[스크랩]백신, 어떻게 설치되고 얼마나 유해할까? 본문

[심심풀이]/읽고 넘어가자.

[스크랩]백신, 어떻게 설치되고 얼마나 유해할까?

객과 함께. 2010. 5. 13. 09:35
가짜백신, 어떻게 설치되고 얼마나 유해할까?
안철수연구소 | 2010-05-06

이전에는 지인으로 부터 “컴퓨터가 꺼진다”, “컴퓨터가 느리다”, “이상한 메세지 박스가 자꾸 나타난다”등의 이상 증상 또는 불편함을 호소하는 질문을 주로 받았다. 하지만 최근에는 “악성코드에 감염되었는데 어떻게 하는게 좋냐?”는 질문을 종종 받는다. 실제로 이런 문의를 하는 지인들의 컴퓨터를 살펴보면 바이러스(Virus),  웜(Worm)과 같은 악성코드에 의해 감염된 것이 아니라 가짜 백신(Rogue Anti Virus/Spyware)이 설치되어 사용자의 컴퓨터에서 전혀 유해하지 않은 부분을 진단하고 악성코드에 감염되어 사용자의 시스템이 위험하다며 유료 결제 메세지를 수시로 발생 시키고 보여주고 있는 것을 확인할 수 있었다. 또한 다수의 고객들로부터 설치한 적 없는 보안 제품이 설치 되어 동작한다는 신고를 받고 있다. 이런 가짜 백신들은 어떻게 사용자의 컴퓨터에 설치되며 어떠한 문제점들을 가지고 있는지 자세히 살펴 보도록 하자.


가짜 백신의 설치
가짜 백신을 일반적인 사용자 본인이 직접 설치하는 경우는 거의 없다. 하지만 가짜 백신이 설치된 사용자는 상당히 많다. 과연 이런 가짜 백신들은 어떠한 경로로 설치되는 것일까?


(1)  ActiveX
가장 먼저 인터넷 익스플로러(Internet Explorer) 웹 브라우저에서 사용하는 ActiveX가 있다. 인터넷 익스플로러 웹 브라우저상에서 ActiveX는 기존 웹의 정적인 한계를 벗어나고 기술적으로 확장하기 위해 사용되는 기술이다. 하지만 ActiveX control이 웹 브라우저 이외에 시스템까지 접근할 수 있으므로 보안상 취약한 요소로 손꼽히고 있다.
따라서 상당수의 애드웨어(Adware)들이 이러한 특성을 이용하여 애드웨어 또는 가짜 백신을 다운로드 하고 설치하는 용도로 ActiveX를 사용하기 시작했다. 그 이유는 웹 사이트를 방문하는 것만으로 가짜백신 또는 애드웨어의 설치를 진행할 수 있기 때문이다.


실제 2005년부터 2006년까지 사회적으로 이슈가 되는 주제를 이용해 카페나 블로그에 글을 작성하고 가짜 백신을 설치하는 ActiveX 코드를 삽입했다.

 

 

그림 1 가짜 백신을 설치하기 위해 이용하는 블로그,카페 구조


이렇게 하면 검색 엔진을 통해 해당 주제로 검색하면 관련 카페나 블로그로 연결되고 방문하면 가짜 백신을 설치하게 되는 것이다. 또한 UCC의 활성화로 화면이 보이지 않는 가짜 동영상 재생 화면을 만들어 놓고 ActiveX를 설치해야 해당 동영상을 볼 수 있다고 사용자의 설치를 유도했다.

 

 

그림 2 애드웨어와 가짜 백신을 배포하는 가짜 사이트


이렇게 설치를 유도하면 컴퓨터 보안에 대한 지식이 부족한 사용자의 경우 해당 동영상을 보기 위해 ActiveX 보안 경고창이 나타났을 경우 큰 의심 없이 “예”를 누르게 된다. 심지어는 웹 브라우저의 설정에 따라 보안 경고창 없이 설치가 진행되기도 한다. 그리고 한번 ActiveX가 설치되면 해당 사이트를 다시 방문할 경우 아무런 경고창 없이 실행 되므로 지속적으로 원치 않는 애드웨어가 설치될 수 있다.

 

그림 3 한 곳에서 설치되는 다수의 애드웨어 및 가짜 백신들


동영상 UCC Adobe사의 FlashPlayer만 설치되어 있으면 추가 프로그램의 설치 없이 감상할 수 있다.
만약 웹 브라우저상에서 동영상 재생을 위해 추가 프로그램의 설치를 요구할 경우 이는 거의 대부분이 애드웨어나 가짜 백신을 설치하기 위함이므로 설치하지 않는 것이 바람직하다.


