본문 바로가기

벌새::Thinking

보안 카페 금전 매매와 킬제로(KillZero)의 위험성 (2016.10.7)

728x90
반응형

컴퓨터 보안을 중점적으로 다루고 있던 네이버(Naver) 카페 중 한 곳이 최근 카페를 외부에 금전 거래를 통해 판매를 한 사례가 확인되어 살펴보도록 하겠습니다.

 

해당 카페 매니저는 예전부터 네이버 지식인 활동을 활발하게 진행하면서 자체적으로 제작한 킬제로(KillZero) 서비스 초기화 프로그램을 운영하였습니다.

 

이 글에서는 네이버 카페의 금전적 매매 행위에 대한 네이버 운영 정책과 킬제로(KillZero) 프로그램의 위험성에 대해 다루어 보도록 하겠습니다.(※ 해당 글 작성을 위해 정보를 수집해 주신 분들에게 감사드립니다.)

 

 

2011년 5월경 개설되어 2016년 9월 하순경까지 컴퓨터 보안을 주제로 운영되던 카페는 2016년 10월 3일경 모 카페 매매 사이트에 매물로 올라오게 됩니다.

 

12,800여명의 카페 회원 수를 유지하고 있던 카페는 판매글이 게시된 후 1~2일 안에 거래가 완료된 것으로 추정되며, 2016년 10월 5일경부터 "공식 K8 매니아 클럽"이라는 카페명으로 변경된 후 카페를 구입한 사람이 새로운 게시글을 작성하기 시작하였습니다.

 

 

우선 네이버(Naver) 공지사항에서는 카페 매매와 관련하여 "카페 활동을 하시는 중에 카페 매매 사실을 발견하신 경우"에는 신고 대상으로 언급하고 있다는 점에서 금전적으로 카페 매매를 하는 경우에는 정책 위반 행위로 보입니다.

 

단지 현재 네이버(Naver) 고객센터에서는 위와 같은 카페 매매 행위에 대한 신고 방법을 찾을 수 없다는 점에서 사실상 카페 매매 행위는 공공연하게 이루어지고 있으며 네이버 측에서는 이를 방조하고 있다고 생각합니다.

 

카페 매매 이전에 카페 매니저가 제작하여 제한적으로 사용할 수 있도록 한 킬제로(KillZero) 프로그램의 경우에는 정상적인 시스템에서 사용할 경우에도 시스템 부팅이 이루어지지 않도록 심각한 문제를 유발하고 있었지만 카페 매니저는 이를 인정하지 않고 있었습니다.

 

 

  • killzero-services-win7.exe (SHA-1 : ba04be55f33e9d0c192bac5e7cfcd4f87e6d5df1 - Hauri ViRobot : KillZero.186880[h])
  • killzero-services-win7-32bit.exe (SHA-1 : 391f44c3ef254b4ef988466bffd5ad14081fb697 - Hauri ViRobot : KillZero.358400[h])
  • killzero-services-win7-64bit.exe (SHA-1 : 595e4f729eac4aacabea87e3127933d57abc6e01 - Hauri ViRobot : KillZero.591360[h])
  • killzero-services-win7-tcp-patch.exe (SHA-1 : e21a8b8812633076d237961a34b9aa3a5838155a - Hauri ViRobot : KillZero.33792[h])
  • killzero-win7-64bit.exe (SHA-1 : 36891f684d5a5a224064743254f0898ffc779b68 - Hauri ViRobot : KillZero.92160[h])
  • killzero-xp-32bit.exe (SHA-1 : 46c02c723031ef9ef09a5dc9c736dda230213865 - Hauri ViRobot : KillZero.1510400[h])
  • killzero-xp-64bit.exe (SHA-1 : 7af515453037cac4b43acf87e90330b620ee75e1 - Hauri ViRobot : KillZero.56320[h])

 

킬제로(KillZero)는 2014년 전후로 제작되어 네이버 지식인 또는 카페 회원에게 제한적으로 사용하도록 한 것으로 보이며, 처음에는 BAT 스크립트 파일 형태로 배포하다가 바이러스 제로 시즌 2 보안 카페에서 배포하는 Malware Zero Kit (MZK) 도구의 등장 이후 임의로 사용하지 못하도록 EXE 파일로 실행 방식을 변경한 것으로 기억됩니다.

 

 

실제 킬제로(KillZero) 프로그램을 실행할 경우 실행을 위한 비밀번호를 입력하도록 제한을 두고 있으며, 이는 외부에서 임의로 파일을 검사하지 못하게 만들었습니다.

 

하지만 실제 비밀번호를 통과할 경우에는 임시 폴더(%Temp%) 영역에 BAT 배치 파일을 생성하여 동작한다는 점에서 "Bat To Exe Converter" 프로그램과 같은 것을 이용하여 제작(b2edecompile)한 것으로 보입니다.

 

 

실행된 킬제로(KillZero) 프로그램은 서비스 초기화 기능을 제공하며 처리가 완료된 후에는 시스템 재부팅을 요구합니다.

 

 

하지만 서비스 초기화 후 시스템 재부팅 과정에서 Windows 파일이 손상되거나 잘못 구성되어 있다는 메시지를 통해 시동 복구를 권장하는 메시지가 뜨는 치명적인 문제가 발생합니다.

 

이는 모든 정상/비정상적인 시스템에서 실행할 경우 공통적으로 발생할 수 있는 치명적인 이슈인데 킬제로(KillZero) 제작자는 자체적인 테스트조차 하지 않은 상태로 사용을 권하고 있었으며 오히려 자신의 프로그램 소스를 Malware Zero Kit (MZK) 도구가 훔쳐 사용한다는 착각에 파일 보호에만 신경쓴 것으로 비추어지고 있습니다.

 

아무튼 네이버 카페 정책에 어긋나는 카페 매매 행위를 통해 카페 운영을 포기하기는 했지만, 늦게나마 킬제로(KillZero)로 인하여 더 이상의 선의의 피해자가 발생하지 않게 된 점은 다행이라고 생각합니다.

728x90
반응형