본문 바로가기

벌새::Security

프로세스클린(ProcessClean) 사용으로 인한 진단 이슈 (2013.12.3)

국내에서 제작된 해킹 방지 및 애드웨어 제거 프로그램 프로세스클린(ProcessClean)"프로세스 초기화를 하지 않고 인터넷 연결을 할 경우 100% 해킹 당할 것"이라는 구호를 통해 수백만대의 PC에 설치되는 것으로 추정되는 유명한 프로그램입니다.

 

그런데 2013년 10월 초경부터 안랩(AhnLab)에서 프로세스클린(ProcessClean) 2.35a 버전에 대한 애드웨어(Adware) 진단이 이루어지기 시작하였으며, 그 후 nProtect 보안 솔루션에서도 진단이 추가된 것으로 알고 있습니다.

  • C:\Program Files\ProcessClean\ProcessClean.exe (MD5 : 9d18703556480b068a0110b59c574ec3) - AhnLab V3 : Adware/Win32.ProcessClean, nProtect : Adware/W32.Agent.3919632

이로 인하여 금융권 등 결제 관련 웹 사이트에서 제공하는 AhnLab Online Security, nProtect Netizen 보안 솔루션이 프로세스클린(ProcessClean) 관련 파일을 진단하는 이슈가 발생하고 있는 것으로 확인되고 있습니다.

 

최초 진단에 포함되었을 당시 개인적으로 안랩(AhnLab) 고객센터를 통해 오진 여부를 문의한 결과 프로세스클린(ProcessClean) 제품이 진단 이슈 문제를 해결할 때까지는 진단 제외를 하지 않을 것이라는 내용만을 받았으면, 그 후 프로세스클린(ProcessClean) 측에서도 안랩(AhnLab)의 진단 정책에 대한 구체적인 답변을 받아 제작사 홈 페이지에 공개한 것으로 알고 있습니다.

 

이에 보안 업체와 프로그램 제작사 간의 의견 대립에 대해서는 개인적으로 언급할 부분은 아닌 것 같으며, 개인적으로 애드웨어(Adware)에 대해 나름대로 많은 정보를 공개하고 있는 입장에서 몇 가지 살펴보도록 하겠습니다.

 

1. 프로세스클린(ProcessClean) 제휴 프로그램 문제점

프로세스클린(ProcessClean) 설치시 제휴 프로그램으로 기본 체크되어 있는 "프로세스클린 추천쇼핑몰 등록"을 유지하고 설치를 진행하면 다음과 같이 다수의 인터넷 쇼핑몰 바로가기 아이콘이 생성됩니다.

생성된 인터넷 쇼핑몰 바로가기 아이콘은 Internet Explorer 웹 브라우저의 즐겨찾기와 바탕 화면에 생성되며, 해당 바로가기 아이콘을 통해 접속을 할 경우 특정 제휴 코드가 추가되어 수익을 창출할 수 있습니다.

 

문제는 사용자가 프로세스클린(ProcessClean) 프로그램을 삭제할 경우 인터넷 쇼핑몰 바로가기 아이콘의 이미지 파일만을 삭제할 뿐 즐겨찾기와 바탕 화면에 생성된 바로가기 아이콘은 지속적으로 유지되어 프로그램 사용과 무관하게 제작사의 수익을 지속시킬 수 있습니다.

 

프로세스클린(ProcessClean) 프로그램을 비롯하여 국내 인터넷 쇼핑몰 바로가기 아이콘을 추가하는 광고 프로그램 상당수가 위와 같은 방식으로 설치된 바로가기 아이콘을 프로그램 삭제시 삭제하지 않는 꼼수를 통해 돈벌이를 할 수 있습니다.

 

2. 프로세스 해킹 방지 기술과 문제점

프로세스클린(ProcessClean) 프로그램에서는 해킹 방지 기술로 파일 실행 여부를 사용자가 결정하도록 할 수 있도록 지원하고 있습니다.

이를 통해 사용자가 실행하려는 파일은 마이크로소프트(Microsoft) 관련 파일이 아닌 경우에는 무조건 "프로세스 실행 여부 확인" 창을 생성하여 실행 여부를 사용자가 결정하도록 하고 있습니다.

 

하지만 위와 같은 기술은 화이트 리스트(White List)가 존재하지 않는다는 측면에서 단순히 파일명을 기준으로 한 실행 여부 판단해야 하는 사용자가 현명하지 못하다는 치명적인 약점을 가지고 있습니다.

