국내 인터넷 사용자를 대상으로 한 국내에서 제작된 제휴 프로그램은 주로 블로그, 파일 자료실, 유명 소프트웨어 등을 다운로드하여 실행하는 과정에서 설치가 이루어지는 것이 특징입니다.
일부 부유한 업체는 네이버(Naver), 다음(Daum)과 같은 포털 사이트 광고에 등록되어 검색 상위에 노출되는 방식으로 영업이 이루어지고 있으며, 이로 인하여 많은 사람들은 인터넷 검색 과정에서 상위에 노출된 광고 링크를 통해 프로그램을 다운로드하여 설치하는 과정에서 부주의하게 설치될 수 있습니다.
이에 반하여 해외 광고 프로그램들이 최근에 국내 인터넷 사용자들을 대상으로 한글화된 광고를 표시하여 국내 소프트웨어처럼 혼동을 주거나 시스템에 문제가 발생한 것처럼 허위 정보를 통해 프로그램을 다운로드하여 설치하도록 하는 수법을 심심찮게 발견할 수 있습니다.
이 글에서는 해외 광고 중 한글화가 이루어진 대표적인 2가지 방식을 통해 사용자에게 프로그램 설치를 유도하는 방식과 유사점을 알아보도록 하겠습니다.
1. "PC Performer" 유포 방식
해외 광고가 포함된 토렌트(Torrent) 사이트를 방문할 경우 위와 같이 한글화가 이루어진 광고 배너가 노출될 수 있습니다.
얼핏 보기에는 다소 부정확한 문구이지만 호기심을 자극하는 보안 관련 광고 문구는 사용자로 하여금 클릭을 유도할 수 있습니다.
연결된 웹 사이트에서는 사용자로 하여금 PC 검사를 위한 시작(START) 버튼을 클릭하도록 구성되어 있습니다.
검사가 진행되면 사용자 PC의 하드웨어 정보를 기반으로 검사가 진행되며 웹(Web) 관련 검사를 통해 리포트(Report)를 생성합니다.
생성된 보안 검사 리포트(Security Scan Report)에서는 사용자 IP 기반으로 한 지리 정보가 노출되었으며 광고 네트워크에 의한 추적이 가능하며 Java 프로그램이 활성화된 문제로 위험 수준을 경고하면서 "PC Performer" 프로그램을 다운로드하도록 유도합니다.
참고로 다운로드된 "PC Performer" 프로그램의 설치 파일(MD5 : 082ed310fd4ea16adc63639c005e45cc)에 대하여 AhnLab V3 보안 제품에서는 Adware/Win32.InstallBrain (VT : 8/48) 진단명으로 진단되고 있습니다.(※ 진단명에 표시된 InstallBrain은 해외에서 유명한 제휴 프로그램 설치 솔루션으로 보입니다.)
이를 통해 설치되는 "PC Performer" 프로그램은 완벽한 한국어 지원과 함께 자동으로 레지스트리 검색을 통해 다수의 오류가 발생하였음을 강조합니다.(※ 설치 과정에서도 다수의 추가적인 제휴 프로그램 설치 옵션이 존재합니다.)
이를 기반으로 "PC Performer" 프로그램은 시스템 시작시마다 예약 작업에 등록되어 자동 실행되며 PC 사용으로 인해 발견될 수 있는 레지스트리 오류를 근거로 유료 결제를 유도합니다.
2. 마이크로소프트(Microsoft) 파트너로 지정된 "RegClean Pro" 프로그램?
또 다른 한글화 해외 광고 중 가장 많이 발견할 수 있는 방식으로는 위의 그림과 같이 Adobe Flash Player 업데이트 또는 스파이웨어 발견 경고창을 통한 방식입니다.
문제의 광고를 통해 연결된 한글화가 완벽한 "RegClean Pro" 웹 사이트에서는 맥아피(McAfee) 웹 인증, 마이크로소프트(Microsoft) 파트너 선정과 같은 마크를 통해 신뢰성을 강조하며 프로그램 다운로드(MD5 : d033b73540c7c2728be584777955a218)를 유도합니다.(※ 추가 조사를 해보면 실제 관련 인증은 허위 정보는 아닙니다.)
이를 통해 설치된 "RegClean Pro" 프로그램은 위에서 살펴본 "PC Performer"와 동일한 디자인과 기능을 가지고 있는 것을 확인할 수 있으며, 레지스트리 검사를 통해 시스템에 오류가 발생한 것처럼 강조를 합니다.
차이점이라면 "Microsoft Partner" 인증을 강조한 부분이며 나머지 모든 동작은 두 제품이 동일한다고 판단할 수 있습니다.
이는 마치 국내 유료 악성코드 제거 프로그램, 개인정보 보안 솔루션, PC 최적화 프로그램 시리즈를 한 업체에서 디자인과 이름만 변경하여 수백종의 프로그램을 제작하여 유포를 활발하게 하고 있는 사례와 유사한 것이 아닌가도 생각됩니다.
▷ 2012년 10월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT) : Win32/Onescan (2012.10.10)
마이크로소프트(Microsoft)사에서는 국내에서 제작된 불량 백신의 범람에 따라 MSRT 진단툴에 Win32/Onescan 진단을 추가하였다는 소식을 전해 드린 바 있으며, 안랩(AhnLab)에서는 Trojan/Win32.onescan, Trojan/Win32.ankore 및 불필요한 프로그램(PUP)으로 진단하고 있습니다.
▷ <Microsoft Security Blog> Examining Korea’s Rollercoaster Threat Landscape (2013.9.24)
또한 최근에도 마이크로소프트(Microsoft)에서는 여전히 Win32/Onescan이 매우 높은 수준으로 진단되고 있다는 통계 정보를 추가로 공개하였습니다.
그러므로 국내 뿐만 아니라 해외에서 제작된 위와 같은 계열의 프로그램을 다운로드하도록 제작된 한글화된 광고에 속지 않도록 주의하시기 바라며, 해외 프로그램의 경우에도 설치 과정에서 다양한 제휴 프로그램이 추가될 수 있으므로 설치 화면을 꼼꼼하게 확인하시기 바랍니다.