최근 국가 기관 및 보안 업체의 노력으로 인해 애드웨어 제작 및 배포 업체와 사용자의 인식이 많이 변화되어 그 숫자는 현저히 줄었다. 하지만 여전히 손쉽게 가짜 백신을 배포할 수 있는 방법이므로 주의 해야 한다.

 

(2)  무료게임, 웹하드 서비스의 번들
최근 무료게임 및 웹하드 서비스가 많이 생겨났고 또 지금도 생겨나고 있다. 검색엔진에서 관련 검색어를 입력하면 다수의 사이트들이 검색된다.
하지만 정작 게임을 하려고 하면 ActiveX로 만들어진 전용 실행기를 설치해야 한다고 한다. 전용 실행기 설치를 진행하면 약 10개 이상의 애드웨어와 가짜 백신을 설치한다고 한다.
또는 사용자가 확인하기 힘든 곳에 설치 동의창을 만들어 놓고 설치를 진행하는 경우도 많다.
 

그림 4 번들로 애드웨어 및 가짜백신을 설치


하지만 대부분 사용자들은 꼼꼼히 약관을 읽어보지 않으며, 설치시에 나타나는 체크 박스에도 큰 신경을 쓰지 않는다. 따라서 일반적인 사용자의 경우 게임을 한번 했을 뿐인데 컴퓨터에 10개가 넘는 애드웨어와 가짜 백신이 설치된다. 이렇게 다수의 가짜 백신이 설치되면 컴퓨터는 수 많은 허위 진단 결과 및 유료 결제 창으로 인해 사용이 거의 불가능할 정도가 된다. 또한 이들 애드웨어는 또 다시 업데이트 프로그램을 이용해 다수의 애드웨어 및 가짜 백신을 설치하려고 한다.

 

그림 5 업데이트로 애드웨어 및 가짜백신 추가 설치


다음은 실제 무료 게임을 한번 했을 때 컴퓨터에 설치되어 동작하는 애드웨어와 가짜백신들이다.
 

그림 6 무료 게임 한번으로 설치되는 애드웨어와 가짜백신들


이들 가짜 백신은 수시로 실행되면서 컴퓨터에 악성코드 및 정보유출의 위험이 있다는 메시지창을 보여주고 치료하기 위해 유료 결제를 유도한다. 즉, 정상적인 컴퓨터 작업을 할 수 없게 된다. 또한 재부팅 시 업데이트 프로그램이 실행되며 또 다른 애드웨어 및 가짜백신을 설치하려고 한다.

 

그림 7 무료 서비스를 통한 애드웨어, 가짜백신 설치


하나의 애드웨어나 가짜백신만 설치되어도 이들이 또 다른 애드웨어 및 가짜백신을 지속적으로 다운로드 받아 설치 하기 때문에 처음부터 설치되지 않도록 각별히 주의 하는 것이 중요하다.

 

(3)  보안 취약점
아직까지 국내에서 보안 취약점을 사용하여 애드웨어 및 가짜백신을 배포한 사례는 극히 드물다. 하지만 해외의 경우 보안 취약점이 발견되면 가장 먼저 적용되는 분야가 바로 가짜 백신이다. 취약점은 사용자가 직접 실행하지 않아도 가짜백신을 설치할 수 있으므로 자주 사용되고 있다. 특히 취약점을 이용하여 가짜백신이 설치된 경우에는 가짜백신 이외에 다양한 악성코드를 설치하고 바탕화면을 변경하는 시스템에 심각한 악영향을 준다. 또한 개인정보 유출과 같은 심각한 보안 사고 또한 발생할 수 있다.


가짜백신의 악영향
그렇다면 이런 가짜백신이 컴퓨터에 설치되면 어떤 악영향이 있는 것일까?
정상적인 보안 제품은 실시간 감시라는 기능을 가지고 있다. 여기서 말하는 실시간이라는 것은 악성코드의 실행을 예방하기 위한 방법으로 사용된다. 따라서 모든 디스크를 검사하는 것이 아니라 프로그램이 실행되기 전에 관련된 모듈만 검사하는 기능을 한다. 하지만 가짜 백신의 경우 이런 기술이 아니고 단순히 디스크 전체를 검사하는 방식을 사용한다. 따라서 매번 검사할 때 마다 컴퓨터 속도가 급격하게 저하된다. 그리고 검사가 끝난 후 아무런 보안 위험이 없는 임시 파일 및 쿠키 인터넷 캐쉬 파일등을 진단하고 유료 결제를 요구하는 창을 지속적으로 보여준다. 따라서 사용자는 정상적으로 컴퓨터를 사용할 수 없게 된다.