 

만약 위와 같은 모든 파일의 실행 여부를 사용자가 결정하도록 하는 보안 솔루션을 원한다면 Comodo Internet Security와 같은 검증된 무료 보안 솔루션을 사용하시길 강력하게 권장해 드립니다.

특히 개인적으로 이미 감염된 환경에서 시스템 시작시마다 루트킷(Rootkit) 방식으로 자동 실행되는 악성코드를 프로세스클린(ProcessClean) 해킹 방지 기술이 실행 여부창을 띄우는지 확인을 해보았지만 조용하게 동작하는 모습을 통해 100% 안전을 보장할 수 없다는 것도 분명하게 인지해야 할 것이라고 생각됩니다.

 

3. 프로세스클린(ProcessClean) 프로그램 삭제시 문제점

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ProcessClean = "C:\Program Files\ProcessClean\ProcessClean.exe"

프로세스클린(ProcessClean) 프로그램이 설치된 환경에서는 Windows 시작시 "C:\Program Files\ProcessClean\ProcessClean.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

개인적인 테스트에서는 Windows XP 운영 체제에서는 프로그램이 정상적으로 동작하지만, Windows 7 운영 체제에서는 시작 프로그램에 등록되어 있는 프로그램이 자동 실행되지 않는 것으로 보아 프로세스클린(ProcessClean) 프로그램은 Windows XP 운영 체제에 최적화된 프로그램이 아닌가 생각됩니다.

이렇게 설치된 프로그램을 사용자가 제어판을 통해 삭제를 진행해보면 "C:\Program Files\ProcessClean" 폴더만을 삭제할 뿐 다음과 같은 관련 파일 및 레지스트리 값을 삭제하지 못하는 문제가 발생하고 있습니다.

 

  • C:\Users\(사용자 계정)\Documents\ProcessClean :: 숨김(H) 속성
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    ProcessClean :: 시작 프로그램 등록 레지스트리 값

특히 "C:\Users\(사용자 계정)\Documents\ProcessClean" 폴더 및 내부 파일은 숨김(H) 속성으로 지정되어 있는 문제로 인하여 Windows 탐색기 기본값에서는 표시되지 않으며, 프로세스클린(ProcessClean) 프로그램이 애드웨어의 자동 실행을 차단할 목적으로 시작 프로그램 초기화와 같은 동작을 제공한다는 점에서 자신의 시작 프로그램 등록값을 남기고 삭제한다는 점은 꼼꼼하지 못한 측면이 있습니다.

 

4. 프로세스클린(ProcessClean) 총평

 

프로세스클린(ProcessClean) 프로그램은 엄밀하게 말해서 애드웨어(Adware) 제거 프로그램은 아니면 프로세스, 서비스, 시작 프로그램, ActiveX, BHO 값을 초기화하여 프로그램을 실행하지 못하도록 할 수 있습니다.

 

하지만 초기화 이후에도 사용자 PC에 설치된 애드웨어(Adware)는 여전히 존재하여 사용자가 프로그램을 찾아 삭제해야 하며, 다양한 기술을 통해서 초기화를 우회하여 정상적으로 동작할 수도 있지 않을까 생각됩니다.

 

이는 프로세스클린(ProcessClean) 프로그램이 설치된 많은 PC 환경에서 여전히 많은 광고 프로그램이 발견되고 동작하고 있기 때문이며, 반대로 초기화를 하지 않았기 때문에 동작할 수 있겠지만 해당 초기화 문제로 인하여 정상적인 프로그램의 실행이 방해를 받을 수 있다는 문제도 사용자가 책임을 져야 할 부분입니다.

 

또한 실제 프로세스클린(ProcessClean) 사용자가 "프로세스 해킹 방지" 기능을 어느 정도 사용하고 있는지 모르겠지만, 제가 해당 프로그램의 프로세스 해킹 방지 기술을 활성화하고 사용한다고 하여도 현명하게 파일 실행 여부를 결정할 수 없다는 점은 분명합니다.(※ 공격자는 어리석지 않습니다. )

 

현재 추세를 봐서는 프로세스클린(ProcessClean) 제작사에서는 AhnLab V3, nProtect 보안 제품의 진단 문제를 해결할 의지는 없어 보이며 이에 따라 프로그램 업데이트가 없는 경우에는 지속적인 진단 이슈가 발생할 것으로 보입니다.

