'스파이웨어'에 해당되는 글 11건

  1. 2007/11/22  진짜 악성코드라는 것은?
  2. 2007/10/30  너도 나도 뛰어드는 보안 시장 #1
  3. 2007/08/14  알집( Alzip), 네로버닝롬(Nero), Qtask를 사칭한 스파이웨어
  4. 2007/07/19  애플의 아이폰에 스파이웨어 기능 포함? (iPhone has a built-in spyware module?)

진짜 악성코드라는 것은?

Posted by Jerry on 2007/11/22 12:58
Filed under Spyware
Tags : , , , , , , , , , , ,

약 2년 전부터 국내에 악성코드를 치료한다는 프로그램이 우후죽순처럼 등장하고 있습니다. 정작 그러한 소프트웨어를 만들고 배포하는 사용자들은 그 악성코드가 무엇인지 알지도 못하고 말입니다. 그래서 악성코드가 무엇인지 가볍게 알아보고자 합니다.

1. 악성코드란?
 - 악성코드는 말 그래도 악의적인 행위를 하는 코드를 말합니다. 여기서 코드란 컴퓨터에 국한된 것이므로 일종의 프로그램 또는 프로그램의 한 부분을 말합니다. 즉, 여기에 속하는것은 원시적인 컴퓨터 바이러스(Virus), 웜(Worm), 봇(Bot), 트로이목마(Trojan), 스파이웨어(Spyware), 애드웨어(Adware)등등 모든 악의적인 프로그램이나 그 부분이 다 포함되는 포괄적 개념입니다.
 - 하지만, 최근 2년전부터 국내에 이 악성코드가 와전되기 시작했습니다. 바로 사용자는 뒷전이고 오로지 돈을 벌기 위해 등장한 무수히 많은 허위 안티 스파이웨어 업체들에 의해서죠~ 악성코드란 그들에 의해 활성화된 잘못된 의미의 단어 입니다. 그들이 의미하는 악성코드는 애드웨어(Adware), 스파이웨어(Spyware)에 국한된것 입니다. 이를 마치 엄청나게 위험한 것인양 부풀려 악성코드라 칭하고 이를 상업적인 목적으로 사용하기 위해 그 의미를 변질 시켰습니다. 실제 이런 업체들의 제품이 바이러스를 치료할 수 있냐고 문의하면 할 수 있다고 합니다. 다시 한번 문의해서 최근 문제가 되고 있는 바이럿(Virut), 바이킹(Viking)과 같은 PE파일 감염 바이러스를 정상적으로 치료할 수 있냐고 물어보면 개발중이라고 말을 바꾸곤 합니다.
 - 다시 말하면, 악성코드는 컴퓨터에서 악의적인 목적으로 만들어진 프로그램과 프로그램의 일부 입니다.

2. 진짜 악성코드란?
 - 서론이 너무 길었습니다. 진짜 악성코드를 다시 한번 말한다면, "사용자의 정당한 권리를 침해하는 프로그램"입니다. 너무 추상적인가요? 하지만 저 이상 잘 설명하기는 저로서는 힘들것 같습니다. 컴퓨터는 나의 것 입니다. 내가 하는 일을 보다 빠르고 편하게 할 수 있게 도와주고, 나의 데이터를 대신 저장해주고 또 활용할 수 있게 도와주는 유용한 도구 입니다. 따라서 그 도구는 내가 100% 컨트롤할 수 있어야 합니다. 하지만 악성코드가 설치되어 동작하면 그 컴퓨터는 더이상 나의 소유가 아닌, 공격자의 소유가 됩니다. 물론 그 정도는 10%일수도 있고, 50%일수도 있고 심지어는 100%일수도 있습니다.
 - 예를 들어 내가 워드 프로세서를 사용해 문서작업을 하고 있다고 가정해 봅시다. 그럼 전 100% 문서 작업을 해야 합니다. 하지만 애드웨어(Adware)가 설치되어 5분마다 팝업 광고를 실행한다면 나의 작업은 크건 작건 방해를 받게 됩니다. 이로서 사용자는 정당한 권리를 침해 받는 것 입니다.

