휴대폰 번호를 이용한 인증" 방식은 자동 연장 결제로 연결되므로 매우 주의하시기 바랍니다.