울지않는벌새 : Security, Movie & Society

개인정보 유출 진단 서비스 - 리얼스캔 (RealScan)

벌새::Analysis
(주)크레프리 업체에서 서비스 하는 개인정보 유출 진단 서비스 리얼스캔(RealScan)에 대해 살펴보도록 하겠습니다.

최근 네이버(Naver) 지식인 서비스에 도배 방식으로 홍보를 적극적으로 하는 점 등을 고려하여 실제 제품을 설치하기 전에 참고하실 수 있도록 구성하였습니다.

해당 제품이 최근 인터넷 상에서 본격적으로 홍보에 열을 올리는 이유 중의 하나는 개인적으로 해당 제품이 가지고 있는 PC 내에 존재하는 개인정보 파일에 대한 실시간 감시 기능이 아닐까 생각됩니다.

그래서 설치시 화면에서도 언급하듯이 각종 개인정보가 포함된 파일의 유출을 확인할 수 있다고 밝히고 있습니다. 여기서 주목할 점은 PC에 존재하는 개인정보가 담긴 파일이 자연스럽게 외부로 유출된다는 보장은 없습니다.

예를 들어서 친구 전화번호를 기록하기 위해 문서 파일에 친구 이름과 전화번호를 기록하고 저장을 하였다면 리얼스캔 제품에서 실시간으로 해당 파일을 진단합니다. 즉 이 제품은 그런 파일 자체가 PC에 존재하는 것을 금지시 하는 구조라고 생각하시면 됩니다.

제품의 이용약관에서는 리얼스캔 제품을 설치하는 부분과 추가적으로 (주)이데일리비즈 업체에서 제작한 현금 환급 서비스 관련 크레툴바(Cretool) 내용이 포함되어 있습니다.

[크레툴바 관련 이용약관 일부 - 시스템 변경 관련]

7. 크레툴은 사용자가 주소창 등에서 검색어를 입력하여 나타나는 결과와 연관되는 내용을 사용자의 PC에 전송할 수 있습니다.
8. 크레툴 설치 시 자동으로 사용자 브라우저의 스크립트 오류메시지를 보지 않음으로 변경하며, 변경된 설정은 사용자가 인터넷 옵션에서 다시 변경할 수 있습니다. 이 경우 사용자가 변경한 설정에 의해서 스크립트 오류 메세지가 나타날 수 있습니다.
9. 크레툴은 사용자가 PC에서 입력한 키워드를 검색 및 결과표시를 위해서 사용자의 PC이외로 전송할 수 있으며, 크레프리 와 회사는 이 키워드를 상업적 목적으로 사용하거나 제3자에게 익명으로 제공할 수 있습니다.
10. 크레툴을 설치하면 IE에서 제공되는 주소창을 크레툴 주소(s)/창으로 대체하며, 크레툴 주소(S)/창은 인터넷주소 및 검색키워드 기능을 수행하여 주소이동 및 검색결과 표출 기능을 합니다. 대체된 IE 주소창은 브라우저메뉴의 '보기 → 도구모음 → 주소표시줄' 에서 다시 활성화 시킬 수 있으며, 본 크레툴 프로그램을 설치한 것으로 사용자의 최우선적 동의를 받은 것으로 갈음합니다.
11. 크레툴 설치 시 자동으로 이용자 브라우저 팝업 차단 설정의 허용할 사이트 주소로 서치펀(searchfun.co.kr), 오버툴스(overtools.co.kr) 등 서비스에 필요한 주요 웹사이트 주소를 추가할 수 있습니다. 변경된 설정은 이용자가 팝업 차단 설정 메뉴를 통해 다시 제거할 수 있습니다.

크레툴바의 경우 해당 서비스를 이용하려면 회원 가입을 통해 이용하실 수 있다고 밝히고 있습니다.

또한 리얼스캔을 이용하다가 회원 탈퇴를 함과 동시에 개인정보는 삭제처리가 되고, 제3자에게 제공된 개인정보는 삭제를 하라고 해당 업체에 통보를 한다고 이용약관에 밝히고 있지만, 강제 규정이 아니지 않을까 하는 생각이 듭니다. 해당 제품이 개인정보 관련 서비스이므로 이런 부분에 대해 조금 더 엄밀하게 이야기를 한다면 추가적으로 설치되는 프로그램을 통해 제3자에게 개인정보가 전달되는 일은 없어야 한다고 봅니다.

