Jerry's BLOG

약 2년 전부터 국내에 악성코드를 치료한다는 프로그램이 우후죽순처럼 등장하고 있습니다. 정작 그러한 소프트웨어를 만들고 배포하는 사용자들은 그 악성코드가 무엇인지 알지도 못하고 말입니다. 그래서 악성코드가 무엇인지 가볍게 알아보고자 합니다.

1. 악성코드란?
 - 악성코드는 말 그래도 악의적인 행위를 하는 코드를 말합니다. 여기서 코드란 컴퓨터에 국한된 것이므로 일종의 프로그램 또는 프로그램의 한 부분을 말합니다. 즉, 여기에 속하는것은 원시적인 컴퓨터 바이러스(Virus), 웜(Worm), 봇(Bot), 트로이목마(Trojan), 스파이웨어(Spyware), 애드웨어(Adware)등등 모든 악의적인 프로그램이나 그 부분이 다 포함되는 포괄적 개념입니다.
 - 하지만, 최근 2년전부터 국내에 이 악성코드가 와전되기 시작했습니다. 바로 사용자는 뒷전이고 오로지 돈을 벌기 위해 등장한 무수히 많은 허위 안티 스파이웨어 업체들에 의해서죠~ 악성코드란 그들에 의해 활성화된 잘못된 의미의 단어 입니다. 그들이 의미하는 악성코드는 애드웨어(Adware), 스파이웨어(Spyware)에 국한된것 입니다. 이를 마치 엄청나게 위험한 것인양 부풀려 악성코드라 칭하고 이를 상업적인 목적으로 사용하기 위해 그 의미를 변질 시켰습니다. 실제 이런 업체들의 제품이 바이러스를 치료할 수 있냐고 문의하면 할 수 있다고 합니다. 다시 한번 문의해서 최근 문제가 되고 있는 바이럿(Virut), 바이킹(Viking)과 같은 PE파일 감염 바이러스를 정상적으로 치료할 수 있냐고 물어보면 개발중이라고 말을 바꾸곤 합니다.
 - 다시 말하면, 악성코드는 컴퓨터에서 악의적인 목적으로 만들어진 프로그램과 프로그램의 일부 입니다.

2. 진짜 악성코드란?
 - 서론이 너무 길었습니다. 진짜 악성코드를 다시 한번 말한다면, "사용자의 정당한 권리를 침해하는 프로그램"입니다. 너무 추상적인가요? 하지만 저 이상 잘 설명하기는 저로서는 힘들것 같습니다. 컴퓨터는 나의 것 입니다. 내가 하는 일을 보다 빠르고 편하게 할 수 있게 도와주고, 나의 데이터를 대신 저장해주고 또 활용할 수 있게 도와주는 유용한 도구 입니다. 따라서 그 도구는 내가 100% 컨트롤할 수 있어야 합니다. 하지만 악성코드가 설치되어 동작하면 그 컴퓨터는 더이상 나의 소유가 아닌, 공격자의 소유가 됩니다. 물론 그 정도는 10%일수도 있고, 50%일수도 있고 심지어는 100%일수도 있습니다.
 - 예를 들어 내가 워드 프로세서를 사용해 문서작업을 하고 있다고 가정해 봅시다. 그럼 전 100% 문서 작업을 해야 합니다. 하지만 애드웨어(Adware)가 설치되어 5분마다 팝업 광고를 실행한다면 나의 작업은 크건 작건 방해를 받게 됩니다. 이로서 사용자는 정당한 권리를 침해 받는 것 입니다.

