울지않는벌새 : Security, Movie & Society

프로세스클린(ProcessClean) 사용으로 인한 진단 이슈 (2013.12.3)

벌새::Security

국내에서 제작된 해킹 방지 및 애드웨어 제거 프로그램 프로세스클린(ProcessClean)"프로세스 초기화를 하지 않고 인터넷 연결을 할 경우 100% 해킹 당할 것"이라는 구호를 통해 수백만대의 PC에 설치되는 것으로 추정되는 유명한 프로그램입니다.

 

그런데 2013년 10월 초경부터 안랩(AhnLab)에서 프로세스클린(ProcessClean) 2.35a 버전에 대한 애드웨어(Adware) 진단이 이루어지기 시작하였으며, 그 후 nProtect 보안 솔루션에서도 진단이 추가된 것으로 알고 있습니다.

  • C:\Program Files\ProcessClean\ProcessClean.exe (MD5 : 9d18703556480b068a0110b59c574ec3) - AhnLab V3 : Adware/Win32.ProcessClean, nProtect : Adware/W32.Agent.3919632

이로 인하여 금융권 등 결제 관련 웹 사이트에서 제공하는 AhnLab Online Security, nProtect Netizen 보안 솔루션이 프로세스클린(ProcessClean) 관련 파일을 진단하는 이슈가 발생하고 있는 것으로 확인되고 있습니다.

 

최초 진단에 포함되었을 당시 개인적으로 안랩(AhnLab) 고객센터를 통해 오진 여부를 문의한 결과 프로세스클린(ProcessClean) 제품이 진단 이슈 문제를 해결할 때까지는 진단 제외를 하지 않을 것이라는 내용만을 받았으면, 그 후 프로세스클린(ProcessClean) 측에서도 안랩(AhnLab)의 진단 정책에 대한 구체적인 답변을 받아 제작사 홈 페이지에 공개한 것으로 알고 있습니다.

 

이에 보안 업체와 프로그램 제작사 간의 의견 대립에 대해서는 개인적으로 언급할 부분은 아닌 것 같으며, 개인적으로 애드웨어(Adware)에 대해 나름대로 많은 정보를 공개하고 있는 입장에서 몇 가지 살펴보도록 하겠습니다.

 

1. 프로세스클린(ProcessClean) 제휴 프로그램 문제점

프로세스클린(ProcessClean) 설치시 제휴 프로그램으로 기본 체크되어 있는 "프로세스클린 추천쇼핑몰 등록"을 유지하고 설치를 진행하면 다음과 같이 다수의 인터넷 쇼핑몰 바로가기 아이콘이 생성됩니다.

생성된 인터넷 쇼핑몰 바로가기 아이콘은 Internet Explorer 웹 브라우저의 즐겨찾기와 바탕 화면에 생성되며, 해당 바로가기 아이콘을 통해 접속을 할 경우 특정 제휴 코드가 추가되어 수익을 창출할 수 있습니다.

 

문제는 사용자가 프로세스클린(ProcessClean) 프로그램을 삭제할 경우 인터넷 쇼핑몰 바로가기 아이콘의 이미지 파일만을 삭제할 뿐 즐겨찾기와 바탕 화면에 생성된 바로가기 아이콘은 지속적으로 유지되어 프로그램 사용과 무관하게 제작사의 수익을 지속시킬 수 있습니다.

 

프로세스클린(ProcessClean) 프로그램을 비롯하여 국내 인터넷 쇼핑몰 바로가기 아이콘을 추가하는 광고 프로그램 상당수가 위와 같은 방식으로 설치된 바로가기 아이콘을 프로그램 삭제시 삭제하지 않는 꼼수를 통해 돈벌이를 할 수 있습니다.

 

2. 프로세스 해킹 방지 기술과 문제점

프로세스클린(ProcessClean) 프로그램에서는 해킹 방지 기술로 파일 실행 여부를 사용자가 결정하도록 할 수 있도록 지원하고 있습니다.

이를 통해 사용자가 실행하려는 파일은 마이크로소프트(Microsoft) 관련 파일이 아닌 경우에는 무조건 "프로세스 실행 여부 확인" 창을 생성하여 실행 여부를 사용자가 결정하도록 하고 있습니다.

 

하지만 위와 같은 기술은 화이트 리스트(White List)가 존재하지 않는다는 측면에서 단순히 파일명을 기준으로 한 실행 여부 판단해야 하는 사용자가 현명하지 못하다는 치명적인 약점을 가지고 있습니다.

 

만약 위와 같은 모든 파일의 실행 여부를 사용자가 결정하도록 하는 보안 솔루션을 원한다면 Comodo Internet Security와 같은 검증된 무료 보안 솔루션을 사용하시길 강력하게 권장해 드립니다.