3. 국내의 문제점
 - 국내는 물론 국외도 마찬가지지만 너무나 많은 보안 프로그램이 존재 합니다. 솔직히 말해 몇몇 업체를 제외하곤 모두다 악성코드라 봐도 무방합니다. 왜냐하면 그들은 사용자의 빼앗긴 권리를 되찾아주는것이 목표가 아니라, 오로지 돈벌이가 목표이기 때문입니다. 그 목표에 도달하기 위해 수단과 방법을 가리지 않습니다. 국내에 가장 대표적인 스파이웨어 배포 방법은 Internet Explorer에 사용되고 있는 ActiveX라는 기술을 이용한 것 입니다. 웹 페이지를 방문하면 ActiveX보안 경고창이 실행되고 실행 여부를 물어봅니다. 이는 Internet Explorer 설정에 따라 사용자에게 확인을 받을수도 있고 그렇지 않을수도 있습니다. 하지만 사용자는 정확한 정황도 모른채 [예]를 눌러 실행을 합니다. 이렇게 되면 사용자는 원하지도 않은 프로그램을 설치하게 됩니다. 이것이 현재 대한민국의 현실입니다.
 - 지인의 컴퓨터를 보면 정말 수많은 프로그램이 설치되어 있습니다. 하지만 그중 지인이 직접 설치한 프로그램은 몇개 되지 않습니다. 모두다 위와 같이 사용자의 동의 없이 임의로 설치된 프로그램입니다. 그리고 그 프로그램이 버젖이 사용자에게 돈을 내 놓으라고 시도때도 없이 경고창을 보여줍니다. 과연 이것이 옳은일 일까요?
 - 보다 직설적으로 얘기하면 국내에 있는 소위 말하는 악성코드 치료 프로그램중 95% 이상은 이런식으로 돈을 벌기 위한 하나의 수단일 뿐입니다. 정작 보안 제품의 가장 중요한 요소인 사용자의 정당한 권리를 되찾아주는 일은 뒷전이고요..
 - 또한 이렇게 설치된 프로그램은 사용자의 어떠한 동의도 없이 다른 애드웨어나 스파이웨어를 계속 다운로드 해서 설치합니다. 꼬리에 꼬리를 물게 됩니다. 그 끝은 어디인지~

4. 글을 끝마치며..
 - 국내엔 아직 스파이웨어 관련 법안이 없습니다. 정보통신부에서 가이드라인을 제시했지만 이는 아직 법적 효력을 가지지 못해 구속력이 없습니다. 이로 인해 피해를 보는것은 선량한 사용자 입니다. 난 설치한적도 없는 프로그램이 설치되고 동작하며 심지어는 돈을 내 놓으라고 큰소리 칩니다. 어떤 프로그램은 사용자의 소중한 데이터를 숨겨놓고 이를 보기 위해 돈을 내 놓으라고 합니다. 그리고 이렇게 잃어버린 권리를 되찾아 주기 위해 노력하는 보안 업체에게 큰소리로 고소할테니 당장 그러한 일을 하지 말라고 합니다. 돈보단 사람이 먼저라고 전 생각하는데 그들은 그게 아닌가 봅니다.

크리에이티브 커먼즈 라이센스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)
Trackback 0  |   Comment 0
Trackback URL >> http://mireenae.com/trackback/166
Leave a comment

너도 나도 뛰어드는 보안 시장 #1

Posted by Jerry on 2007/10/30 14:06
Filed under Spyware
Tags : , , , , , ,

 보안 업계에서 제작년부터 국내에 꾸준히 문제가 되고 있는 부분중 상당 부분을 차지하는것이 바로 허위 안티 스파이웨어(Rogue Anti-Spyware)이다. 이들이 문제가 된것은 사용자의 정당한 권리를 침해한다는 부분이 있기 때문인데, 바로 사용자의 동의 없이 프로그램이 설치된다는 것이다.

 대부분의 업체들이 프로그램을 배포할때 사용하는 방식이 ActiveX이다. 인터넷 익스플로러(Internet Explorer)을 통해 손쉽게 배포가 가능해 한국에선 가장 대중적인 프로그램 배포 방식으로 자리를 잡았다. 하지만 이 방식에는 큰 문제점이 있다.

 첫째, 인터넷 익스플로러(Internet Explorer)의 보안 설정에 따라 경고창이 나타나지 않을 수 있다. [그림 1] 에서 알 수 있듯, 각각의 항목에 대해 "사용"을 체크해 버리면 웹 서핑을 하는것 만으로 나의 컴퓨터엔 컴퓨터가 동작하기 어려울 만큼 수 많은 프로그램이 설치되는것을 경험할 수 있을 것이다.