 

마지막으로 위와 같은 프로그램의 도움없이도 PC 관리를 잘하는 방법으로는 사용자가 조금 더 깨어있는 보안 의식(Windows 및 응용 프로그램 보안 업데이트)과 사용자의 잘못된 인터넷 사용 습관(프로그램 다운로드 및 실행, 사용자 편의적인 보안 제품 진단 무시 등)을 고친다면 깨끗한 환경에서 PC를 사용할 수 있다는 점을 가장 강조하고 싶습니다.

  • 바다새 2013.12.04 00:26 댓글주소 수정/삭제 댓글쓰기

    사용해본 경험으로

    프로세스클린 자체가 유용한 프로그램은 아닌듯합니다

    잘못 사용할경우 오히려 중요한 기능들이 안되는 경우가 많아서

    잘쓰지도 못하면서 설치해놓은 컴들을보면 짜증부터 난다는

    • PC를 사용하다가 이상한 광고 프로그램이 덕지덕지 설치된 상태에서 이런 프로그램을 사용하는 사용자들은 결국 PC 관리 능력이 별로 없기에 무조건 초기화하다보면 정상적인 프로그램 사용에도 방해를 받을 수도 있겠죠.

  • 2013.12.10 20:45 댓글주소 수정/삭제 댓글쓰기

    우와 글 정말 잘읽었어요 지식인에도 알바가 널려있던데..역시나 ...

  • 예전에 프로세스 클린으로 문제 하나 고친 다음에 심각한 오류가 나서 포맷한 기억이 있네요ㅋㅋ
    무튼 감사합니당. 코모도 인터넷 시큐리티 이걸 써야겠네요~~

  • ??? 2015.08.17 16:35 댓글주소 수정/삭제 댓글쓰기

    여기서 말하는 것들 대부분이 일반적으로 프로그램 설치시 일어나는 일들 아닌가요.
    파일 설치시 광고성 설치 체크 해제하는건 기본중의 기본이고, 만드는 사람도 돈을 벌어야 하는바 광고를 넣었고... 제가 전문가는 아니지만 실제로 오래 프로세스 클린을 썻고 문제가 생겼을때 프로세스 초기화를 이용해서 여러번 도움을 받아왔어요. 아주 대단하고 혁신적인 프로그램이다...라는 이야기는 아니고, 무료로 간편하게 컴퓨터를 관리할 수 있는 좋은 점이 있는 소프트웨어라고 생각합니다. 본문에서 쓰신것만큼 불편하고 지저분한 소프트웨어는 아니라고 단언할 수 있습니다.

    • 프로그램에 포함된 광고 문제는 아닌 것으로 알고 있습니다. 단지 제가 테스트해보면 Windows XP 운영 체제에서만 효과적으로 사용이 가능한 프로그램이 아닐까 생각합니다.

  • 근데 2015.08.27 15:57 댓글주소 수정/삭제 댓글쓰기

    제가 컴을 잘 몰라서 글을 나름 스스로 이해해보려고 다 읽어봤는데
    결국 프로세스 클린으로도 악성 애드나 해킹툴같은 것들이
    완벽 제거가 안된다는 건가요?

    전 금융권 해킹이 제일 두려운데
    그럼 금융권 해킹을 제일 잘 방지할 수 있는 프로그램이 뭘까요?

    프로세스 클린의 디스크조각모음이랑 바이러스검사를
    자주 쓰는데 걱정이 됩니다

    • 악성코드를 예방하시려면 실시간 감시 기능을 제공하는 백신(안티 바이러스) 프로그램을 사용하시기 바랍니다.

      프로세스클린은 백신 프로그램이 아닌 이미 설치된 프로그램 중 자동 실행되는 부분만 차단하는 수준이라고 보시는게 맞습니다.

  • 프로세스클린 2016.01.06 21:21 댓글주소 수정/삭제 댓글쓰기

    프로세스 클린이 해킹방지 프로그램이라는 건 저는 오바라고 생각합니다.
    게임할 때나 렉없이 돌아가기 위해 쓰지.. 근데 윈도우7에선 정말 설치는 물론이고 바탕화면에서 아이콘이 제대로 뜨지도 않고 이래저래 실행도 안되고 짜증나긴 해요-_-
    근데 너무 부정적으로는 안봤으면.. 애시당초에 저거는 백신 프로그램도 아니고 그냥 차단 프로그램으로 알고 있거든요. 쨌든 오늘도 게임하기 위해서 새로 설치를 하러 갑니다. 잘 읽었습니다~