울지않는벌새 : Security, Movie & Society

해외 제휴 프로그램으로 설치 유도되는 "AVG PC TuneUp" 프로그램 관련 이슈 (2014.8.24)

벌새::Analysis

해외 무료 백신 프로그램으로 유명한 AVG AntiVirus Free 2014 버전에는 레지스트리 오류, 정크 파일, 디스크 조각 모음, 손상된 바로가기 등과 관련된 PC 최적화 기능이 "PC Analyzer" 이름으로 부가적으로 포함되어 있습니다.

"PC Analyzer" 분석 기능을 통해 발견된 다양한 오류를 수정하기 위해서는 "AVG PC TuneUp (구 TuneUp Utilities)" 프로그램을 추가적으로 다운로드하여 유료 결제를 통해 사용하도록 안내하고 있습니다.

 

실제 AVG AntiVirus Free 2014 버전의 PC Analyzer 검사 후 수정 버튼을 클릭할 경우 AVG Korea 웹 사이트로 이동하는 방식으로 AVG PC TuneUp 프로그램 설치를 안내하고 있습니다.

그런데 AVG Korea 웹 사이트에 접속해보면 "설치한 적이 없는데도 설치된 AVG PC TuneUp, 제멋대로 깔린 TuneUp Utilities? 왜 마음대로 설치하죠?"라는 공지 배너가 언제부터인가 노출되어 있는 부분을 발견할 수 있습니다.

 

우선 결론부터 말하면 AVG AntiVirus Free 2014 무료 백신을 사용하는 경우에는 사용자가 AVG PC TuneUp 프로그램을 추가로 직접 설치 파일을 다운로드하여 설치하지 않는 한 자동으로 설치되는 일은 절대로 없습니다.

 

하지만 해외 AVG Technologies. 본사에서는 부가적인 기능을 제공하는 AVG PC TuneUp 프로그램의 배포를 제휴 프로그램 방식으로 다양한 소프트웨어를 설치하는 과정에서 설치를 유도하고 있으며, 이로 인하여 프로그램 설치 과정에서 제시되는 화면을 확인하지 않는 경우 마치 마음대로 설치된 것처럼 오해를 유발하고 있는 것으로 보입니다.

 

이에 실제로 어떤 방식으로 배포가 이루어지는지 확인해 보도록 하겠으며, 위와 같은 제휴 프로그램에 대한 AVG 보안 제품의 대응 정책에 대해서도 알아보도록 하겠습니다.

대표적인 배포 사례로 확인된 프로그램은 다양한 이미지 파일(bin, cue, iso 등)을 CD/DVD 저장 매체에 제작할 수 있도록 지원하는 ImgBurn 프로그램<SHA-1 : 5ca96a0c243390c378dee1a629684ea261e2cfc4 - Trend Micro : ADW_OPENCANDY (VT : 10/55)> 설치시 "AVG PC TuneUp" 프로그램을 제휴 프로그램으로 포함되어 있는 것을 발견할 수 있습니다.

 

설치 과정에서는 기본값으로 "Express (recommended)"에 체크되어 그대로 설치를 진행할 경우 자동으로 AVG PC TuneUp 프로그램이 설치되고 있습니다.

참고로 ImgBurn 프로그램 설치시 AVG PC TuneUp 프로그램 설치를 원치않는 경우에는 "Custom installation (advanced)" 항목에 체크한 후 "Install AVG PC TuneUp" 체크 박스를 해제하시고 진행하시기 바랍니다.

 

■ AVG 보안 제품의 진단 정책

AVG AntiVirus Free 2014 버전을 이용하여 ImgBurn 설치 파일(SHA-1 : 5ca96a0c243390c378dee1a629684ea261e2cfc4)을 검사해보면 MalSign.OpenCandy.7AF 진단명으로 차단하는 것을 알 수 있습니다.