AcitveX 설정

AcitveX 설정

[그림 1] 인터넷 익스플로러(Internet Explorer)의 AcitveX 설정

하지만 이러한 설정이 변경되었다 해도 일반적인 사용자들은 그 여부 조차 알지 못한다. 하지만 대다수의 업체들인 ActiveX 경고창이 사용자 동의라고 우긴다. 사용자의 설정에 따라 나올수도 있고, 나오지 않을수도 있다면 그것이 정당한 동의라고 할 수 있을까?

둘째, 제휴 마케팅을 통해 엄청난 확산력을 가진다.
소위 말하는 제휴 마케팅이라는 사이트를 통해 일반인에게 배포 코드를 제공한다. 따라서 우리는 카페나 기타 웹 서핑시 나타나는 다양한 사이트를 방문할때 알 수 없는 ActiveX경고창이 뜨는것을 자주 볼 수 있다. 즉, 불특정 다수의 사이트에서 프로그램이 사용자 동의 없이 설치되게끔 마구잡이로 배포되는 것이다. 즉, 자체 확산력이 없는 스파이웨어와 애드웨어에 날개를 달아준 꼴이 된다. 성난 호랑이 등을 타고 전국 방방 곳곳에 퍼지게 되는 것이다.

배포나 설치 방법 문제보다 더욱더 심각한 문제는 바로 품질이다. 안티 스파이웨어(Anti Spyware)를 표방하지만, 그 내막을 살펴보면 오진과 허위 진단 투성이다. 또한 자체 분석 및 대응 센터가 없는 경우가 대다수이다. 업계 관계자 말을 들어보면 바지 사장을 내세워 영업을 하며 실제 엔진은 2~3개 정도에 불과하다고 한다. 바꿔 직설적으로 말하면, 제품의 내용은 똑같지만 껍데기만 다르게 포장해 다른 제품으로 판매하고 있다는 것이다. 그 목적은 바로 돈을 벌기 위해서이다.

보안 제품은 사용자의 잃어버린 정당한 권리를 되찾아 주기 위해 존재하여야 한다. 하지만 이런 허위 안티 스파이웨어는 사용자의 권리를 찾아주는것은 뒷전이고, 어떻게 하면 자사의 이익을 더욱더 높일 수 있을지만 고민한다.

또한 안티 바이러스 역활도 가지고 있다고 하는데 실제 국내에서 많은 문제를 일으키고 피해를 주고 있는 바이럿, 바이킹을 진단하고 치료할 수 있냐고 물어보면 아직 개발중이라고 하는 답변만 받을 수 있다. 이런 제품은 안티 바이러스가 아니다.

기술력과 신뢰성이 없는 이런 회사와 제품은 돈을 벌기 위한 목적으로 앞으로도 꾸준히 나올 전망이다. 이들 업체들은 한번만 더 생각을 해 보안 제품이 가져야할 기본적인 요소와 목적을 잃지 않았으면 한다.
크리에이티브 커먼즈 라이센스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)
Trackback 1  |   Comment 0
Trackback URL >> http://mireenae.com/trackback/146
Leave a comment

알집( Alzip), 네로버닝롬(Nero), Qtask를 사칭한 스파이웨어

Posted by Jerry on 2007/08/14 17:39
Filed under Spyware
Tags : , , , , , ,
한국의 컴퓨터에서 자주 볼 수 있는 알집(Alzip), 네로 버닝롬(Nero), QTask(Apple사의 Quicktime Movie 의 런처)를 사칭한 스파이웨어가 발견 되었습니다.

기존 스파이웨어는 파일이름만 동일하게 해 놓았지만, 이번에 발견된 스파이웨어는 파일의 경로까지 동일하게 구성해 놓아 일반인이 보기에 혼동하기 쉽게 되어 있습니다.

이들이 설치되고 동작하는 파일명은 다음과 같습니다.