3. 국내의 문제점
 - 국내는 물론 국외도 마찬가지지만 너무나 많은 보안 프로그램이 존재 합니다. 솔직히 말해 몇몇 업체를 제외하곤 모두다 악성코드라 봐도 무방합니다. 왜냐하면 그들은 사용자의 빼앗긴 권리를 되찾아주는것이 목표가 아니라, 오로지 돈벌이가 목표이기 때문입니다. 그 목표에 도달하기 위해 수단과 방법을 가리지 않습니다. 국내에 가장 대표적인 스파이웨어 배포 방법은 Internet Explorer에 사용되고 있는 ActiveX라는 기술을 이용한 것 입니다. 웹 페이지를 방문하면 ActiveX보안 경고창이 실행되고 실행 여부를 물어봅니다. 이는 Internet Explorer 설정에 따라 사용자에게 확인을 받을수도 있고 그렇지 않을수도 있습니다. 하지만 사용자는 정확한 정황도 모른채 [예]를 눌러 실행을 합니다. 이렇게 되면 사용자는 원하지도 않은 프로그램을 설치하게 됩니다. 이것이 현재 대한민국의 현실입니다.
 - 지인의 컴퓨터를 보면 정말 수많은 프로그램이 설치되어 있습니다. 하지만 그중 지인이 직접 설치한 프로그램은 몇개 되지 않습니다. 모두다 위와 같이 사용자의 동의 없이 임의로 설치된 프로그램입니다. 그리고 그 프로그램이 버젖이 사용자에게 돈을 내 놓으라고 시도때도 없이 경고창을 보여줍니다. 과연 이것이 옳은일 일까요?
 - 보다 직설적으로 얘기하면 국내에 있는 소위 말하는 악성코드 치료 프로그램중 95% 이상은 이런식으로 돈을 벌기 위한 하나의 수단일 뿐입니다. 정작 보안 제품의 가장 중요한 요소인 사용자의 정당한 권리를 되찾아주는 일은 뒷전이고요..
 - 또한 이렇게 설치된 프로그램은 사용자의 어떠한 동의도 없이 다른 애드웨어나 스파이웨어를 계속 다운로드 해서 설치합니다. 꼬리에 꼬리를 물게 됩니다. 그 끝은 어디인지~

4. 글을 끝마치며..
 - 국내엔 아직 스파이웨어 관련 법안이 없습니다. 정보통신부에서 가이드라인을 제시했지만 이는 아직 법적 효력을 가지지 못해 구속력이 없습니다. 이로 인해 피해를 보는것은 선량한 사용자 입니다. 난 설치한적도 없는 프로그램이 설치되고 동작하며 심지어는 돈을 내 놓으라고 큰소리 칩니다. 어떤 프로그램은 사용자의 소중한 데이터를 숨겨놓고 이를 보기 위해 돈을 내 놓으라고 합니다. 그리고 이렇게 잃어버린 권리를 되찾아 주기 위해 노력하는 보안 업체에게 큰소리로 고소할테니 당장 그러한 일을 하지 말라고 합니다. 돈보단 사람이 먼저라고 전 생각하는데 그들은 그게 아닌가 봅니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

한국의 컴퓨터에서 자주 볼 수 있는 알집(Alzip), 네로 버닝롬(Nero), QTask(Apple사의 Quicktime Movie 의 런처)를 사칭한 스파이웨어가 발견 되었습니다.

기존 스파이웨어는 파일이름만 동일하게 해 놓았지만, 이번에 발견된 스파이웨어는 파일의 경로까지 동일하게 구성해 놓아 일반인이 보기에 혼동하기 쉽게 되어 있습니다.

이들이 설치되고 동작하는 파일명은 다음과 같습니다.

1. alzip.exe
 - Path : C:\Program Files\ESTsoft\ALZip\alzip.exe
 - File Size : 180224 bytes
 - Size MD5 : 1C4E17723B464E6151D50A698F037E98

2. neroburn.exe
 - Path : C:\Program Files\Ahead\Nero\neroburn.exe
 - File Size : 180224 bytes
 - Size MD5 : DF647D2922F02F1C98BD69B5B9375975

3. qtask.exe
 - Path : C:\Program Files\idisk\qtask.exe
 - File Size : 176128 bytes
 - Size MD5 : C456D03C8FD4538FBB3A1450C1BF2D75

하지만 이들의 아이콘은 일반적으로 알려진것과는 달리 인스톨러 모양을 하고 있어 쉽게 확인이 가능합니다.


이들 스파이웨어는 특정 서버로 자신이 설치되었음을 통보하는 기능을 가지고 있으며, 그 이후 이들 서버에서 특정 명령을 받아 수행하는 것으로 경우에 따라선 매우 위험할 수 있습니다.

다음 경로의 파일들을 확인해서 아이콘과 파일 사이즈등이 위와 같다면 제거를 하시기 바랍니다.