세부적으로 진단 사유를 확인해보면 ImgBurn 프로그램이 악성 프로그램임을 의미하는 것이 아니라, 내부에 실행 압축되어 제휴 프로그램을 불러오는 OCSetupHlp.dll 파일<SHA-1 : f7812fadac61aee9097018c72b96966a61bb8d9d - AVG : MalSign.OpenCandy.7AF (VT : 9/55)>에 대한 진단입니다.

OpenCandy 광고 파일로 알려진 OCSetupHlp.dll 파일은 사용자가 AVG PC TuneUp 제휴 프로그램의 설치를 허용할 경우 "cdn.opencandy.com" 광고 서버에서 "OpenCandy recommendation downloader" 파일을 다운로드 시도합니다.

  •  h**p://cdn.opencandy.com/p/****/installers/dlm.exe (SHA-1 : d4e58f4d2fcc1bf5f09154afc9edb884cdec46a3) - AVG : Generic.AB7 (VT : 11/54)

이렇게 다운로드된 파일은 특정 서버로부터 AVG PC TuneUp 설치 파일을 다운로드하여 프로그램 설치가 이루어지는 구조입니다.

 

위와 같은 일련의 제휴 프로그램 설치 과정에서 AVG 보안 제품의 경우에는 자사 파트너 제품인 AVG PC TuneUp 프로그램 배포 방식까지도 일괄적으로 차단하는 모습을 엿볼 수 있습니다.

이렇게 설치된 AVG PC TuneUp 프로그램은 다양한 시스템 최적화 기능을 제공하고 있으며, 기본적으로 유료 제품이므로 추가적인 결제를 통해 사용이 가능합니다.

 

하지만 제휴 프로그램 방식으로 배포하는 AVG PC TuneUp 프로그램의 성격상 일부 사용자들은 마치 사용자 몰래 설치되는 것으로 오해하는 문제가 발생하여 AVG Korea에서는 공지를 통해 진실을 말하고 있습니다.

테스트 상에서는 설치된 AVG PC TuneUp 프로그램의 삭제는 제어판에 등록된 "AVG PC TuneUp 2014" 삭제 항목을 통해 정상적으로 삭제가 이루어지고 있는 것을 확인하였으며, 일부 사용자의 경우 프로그램 삭제에 어려움을 겪는 경우가 있는데 안전 모드(F8)에서 프로그램 삭제를 진행해 보시기 바랍니다.(※ AVG Korea 공지에서는 강제 삭제 도구를 제공하고 있습니다.)

 

OpenCandy 계열 해외 제휴 프로그램 설치 차단 방법

 

해외 소프트웨어를 설치하는 과정에서 제휴 프로그램 방식으로 배포되는 방식 중 OpenCandy 시리즈를 원천적으로 차단하는 방법을 소개해 드리겠습니다.

AhnLab V3 보안 제품 사용자의 경우 환경 설정의 "웹 보안" 메뉴에 "cdn.opencandy.com" URL 주소를 차단값으로 포함해 주시기 바랍니다.

설정이 완료된 상태에서 ImgBurn 프로그램 설치시 살펴보면 사용자가 실수로 제휴 프로그램을 함께 설치 시도할 경우 "사용자 지정 사이트 접근 차단" 창을 통해 파일 다운로드를 차단합니다.(※ 지속적으로 차단창이 뜨는 문제는 설치 시도를 rundll32.exe 프로세스를 통해 이루어지므로, Windows 작업 관리자를 실행하여 rundll32.exe 프로세스를 종료하시면 됩니다.)

설치가 완료된 후 생성 파일 정보를 확인해보면 ImgBurn 프로그램만 정상적으로 설치되었으며 제휴 프로그램은 전혀 설치가 이루어지지 않았음을 알 수 있습니다.

 

해당 차단 방식은 다양한 해외 제휴 프로그램 차단에 도움을 줄 수 있으므로 잘 활용해 보시기 바랍니다.

 

마지막으로 국내외 무료 소프트웨어 설치시에는 부가적으로 포함된 제휴 프로그램이 존재할 수 있으므로 꼼꼼하게 설치 화면을 살피는 습관을 통해 원치않는 프로그램이 설치되지 않도록 주의하시기 바랍니다.