결제창을 자세히 보면 자동결제라고 되어 있다. 그리고 일반 요금에 비해 약 반값 정도 저렴하여 결제 하게끔 유도한다. 하지만 자동결제는 사용자의 중단 요청이 없으면 매달 해당 요금을 자동으로 결제하는 것을 말한다. 이렇게 자동결제가 되면 해지 하려고 해도 가짜 백신 제작사와 연락이 되질 않아 해지에 어려움을 겪는 사용자들 역시 상당수 있다.
무엇보다 이들 제품은 실질적으로 보안 위협이 되는 악성코드를 제대로 진단 및 치료할 수 없다.
대다수 가짜 백신 제작 업체는 다른 신뢰할 수 있는 컴퓨터 보안 업체에서 홈페이지에 공개하는 악성코드 분석 정보를 무단으로 도용해 사용하는 경우가 많다.
분석결과 특정 제작사의 경우 진단 데이터의 99% 이상이 유명 보안 업체의 홈페이지 정보와 동일했다.
그리고 윈도우가 자동으로 생성하는 임시 파일과 인터넷 캐쉬 파일을 진단하므로 검사를 수행 할 때마다 다수의 파일이 진단되고 치료를 해야 한다.
즉, 필요 없는 작업을 위해 유료 결제로 금전적 피해를 입을 수 있으며 자동결제로 인해 지속적으로 금전적 피해를 입을 수 있다.


해외에서 제작된 가짜백신의 경우 문제는 더욱더 심각하다. 사용자의 컴퓨터를 거의 사용할 수 없도록 만들어 버리는 가짜백신이 많기 때문이다.

 

그림 8 가짜백신과 허위 경고창

 

지속적으로 풍선 도움말을 이용해 허위로 시스템이 위험하다는 경고 메시지를 띄워 사용자의 컴퓨터 작업을 방해하기도 하며, 자기 자신과 윈도우 중요 프로세스를 제외하고는 모두 실행을 차단해 유료 결제를 하지 않으면 컴퓨터를 정상적으로 사용할 수 없도록 만드는 경우도 있다.
그리고 웹브라우저에 BHO(Browser Helper Objecr)를 이용해 정상적인 웹 브라우징을 방해하는 경우도 있다.


가짜백신의 특징
그렇다면 과연 가짜백신은 어떠한 특징을 가지고 있을까? 그리고 이를 보다 쉽게 구별할 수 있는 방법은 무엇인지 알아보자.


(1)  직접 설치 여부
앞서 살펴 보았듯이 가짜백신은 다양한 방법을 통해 설치가 된다. 사용자가 직접 설치하지 않았다는 것을 알 수 있다. 내가 설치하지 않은 백신이 컴퓨터 부팅시마다 실행되어 검사하고 그 결과를 보여 준다면 가짜백신을 의심해 봐야 한다.


(2)  사용자의 불편함을 초래함
가짜백신의 경우 유료 결제를 해야만 돈을 벌 수 있다. 따라서 과장된 진단 결과를 보여줘 불안감을 조성하고 지속적으로 유료 결제창을 띄운다. 또한 할인을 이유로 자동결제연장으로 유도한다면 가짜백신일 가능성이 매우 높다.


(3)  엔진 업데이트
하루에 새로 발견되는 악성코드는 생각외로 상당히 많다. 따라서 보안 제품이 사용자를 보다 적극적으로 보호하기 위해서는 잦은 엔진 업데이트는 필수 조건이다. 따라서 엔진 업데이트 빈도수가 다른 제품에 비해 현저하게 낮다면 보안 제품으로서 제 기능을 충분히 수행 할 수 없다. 엔진 업데이트는 보통 보안 제품에서 직접 확인이 가능하다. 하지만 최근 일부 가짜백신의 경우 사용자 시스템 날짜를 얻어와 엔진 업데이트 날짜로 속이는 경우가 있다.
시스템 날짜를 2020년 12월 31일로 변경한 후 가짜백신을 실행했을 때 [그림 8]과 같이 엔진업데이트 날짜가 2020년 12월 31일로 표시되고, DB정보 역시 123100 으로 변경되었다.
사용자에게 항상 최신 엔진을 제공하는 것 처럼 속이기 위한 것으로 가짜백신이 자주 사용하는 방법이다.

그림 9 시스템 날짜를 2020년 12월 31일로 변경 후 엔진 업데이트 날짜


(4)  이름만 다른 같은 가짜백신
가짜백신의 경우 제품은 다양하지만 제작사는 그렇게 많지 않다. 바꿔 말하면 몇 개의 제작사에서 가짜백신을 만든 후 이름만 바꿔서 다른 제품으로 서비스 한다는 말이 된다. 실제 가짜백신을 서비스 하는 업체의 경우 가짜백신을 만드는 곳에서 그들만의 용어인 “분양”을 받아 서비스를 한다.