해당 파일들은 Ahnlab SpyZero 2007.08.15.00에서 다음과 같이 진단합니다.
Win-Spyware/FakeAlzip.180224
Win-Spyware/FakeNero.180224
Win-Spyware/FakeQtask.176128

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

애플(apple)사의 아이폰(iPhone)에 저장되어 있는 사용자의 모든 정보를 특정한 웹 서버로 전송하는 함수(기능)를 포함하고 있다고 합니다.

언더그라운드에서 활동하는 러시아 해커 그룹인 "web-Hack"에서 아이폰(iPhone)의 펌웨어를 연구한 결과를 발표했습니다.
web-Hack는 리버스 엔지니어링을 통해 몇몇의 기능과 이 정보들을 알아 냈으며 그 결과를 커뮤니티에 화이트페이버 형식으로 발표했습니다.
그 기능은 모든 사용자의 저장된 데이터를 특정한 웹서버로 전송하는 기능이며, 그 정보들은 전화번호부, SMS(단문자메세지), 최근 통화 기록, 사라피(애플의 웹브라우저)의 사용 기록(history)이 포함된다고 합니다.
현재 이 이슈에 대해 추가적인 정보를 아직 발표하지는 않았습니다.
연구가들은 이 기능이 디버깅 정보로 이용될수도 있지만, 몇몇 정부 기관들에게 백도어(backdoor) 기능을 제공할수도 있다고 합니다.
어쨌든 이 기능을 악성코드 제작자들이 악용하거나, 또는 서비스 제공자인 AT&T사에서 활성화 시킬 수 있어 문제가 될 소지가 매우 큽니다.
따라서 이로 인해 사건이나 사고가 발생할 가능성이 높아 지속적으로 모니터링을 해야하며, 만약 발견시 정보 공개를 통해 조속히 문제를 해결하도록 노력해야 할 것 같습니다.
어떠한 목적에서든지 이러한 기능은 사용자들에게 좋지 않은 영향을 미치는것은 사실입니다.
만약 디버깅이 목적이라면 이를 수행하는 서버측에 이러한 기능을 구현해서 데이터를 가져오는것이 정석인데, 애들은 아예 단말기(client)에 이러한 기능을 집어 넣어 놨습니다.
스파이웨어 제작자들에겐 너무나도 반가운 소식이 되겠습니다.
애플 아이픈에선 이런 기능을 악용하는 스파이웨어나 기타 악성코드를 진단하고 치료할 수 있는 더 나아가서는 실시간으로 감시하는 보안 소프트웨어가 필요할 것 같습니다.


원문 : http://vsiphone.blogspot.com/2007/07/iphone-has-built-in-spyware-module.html

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

'UCC' 열풍 타고 스며드는 '스파이웨어'

동영상 프로그램 가장 살포…싸이 방문자 추적기 위장 사례도

성연광 기자 (04/23 14:17)

대학생 김모군(20세)는 얼마전 황당한 일을 겪었다. 싸이월드 방문자를 추적해주는 프로그램을 배포한다는 사이트를 방문했다가 PC가 먹통이 돼버린 것.

개인이 만든 것으로 알려진 그 사이트는 '예전에 개발했던 싸이월드용 API를 개조한 싸이월드 방문자 추적기"라고 소개돼있다. 여기에 자신의 싸이월드 주소를 넣고 'API 실행' 버튼을 클릭하니 실행 중 '익스플로러 보안제한 때문에 에러가 발생했다"는 보안설정을 낮춰달라는 안내문구가 나왔다.

김군이 안내된 문구대로 따라했더니 10여개가 넘는 애드웨어와 허위 안티스파이웨어가 순식간에 자신의 PC에 깔려버렸던 것. 실은 누가 자신의 싸이월드에 다녀갔는지 궁금해하는 회원들의 심리를 이용해 애드웨어를 유포하는 배포업자에 당한 것이다.

최근 손수제작물(UCC) 열풍을 타고 사용자가 직접 만들어 배포하는 소프트웨어, 이른바 UCS(User Created Software)가 부각되면서 새로운 보안위협으로 대두되고 있다.