특히 개인적으로 이미 감염된 환경에서 시스템 시작시마다 루트킷(Rootkit) 방식으로 자동 실행되는 악성코드를 프로세스클린(ProcessClean) 해킹 방지 기술이 실행 여부창을 띄우는지 확인을 해보았지만 조용하게 동작하는 모습을 통해 100% 안전을 보장할 수 없다는 것도 분명하게 인지해야 할 것이라고 생각됩니다.

 

3. 프로세스클린(ProcessClean) 프로그램 삭제시 문제점

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ProcessClean = "C:\Program Files\ProcessClean\ProcessClean.exe"

프로세스클린(ProcessClean) 프로그램이 설치된 환경에서는 Windows 시작시 "C:\Program Files\ProcessClean\ProcessClean.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

개인적인 테스트에서는 Windows XP 운영 체제에서는 프로그램이 정상적으로 동작하지만, Windows 7 운영 체제에서는 시작 프로그램에 등록되어 있는 프로그램이 자동 실행되지 않는 것으로 보아 프로세스클린(ProcessClean) 프로그램은 Windows XP 운영 체제에 최적화된 프로그램이 아닌가 생각됩니다.

이렇게 설치된 프로그램을 사용자가 제어판을 통해 삭제를 진행해보면 "C:\Program Files\ProcessClean" 폴더만을 삭제할 뿐 다음과 같은 관련 파일 및 레지스트리 값을 삭제하지 못하는 문제가 발생하고 있습니다.

  • C:\Users\(사용자 계정)\Documents\ProcessClean :: 숨김(H) 속성
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    ProcessClean :: 시작 프로그램 등록 레지스트리 값

특히 "C:\Users\(사용자 계정)\Documents\ProcessClean" 폴더 및 내부 파일은 숨김(H) 속성으로 지정되어 있는 문제로 인하여 Windows 탐색기 기본값에서는 표시되지 않으며, 프로세스클린(ProcessClean) 프로그램이 애드웨어의 자동 실행을 차단할 목적으로 시작 프로그램 초기화와 같은 동작을 제공한다는 점에서 자신의 시작 프로그램 등록값을 남기고 삭제한다는 점은 꼼꼼하지 못한 측면이 있습니다.

 

4. 프로세스클린(ProcessClean) 총평

 

프로세스클린(ProcessClean) 프로그램은 엄밀하게 말해서 애드웨어(Adware) 제거 프로그램은 아니면 프로세스, 서비스, 시작 프로그램, ActiveX, BHO 값을 초기화하여 프로그램을 실행하지 못하도록 할 수 있습니다.

 

하지만 초기화 이후에도 사용자 PC에 설치된 애드웨어(Adware)는 여전히 존재하여 사용자가 프로그램을 찾아 삭제해야 하며, 다양한 기술을 통해서 초기화를 우회하여 정상적으로 동작할 수도 있지 않을까 생각됩니다.

 

이는 프로세스클린(ProcessClean) 프로그램이 설치된 많은 PC 환경에서 여전히 많은 광고 프로그램이 발견되고 동작하고 있기 때문이며, 반대로 초기화를 하지 않았기 때문에 동작할 수 있겠지만 해당 초기화 문제로 인하여 정상적인 프로그램의 실행이 방해를 받을 수 있다는 문제도 사용자가 책임을 져야 할 부분입니다.

 

또한 실제 프로세스클린(ProcessClean) 사용자가 "프로세스 해킹 방지" 기능을 어느 정도 사용하고 있는지 모르겠지만, 제가 해당 프로그램의 프로세스 해킹 방지 기술을 활성화하고 사용한다고 하여도 현명하게 파일 실행 여부를 결정할 수 없다는 점은 분명합니다.(※ 공격자는 어리석지 않습니다. )

 

현재 추세를 봐서는 프로세스클린(ProcessClean) 제작사에서는 AhnLab V3, nProtect 보안 제품의 진단 문제를 해결할 의지는 없어 보이며 이에 따라 프로그램 업데이트가 없는 경우에는 지속적인 진단 이슈가 발생할 것으로 보입니다.

 

마지막으로 위와 같은 프로그램의 도움없이도 PC 관리를 잘하는 방법으로는 사용자가 조금 더 깨어있는 보안 의식(Windows 및 응용 프로그램 보안 업데이트)과 사용자의 잘못된 인터넷 사용 습관(프로그램 다운로드 및 실행, 사용자 편의적인 보안 제품 진단 무시 등)을 고친다면 깨끗한 환경에서 PC를 사용할 수 있다는 점을 가장 강조하고 싶습니다.