그림 10 가짜백신의 제작사 및 배포사 관계 도식


따라서 이들 가짜 백신을 서비스하는 회사와 제품의 이름은 다르지만 실질적 내부는 동일한 가짜백신이다. 물론 이를 일반적인 사용자가 직접 확인하기는 매우 어렵다.
하지만 이런 관계를 이해하면 이들 제품이 제작된 목적을 알 수 있다.
정상적인 보안 제품은 사용자의 PC를 보호하기 위한 목적으로 제작되고 서비스 되고 있다. 하지만, 가짜백신의 경우 오로지 수익을 창출하기 위해 제품을 만들고 또 서비스 한다. 따라서 정작 사용자 PC에 보안 사고가 발생했을 경우 이를 효과적으로 처리할 수 없다.


가짜백신은 사용자 PC를 보호할 수도 없으며, 보안 사고가 발생했을 경우 이를 해결할 수도 없다. 정상적인 보안 제품의 경우 구매 시 사용 기간이 정해져 있다. 이는 제품 구매 가격에는 제품의 가격과 서비스 가격이 함께 있기 때문이다. 그 이유는 보안 제품의 경우 무엇보다 서비스가 중요하기 때문이다.
가짜백신을 사용하면 사전, 사후 그 어떠한 서비스도 정상적으로 받을 수 없다. 심지어는 가짜백신이 바이러스에 감염되어 배포되는 사례도 종종 발견되고 있다. 실제 모 가짜백신 서비스 업체의 경우 V3가 자사의 가짜백신을 진단한다는 이유로 진단 항의를 한 적이 있다. 하지만 진단명을 살펴본 결과 Win32/Virut이라는 실행 파일에 감염되는 바이러스에 감염되어 해당 바이러스를 진단한 결과인데 이를 가짜백신을 진단한 것으로 오인해 벌어진 해프닝이였다. 즉, 가짜백신은 컴퓨터에게 백해무익하며 컴퓨터를 대상으로 하기 때문에 플라세보 효과 조차 낼 수 없다. 그렇기 때문에 무엇보다 나의 컴퓨터에 설치되지 않도록 하는 것이 중요하다.


가짜백신을 예방하기 위해선 다음 사항을 주의 해야 한다.

1. 웹 서핑 중 ActiveX 설치를 안내하는 경고창이 나왔을 경우 나에게 정말 필요한 프로그램인지 한번 더 확인한 후 “예”를 눌러 설치한다. 만약 필요하지 않거나 잘 모르는 경우 “아니오”버튼을 눌러 설치하지 말아야 한다.

2. 무료게임, 무료웹하드 등 무료 서비스를 이용할 경우 각별히 주의해야 한다. 자선 사업가가 아닌 이상 완전한 무료는 있을 수 없다. 대다수 무료 게임이나 웹하드를 제공하는 회사의 경우 가짜백신과 같은 애드웨어를 설치하여 수익을 얻는다. 따라서 가급적 이용하지 않는 것이 바람직하며 꼭 이용해야 할 경우 작은 문구 하나 하나 꼼꼼히 살펴보고 이용하여야 한다.

3. 운영체제 및 웹브라우저와 같이 범용적으로 사용하는 프로그램의 경우 보안 업데이트를 꾸준히 시행해야 한다. 보안 취약점이 나왔을 경우 해당 보안 취약점으로 사용자의 의사와는 상관 없이 무수히 많은 악성코드 및 가짜백신이 설치될 수 있기 때문이다.

4. 컴퓨터를 켜고 사용하기 전에 실행되는 각종 업데이트 프로그램을 유심히 살펴봐야 한다. 상당수 애드웨어들이 업데이트를 이유로 다른 애드웨어를 함께 설치하는 경우가 많다. 이들 업데이트는 윈도우가 시작할 경우 함께 실행되므로 이때 주의깊게 살펴보고 자신에게 필요 없거나 용도를 잘 모르는 프로그램은 업데이트하지 말아야 한다.

5.  만약 내가 직접 설치하지 않은 가짜백신으로 의심되는 프로그램이 설치되어 결제를 요구하면 이에 응하지 말고 삭제하는 것이 좋다. 대부분 가짜 백신은 “프로그램 추가/제거”를 이용해 제거가 가능하다.
[시작]->[제어판]->[프로그램 추가/제거]로 이동해 실행되어 있는 가짜백신의 이름으로 설치된 프로그램을 찾아 제거하면 된다.@

| 악성코드 분석가 박시준

작성자 안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.

보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로 무단 도용 및 배포를 금합니다.