김모군이 피해를 당했던 '싸이월드 방문자 추적 프로그램'처럼 이용자들을 현혹시켜 PC의 '보안설정'을 낮춘 뒤 이를 이용해 스파이웨어, 애드웨어를 유포하는 사례가 크게 늘고 있는 것.

인터넷 익스플로러 등 웹브라우저의 보안설정을 낮추면 웹서핑시 '액티브 X'를 사용하는 사이트에 접속할 경우 모든 프로그램이 사용자 동의 없이 설치되기 때문에 상당히 위험하다. 즉, 원하지 않지만 웹페이지를 방문하는 것만으로 악성 프로그램들이 죄다 깔릴 수 있다는 것.

안철수연구소 박시준 연구원은 'UCC를 통해 유포되는 악성코드 예방법'이란 보고서를 통해 "검증되지 않은 소프트웨어는 가급적 사용을 자제해달라"며 "특히 인터넷 익스플로러의 설정정보를 변경하는 것은 자칫 심각한 보안위협에 빠질 수 있다"고 경고했다.

특히 '사용자 추적 프로그램'처럼 정상적이지 않은 서비스의 경우, 이같은 악성코드 유포에 이용됐을 가능성이 적지않은 관계로 정상적인 서비스를 이용해줄 것으로 당부했다.

이 보고서에 따르면, UCC가 급속도로 확산됨에 따라 이를 악용해 애드웨어나 악성코드를 사용자 동의없이 설치하는 사례가 실제 발견되고 있으며, 앞으로 이같은 움직임은 더욱 활발해질 것으로 전망했다.

유형별로 가장 대표적인 게 동영상 프로그램인 'MS 윈도미디어플레이어'의 스크립트 명령을 수행하는 기능을 악용한 악성코드 유포다.

윈도 미디어 플레이어 설치시 해당 옵션이 비활성화 상태돼 있는데, 이 기능이 활성화될 경우, 사용자는 인터넷 웹페이지에서 동영상을 보기만해도 애드웨어를 비롯한 악성코드 유포 사이트에 접속될 수 있다는 것. 이를 방지하기 위해선 윈도미디어플레이어 URL스크립트 명령 동작 업데이트를 설치하고, 윈도 업데이트를 통해 알려진 보안 취약점을 모두 패치할 것으로 권고했다.

허위 코덱(codec)도 주의해야한다. 일종의 사회공학적 기법을 사용해 누구나 관심을 가질만한 주제의 동영상을 소리만 또는 영상만 인코딩(용량이 큰 동영상 데이터를 작은 사이즈로 압축하는 과정)한 후 나오지 않는 소리 또는 영상을 보기위해서는 특정 사이트에서 배포하는 코덱을 설치해야한다고 안내한 뒤 프로그램 설치를 종용한다. 그러나 이렇게 받아진 프로그램은 동영상 재생과는 전혀 무관한 스파이웨어인 경우가 적지않다.

보안 취약점을 사용해 악용해 악성코드를 강제설치하는 방식도 늘고 있다. 안철수연구소는 UCC가 일반 사용자들이 콘텐츠를 만들고 공유할 수 있다는 점을 이용해 누구나 흥미를 가질 수 있는 콘텐츠를 작성하고 해당 콘텐츠에 보안 취약점을 사용해 애드웨어나 스파이웨어, 또는 바이러스를 설치하는 코드를 삽입할 가능성이 매우높다고 경고했다.

실제 얼마전 국내 애드웨어 제작사는 보안 취약점(MS06-014)를 이용해 자사의 애드웨어를 배포하는 사례가 발견되기도 했다. 이를 예방하기 위해선 정기적으로 윈도 보안업데이트를 수행하고, 가급적 자동 업데이트를 활성화할 것으로 당부했다.

박시준 연구원은 "내가 직접 콘텐츠를 손쉽게 다른 사람들과 공유할 수 있다는 점에서 UCC가 너무나도 매력적이지만 더욱 많은 보안위협에 노출되고 있다"며 "해당 서비스업체들도 업로드되는 콘텐츠로 인해 발생할 수 있는 위험 요소를 적극적으로 찾고 지속적인 모니터링을 실시해야한다"고 강조했다.

<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이>

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.