본문 바로가기

벌새::CyberCrime

노트북에 설치된 AhnLab V3 백신 프로그램을 활용한 절도범 검거 소식 (2015.8.3)

반응형

2015년 2월경 언론 보도를 통해 잠금 장치가 제대로 되어 있지 않은 자동차에 보관 중인 금품을 털어 500만원 상당을 수익을 챙긴 10대들이 검거되었다는 소식이 있었습니다.

 

흥미로운 점은 이들을 검거할 수 있었던 수사 기법으로 도난당한 노트북에 설치되어 있었던 AhnLab V3 백신 프로그램을 활용하였다는 점입니다.

 

국내에서 알약(ALYac) 무료 백신과 함께 가장 많은 사용자들이 이용하는 AhnLab V3 백신 프로그램의 경우 AhnLab V3 Lite 무료 백신이 노트북에 설치되어 있었다면 이번과 같은 IP 역추적은 상당히 어려웠을 것으로 보입니다.

 

이유는 노트북 분실자가 자신의 노트북 하드웨어 정보(Mac Address, 컴퓨터 이름)를 따로 기억하고 있었다면 모를까 백신 업데이트를 수행하기 위해 안랩(AhnLab) 업데이트 서버에 접속하는 2,000만대 이상의 기기 중에서 해당 노트북을 특정하기는 불가능에 가까웠을 것입니다.

하지만 노트북에 설치되어 있는 AhnLab V3 백신 프로그램이 유료 제품인 경우에는 안랩(AhnLab) 홈 페이지에서 제공하는 설치 PC 정보에 자신의 PC를 손쉽게 특정지어 최근 사용일자를 기반으로 업데이트가 이루어진 IP 주소를 추출하는 것은 가능하였을 것으로 보입니다.

 

경찰에서 백신 프로그램의 업데이트 로그를 활용하여 분실된 노트북의 위치를 파악한다는 수사 기법도 대단하며, 유료 백신 사용으로 인하여 노트북 분실 사고시 뜻밖의 도움을 받게 되었다는 점에서 흥미로웠던 사건입니다.

728x90
반응형
  • 도리어 굉장히 위험스럽다고 보이는군요. 해외 보안소프트웨어의 경우 랩탑 도난에 대비해서 제품에 Anti-Theft 기능을 넣는 업체들은 이미 있습니다. 이 경우 사용자의 선택사항이고 사용자 스스로가 어떤 데이터가(위치정보) 제공 될지 인식하고 있다는 점이니 큰 문제가 될게 없지요 그러나 제가 알기로 안랩 개인용 유료제품에 이런 서비스를 하고 있지 않은 걸로 압니다.

    일반적으로 모든 보안 소프트웨어가 unique idenfication number 와 윈도우 OS 사용자 ID를 업데이트를 위해 전송하는데 이걸 바탕으로 (소프트웨어 업데이트 내역)으로 사용자 제품에 대한 local IP address 추적까지 가능하다는 이야기로 들리는군요.

    제품에 대한 '투명성'은 상당히 중요한 요소라고 봅니다. 제품에 저런 기능도 애초에 없고 사용자에게 제대로 정보제공은 되고있지 않으면서 필요에따라 저 정도까지 추적이 된다면 저런 제품에 대해 주위에 구매를 추천 할 듯하지 않습니다.

    • 그런건 아니고 유료 사용자 계정이 있을 경우 안랩의 협조를 통해 업데이트를 수신한 IP를 확인한게 아닌가 싶습니다.

      그리고 약관에 보면 타 보안 제품도 그렇지만 하드웨어 정보 수집에 대한 내용이 포함되어 있을 것 같습니다.

  • 제 기억이 맞다면 Data transmission 2014에 안랩의 경우 대부분의 정보수집을 안 한다고 한 걸로 기억합니다. 타 업체들에 비해 정말 비교 될 정도로 안 하더군요. 결국 이번 일을 보면 정보수집을 한다는 걸로 봅니다 아니면 바로 할 수 있거나 말이죠.

    대부분 보안소프트웨어가 많은 정보를 수집하지만 제가 의심을 하는 건 투명성 부분입니다. 제품 업데이트 정보로 IP 추적이 가능하면 차라리 유료사용자에게 Anti-Theft 서비스를 제공했다면 이해라고 하겠지만 말이죠.