1. alzip.exe
 - Path : C:\Program Files\ESTsoft\ALZip\alzip.exe
 - File Size : 180224 bytes
 - Size MD5 : 1C4E17723B464E6151D50A698F037E98

2. neroburn.exe
 - Path : C:\Program Files\Ahead\Nero\neroburn.exe
 - File Size : 180224 bytes
 - Size MD5 : DF647D2922F02F1C98BD69B5B9375975

3. qtask.exe
 - Path : C:\Program Files\idisk\qtask.exe
 - File Size : 176128 bytes
 - Size MD5 : C456D03C8FD4538FBB3A1450C1BF2D75

하지만 이들의 아이콘은 일반적으로 알려진것과는 달리 인스톨러 모양을 하고 있어 쉽게 확인이 가능합니다.

허위 아이콘

이들 스파이웨어는 특정 서버로 자신이 설치되었음을 통보하는 기능을 가지고 있으며, 그 이후 이들 서버에서 특정 명령을 받아 수행하는 것으로 경우에 따라선 매우 위험할 수 있습니다.

다음 경로의 파일들을 확인해서 아이콘과 파일 사이즈등이 위와 같다면 제거를 하시기 바랍니다.

해당 파일들은 Ahnlab SpyZero 2007.08.15.00에서 다음과 같이 진단합니다.
Win-Spyware/FakeAlzip.180224
Win-Spyware/FakeNero.180224
Win-Spyware/FakeQtask.176128
크리에이티브 커먼즈 라이센스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)
Trackback 1  |   Comment 0
Trackback URL >> http://mireenae.com/trackback/125
Leave a comment

애플의 아이폰에 스파이웨어 기능 포함? (iPhone has a built-in spyware module?)

Posted by Jerry on 2007/07/19 13:33
Filed under Spyware
Tags : , , , , , , , , , , , , ,
애플(apple)사의 아이폰(iPhone)에 저장되어 있는 사용자의 모든 정보를 특정한 웹 서버로 전송하는 함수(기능)를 포함하고 있다고 합니다.

언더그라운드에서 활동하는 러시아 해커 그룹인 "web-Hack"에서 아이폰(iPhone)의 펌웨어를 연구한 결과를 발표했습니다.
web-Hack는 리버스 엔지니어링을 통해 몇몇의 기능과 이 정보들을 알아 냈으며 그 결과를 커뮤니티에 화이트페이버 형식으로 발표했습니다.
그 기능은 모든 사용자의 저장된 데이터를 특정한 웹서버로 전송하는 기능이며, 그 정보들은 전화번호부, SMS(단문자메세지), 최근 통화 기록, 사라피(애플의 웹브라우저)의 사용 기록(history)이 포함된다고 합니다.
현재 이 이슈에 대해 추가적인 정보를 아직 발표하지는 않았습니다.
연구가들은 이 기능이 디버깅 정보로 이용될수도 있지만, 몇몇 정부 기관들에게 백도어(backdoor) 기능을 제공할수도 있다고 합니다.
어쨌든 이 기능을 악성코드 제작자들이 악용하거나, 또는 서비스 제공자인 AT&T사에서 활성화 시킬 수 있어 문제가 될 소지가 매우 큽니다.
따라서 이로 인해 사건이나 사고가 발생할 가능성이 높아 지속적으로 모니터링을 해야하며, 만약 발견시 정보 공개를 통해 조속히 문제를 해결하도록 노력해야 할 것 같습니다.
어떠한 목적에서든지 이러한 기능은 사용자들에게 좋지 않은 영향을 미치는것은 사실입니다.
만약 디버깅이 목적이라면 이를 수행하는 서버측에 이러한 기능을 구현해서 데이터를 가져오는것이 정석인데, 애들은 아예 단말기(client)에 이러한 기능을 집어 넣어 놨습니다.
스파이웨어 제작자들에겐 너무나도 반가운 소식이 되겠습니다.
애플 아이픈에선 이런 기능을 악용하는 스파이웨어나 기타 악성코드를 진단하고 치료할 수 있는 더 나아가서는 실시간으로 감시하는 보안 소프트웨어가 필요할 것 같습니다.

애플 아이폰 (apple iPhone)

원문 : http://vsiphone.blogspot.com/2007/07/iphone-has-built-in-spyware-module.html
크리에이티브 커먼즈 라이센스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)
Trackback 0  |   Comment 0
Trackback URL >> http://mireenae.com/trackback/118
Leave a comment
◀ prev 1 2 3 next ▶