제품 설치 완료 단계에서 위와 같이 추가적으로 설치될 크레툴바(Cretoolbar)를 사용자가 설치할지 여부를 결정하도록 구성되어 있습니다.(해당 테스트에서는 툴바를 설치한 상태에서 이루어졌습니다.)

리얼스캔이 설치된 폴더의 위치는 일반적으로 Program Files 내부가 아닌 C:\ 폴더 하단에 위치하고 있는 것이 특징입니다.

Program Files 폴더 내부에는 크레툴바(Cretoo) 관련 폴더, 해당 툴바 삭제 방지 프로그램인 아이쉴드(IShield)와 함께 윈도우(Windows) 폴더 내부에도 다수의 파일이 생성된 것을 확인할 수 있습니다.

제품 메인 화면에서는 제품 버전, 업데이트(Update) 일자 등의 정보를 확인하실 수 있습니다.

제품 환경 설정을 먼저 살펴보면, 보안제품처럼 윈도우 시작시 자동 실행과 실시간 감시 기능을 기본적으로 활성화 하고 있습니다.

예를 들어 가상의 주민등록번호 형태를 메모장에 입력을 하고 txt 문서로 저장을 하였을 경우, 해당 실시간 감시에서는 다음과 같은 경고 팝업창을 생성합니다.

좌측 그림과 같이 시스템 트레이 상단에 개인정보가 실시간 감시를 통해 1건 검색이 되었다는 팝업창 메시지입니다.

만약 주민등록번호를 비정상적인 형태(예 : 831515-3000000)를 입력하고 저장을 할 경우에는 감시에서 제외가 되는 것으로 보입니다.

대신 위에서 언급한 감시에 잡힌 주민등록번호가 실제 존재하는 번호인지는 확인할 수 없지만, 단순히 앞쪽이 정상적인 년도와 월일을 표시하고 뒷쪽의 첫번째 숫자가 1(남성) 또는 2(여성)로만 구성되어 있다면 무조건 팝업창이 생성될 수도 있을 것 같습니다.

[실시간 감시] 기능에서는 더 상세한 진단 분류를 확인하실 수 있습니다. 단지 해당 파일이 무엇인지는 유료 결제를 하셔야 알 수 있습니다. 또한 실시간 감시에서 진단이 된다고 바로 유출과 연관을 짓는 것은 무리가 있습니다.

자신이 어떤 내용을 잠시 메모장에서 기록을 하거나, PC에 저장을 하면 해당 내용에 대해서 실시간 감시에 진단이 되므로 사용상 불편할 수도 있으리라 보여집니다.

이외에도 핸드폰 번호 패턴, 전화 번호 패턴 등을 메모장 형식에 저장하였을 경우 실시간 감시는 동작합니다. 단지 기타 문서 파일(예 : hwp 한글 문서, 오픈오피스 문서, MS Word 문서, 암호화 되어 있지 않은 개인 일정 관리 프로그램 등)에 민감하게 동작할지는 모르겠습니다.

개인적인 생각에서는 위와 같은 프로그램이 실시간 감시를 한다면 여러분은 PC에 어떻게 개인정보를 저장하시겠습니까?

이 부분에 대해서는 다음 기회에 안전하게 개인정보를 저장할 수 있는 무료 프로그램 등을 통해 이런 류의 유료 서비스를 이용하지 않아도 안심할 수 있는 방법을 소개해 보도록 하겠습니다.

제품의 기능 [개인정보 검색]에서는 사용자가 지정한 PC 내부 검색 영역(폴더 단위)을 스캔하여 위와 같이 개인정보(아이디, 비밀번호, 주민등록번호, 계좌/카드 번호, 휴대폰 번호) 파일을 찾아서 진단을 할 수 있습니다.

진단된 항목에 대한 상세내역은 해당 서비스에 회원 가입을 통한 유료 결제를 통해 확인할 수 있는 것으로 보입니다.

다른 유사한 프로그램에서 제일 많이 지원하는 [인터넷 유출 검색] 기능은 유료 결제를 해야지 이용하실 수 있습니다.

