본문 바로가기

벌새::Analysis

국내 허위 보안제품 Virus Check와 AhnLab SpyZero의 문제점


국내에서 제작된 허위 보안 제품 바이러스 체크(Virus Check) 프로그램에 대해 살펴보면서 안철수연구소의 스파이제로(SpyZero) 제품이 해당 제품을 진단하는 부분에서 잘못된 부분을 언급하도록 하겠습니다.

먼저 Daum 신지식에서는 어느 회원님이 이런 부분을 지적하였습니다.

위와 같이 어느 날 자신의 핸드폰 문자 메시지로 1개월 요금이 3,500원에서 8,000원으로 인상되었다는 내용을 발송하고 이를 취소하려고 해도 매우 힘들어서 취소 방법을 모르겠다는 내용이었습니다.(아마 이용요금 변경안내처럼 약관의 동의 여부를 제대로 확인시키지 않고 일괄적으로 변경처리하면서 해지도 어려운 것으로 보입니다.)

이제 해당 프로그램을 제작사 홈페이지에서 다운로드하여 설치를 해 보았습니다.

실제 제작사에서 다운로드한 설치 파일을 이용하여 설치시에는 위와 같이 인터넷을 통해 자동으로 최신 버전이 업데이트가 되도록 구성되어 있습니다.

설치시 필자의 보안 제품인 안철수연구소의 스파이제로에서는 해당 프로그램의 일부 업데이트 파일을 진단하면서 차단한다는 메시지를 제시하였습니다.

위에서 보시는 것처럼 스파이제로에서는 해당 제품이 설치되는 과정에서 Win-Adware/Rogue.VCheck 진단명으로 차단을 하였다고 나옵니다.

하지만 해당 프로그램이 설치된 후 자동으로 PC 진단 치료 기능이 작동하면서 정상적으로 동작하는 것을 확인할 수 있습니다.

스파이제로의 경우 특정 프로그램을 설치하는 과정에서 위와 같이 차단되는 파일이 존재할 경우 해당 파일은 컴퓨터에 설치되지 않도록 차단이 완벽하게 이루어져야 하는 제품인데 테스트에서는 모든 파일이 정상적으로 설치되는 것을 확인하였습니다.

실제 해당 바이러스 체크 프로그램은 PC 진단을 통하여 아래와 같이 정상적인 레지스트리 값과 특정 파일을 악성코드로 오진을 하면서 금전 결재를 요구하는 허위 보안 제품입니다.

특히 결재 화면에서 변경된 1개월 요금이 8,000원인데 하단의 자동 연장 결제는 3,500원이라는 허위 정보도 있어서 사용자에게 부정확한 정보를 제공합니다.

[제작사 이용약관 중]

제 9 조 (유료서비스)

(1) 유료 서비스의 금액은 1개월 결제(무료 1개월 추가)개월이용권 8,000원, 3개월이용권 12,500원, 1년이용권 30,000원, 프리미엄이용권(월 정액결제) 매월8,000원 서비스요금이 있습니다. (표시된 금액은 vat 별도 금액)
(2) 핸드폰 프리미엄이용 (월 정액결제)는 사용자의 별도 해지요청이 없을 시엔 2년 동안 매월 사용료 8,000원이 청구되며 4개월간 의무사용 기간이 있습니다.(VAT별도)

진단된 부분을 치료하지 않고 프로그램을 최소화하는 경우 시스템 트레이 상단에 위와 같은 경고 팝업창이 생성되는 것을 확인할 수 있습니다.

해외 허위 보안 제품이 매우 강세를 보이는 가운데 국내에서는 이전의 제품들이 이름을 변경하거나 최근과 같이 1개월 사용료를 심하게 올리는 방법으로 장기 사용자를 확보하려는 움직임도 보이고 있습니다.

보안 제품에서 오진은 있을 수 있다는 사견을 가지고 그런 부분이 제품을 허위 제품으로 판단하는 기준이 될 수 없다고 항변할지는 모르지만, 이들 제품은 몇 년째 동일한 파일과 레지스트리 값을 오진하면서 전혀 수정을 하려는 태도가 안보이는 등 악의적으로 돈벌이를 하는 제품이라고 봐야 할 것입니다.

이런 제품으로 금전적 피해를 보시는 분들은 반드시 해당 제작사 홈페이지를 찾아서 해지 신청 방법을 확인하시고 해제를 하시고 연락이 되지 않는 부분은 소비자 보호원 등을 통하여 정당한 권리를 주장하시기 바랍니다.
  • 음 저는 V3에 스파이웨어 실시간 감시 켜놓으면 설치 안되던데 -ㅅ-;;
    이상하군요!

  • 안녕하세요~ 벌새님. 갑자기 날씨가 추워서인지 주변에 감기걸린 사람들을 많이 보고 있습니다. 감기 조심하시구요~

    저희가 테스트 했을 경우에는 차단 및 설치가 안되었기 때문에 벌새님이 말씀해 주신 상황처럼 다시 테스트를 시행할 예정입니다. 테스트 후에 다시 방문하겠습니다.

    고맙습니다. ^0^

    • 안녕하세요.

      저도 다른 환경 조건에서 재테스트를 해보겠습니다.

      요즘 콧물이 나와서 죽겠네요~^^

    • F-Secure 제품을 OFF한 상태에서 테스트를 해 보아도 동일합니다.

      개인적으로 제 생각에는 현재 SpyZero 제품에서 진단하는 파일 중에 실제 Virus Check 실행 파일은 진단하지 않고 있습니다.

      만약 설치된 상태에서 해당 프로그램을 삭제하기 위해 uninstaller.exe 파일을 클릭하면 스파이제로가 차단하여 동작하지 않지만, 해당 프로그램 실행파일인 vcheck.exe 파일을 클릭하면 해당 프로그램은 동작합니다.

      이 부분 때문이 아닌가 생각됩니다.

      해당 프로그램이 허위 보안제품이고 현재처럼 진단을 한다면 실행 파일도 진단을 해서 프로그램이 동작하는 것을 원천 차단해야 할 것으로 보입니다.

  • 안녕하세요~ 벌새님. 추가 의견 감사합니다.

    저희가 벌새님의 환경에서 테스트를 해 보았는데요, 문제는 샌드박스에 있었던것 같습니다. 샌드박스에서 인스톨러를 실행하게 되면, 실제 파일 시스템에 프로그램이 설치설치되지 않아서 파일 시스템 필터 드라이버에서 진단이 되지 않았던 것이었습니다.

    추가로 말씀해 주신 실행파일에 대해서는 다시한번 제가 스파이제로 팀에 의견을 물어보겠습니다.

    쾌차하세요~ :)