해당 기능이 국내, 해외 인터넷으로 분류를 하여 검색 결과를 제시하는 것으로 보이며, 이메일 주소까지 검색이 가능하다고 한다면 실제 해당 검색에서 결과가 안나온다는 것이 더 신기하지 않을까 생각됩니다.

참고로 해당 유출 검색에서 확인된 사항의 삭제 요청은 해당 사이트에 사용자가 직접 삭제 요청을 하셔야 한다고 합니다.

[키워드 검색] 기능은 사용자가 특정 키워드를 입력하여 해당 키워드가 사용자 PC에 저장되어 있으면 진단하는 방식으로 타 프로그램에서 보기 힘든 특이한 기능으로 보입니다.

[PC 관리] 기능은 일반적인 컴퓨터 최적화 기능과 동일한 부분에 대해 검색을 통한 삭제를 지원하고 있습니다.

크레툴바 삭제는 제어판의 [크레툴 삭제] 항목을 찾아 삭제를 시도하시면 됩니다. 단지 해당 툴바를 보안제품이 삭제하는 것을 방지하기 위해 아이쉴드(IShield)로 삭제시 인증키를 입력하도록 만들어 둔 것이 특징입니다.

삭제를 원하시는 분들은 해당 프로그램에서 제공하는 인증키를 그대로 입력하시고 삭제를 시도하시면 됩니다.

삭제 후에는 해당 툴바로 인해 변경된 설정에 대해 수정할 부분을 웹 페이지를 통해 제시하고 있습니다.

리얼스캔 프로그램 역시 제어판의 [RealScan 개인정보유출진단] 항목을 찾아 삭제를 하시면 됩니다.

[추가 삭제 정보 - 파일]

C:\WINDOWS\creunin.exe
C:\WINDOWS\RealScan_Launcher.dll

[추가 삭제 정보 - 레지스트리]

HKEY_LOCAL_MACHINE\software\Classes\CFI.CFICtrl.1
 - Default = "RealScan 개인정보유출진단 웹컨트롤 3.2"
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{19BF7A40-A696-4CC2-8FC9-4F342D465424}\1.0
 - Default = "RealScan Launcher ActiveX Control module"
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{19BF7A40-A696-4CC2-8FC9-4F342D465424}\1.0\0\win32
 - Default = "C:\WINDOWS\RealScan_Launcher.dll"
HKEY_LOCAL_MACHINE\software\Classes\clsid\{0A24B28D-4B1A-4B3E-A908-619F2FB3369E}
 - Default = "RealScan 개인정보유출진단 웹컨트롤 3.2"
HKEY_LOCAL_MACHINE\software\Classes\clsid\{E4F3FF54-757C-4890-A90F-DAB24FD2CACF}
 - Default = "RealScan 개인정보유출진단 웹컨트롤 3.2 Property Page"
HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8D2B0FEF-AD16-4BC8-A733-9B79B2FAD84E}
 - AppPath = "C:\CREFREE\RealScan"
HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8D2B0FEF-AD16-4BC8-A733-9B79B2FAD84E}
 - AppName = "RealScan.exe"
HKEY_CURRENT_USER\software\Microsoft\Windows\ShellNoRoam\MUICache
 - C:\CREFREE\RealScan\RealScan.exe

이 제품은 무료로 검사가 가능한 부분이 있지만, 실제 PC에서 검사를 한다면 진단되지 않고 깨끗한 환경은 대부분 아닐 것이라고 보여집니다.

중요한 부분은 이런 개인정보가 담긴 파일을 무방비로 보관하는 습관이 위험하다는 것은 분명합니다. 하지만 이런 류의 프로그램이 이런 개인정보를 담고 있는 파일을 보호할 수는 없습니다. 이 프로그램은 그런 파일이 있다면 삭제를 권할 뿐, 실제 개인정보를 탈취하기 위한 악성코드에 감염이 되었다면 무용지물이겠죠.

그러므로 근본적인 해결책은 개인적으로 다음과 같이 제시할 수 있습니다.

1. 신뢰할 수 있는 보안제품을 통하여 실시간 감시를 활성화하여 악성코드를 사전에 차단하고 예방합니다.
2. 개인정보는 PC에 보관할 수 있습니다. 단지 그런 정보가 담긴 파일은 암호화를 하거나 또는 개인정보를 보관할 수 있는 암호화된 프로그램을 통해 기록 및 저장을 하여 이용하시기 바랍니다.