Win-Adware/Adod
5월 초, 다수의 고객으로부터 Internet Explorer(이하 IE)가 동작하지 않는다는 신고가 접수되어 인터넷 대란이 또다시 일어나는 것은 아닌지, 많은 사람들을 우려케 하였지만 다행히 특정 애드웨어가 설치된 PC에서만 발생하는 문제로 밝혀졌으며 그 주범은 Win-Adware/Adod였다.
Win-Adware/Adod가 PC에 설치되면 BHO(Browser Helper Object)와 Toolbar가 등록된다. 본래의 동작은 IE의 주소표시줄에 입력되는 한글 키워드를 감시하여 특정 한글 키워드가 입력되면 제작사와 제휴된 검색사이트의 검색결과를 노출하도록 되어있다. 그러나 BHO로 등록되는 모듈이 버그를 포함한 채로 배포되었고, IE가 시작되면서 BHO 모듈을 로딩할 때, Win-Adware/Adod의 잘못 제작된 BHO 모듈이 로딩되면서 오류가 발생하여, 이로 인하여 IE가 실행되자마자 종료되었다.
대부분의 애드웨어는 Win-Adware/Adod와 같은 문제점을 시한 폭탄처럼 안고 있다고 볼 수 있다. 애드웨어 제작업체들 대다수가 프로그램 개발시 간단히 동작만 확인할 뿐, 별도의 품질 테스트 과정을 거치지 않기 때문에 언제 어느 시점에서 시스템에 치명적인 오류를 야기할지 모르며 이와 같은 사례는 허다하다.
이러한 문제는 시스템의 중요 부분과 관련이 있을 경우 더욱 큰 문제가 될 수 있는데, Win-Adware/Adod와 같이 IE의 중요한 프로그램의 일부 모듈로 동작하거나 시스템 드라이버로 등록되는 경우 시스템을 망가뜨리거나 주요 어플리케이션 사용에 불편을 주는 등 사용자에게 큰 불편을 줄 수 있다.
특히 시스템 드라이버로 등록되는 경우는 BSOD(Blue Screen of Death)를 발생시키거나 윈도우가 부팅되지 않는 상황까지 발생할 수 있다. 과거 Win-Adware/Rogue.CC가 등록한 루트킷 드라이버로 인하여 레지스트리에 관련한 작업시 매번 BSOD가 발생한 사례가 있는데, 이 경우 사용자는 일반적인 방법으로는 Win-Adware/Rogue.CC를 제거할 수 없어 더욱 큰 문제가 되었다.
스파이웨어나 애드웨어 제작자들에게 시스템의 오류를 발생하지 않도록 테스트를 잘 해달라고 요구할 수는 없는 노릇이기에, 현재로서는 이러한 것들이 설치되지 않도록 사용자가 주의하거나 안티-스파이웨어 프로그램을 사용하여 이들을 제거하는 수 밖에 없다.
국산 스파이웨어 피해 급증
최근 국산 스파이웨어로 인한 사용자 피해 신고가 크게 증가하였다. 발견되는 스파이웨어의 수는 국외에서 제작된 것이 훨씬 많으나 그 피해 신고는 국내에서 제작된 것들로 인한 피해 신고가 더 많아지고 있다. 외국산 스파이웨어의 경우, 동일한 스파이웨어 대해 피해 신고가 다수 접수되는 것은 보안 취약점을 이용하거나 바이러스 혹은 웜에 의해 배포되어 그 확산력이 컸기 때문인 반면, 국산의 경우는 난이도가 높은 해킹 기법은 사용되지 않았으나 그 피해 신고는 비슷하거나 오히려 많았다. 물론 지역적인 이유로 그런 것일 수 있겠지만 유독 국산 스파이웨어로 인한 피해가 증가한 이유는 무엇일까?
이는 국내 UCC 산업의 발전과 관련이 있는 것으로 보인다. 과거, 카페나 게시판 등에 단순히 ActiveX 코드를 삽입하는 것이 전부였다면, 요즘은 블로그를 이용하여 UCC 동영상을 보기 위해서는 ActiveX 컨트롤을 설치해야 한다는 식으로 사용자들을 속이고 있다. 일부 UCC 동영상 사이트에서 동영상 재생을 위해서는 ActiveX를 설치해야 한다는 점을 교묘히 이용한 것이다.
국내 유명 포털 사이트를 보면 대부분 메인 페이지에 "실시간 인기 검색어"라는 제목으로 사용자들이 많이 입력하는 키워드의 목록이 나오는데, 이 키워드로 검색을 하면 관련된 UCC 동영상을 볼 수 있다는 제목의 글을 어렵지 않게 찾을 수 있다. 그런데 이 글들 중에 일명 "낚시글"이라고 불리는 사용자를 속이는 글들이 함께 노출된다.
스파이웨어 배포자들은 더욱 많은 사람들에게 자신의 사이트가 노출되도록 하기 위해 "실시간 인기 검색어"로 등록된 키워드가 들어간 글을 무작위로 생성하고 검색 사이트에 노출되기만을 기다린다. 그리고 국내 유명 검색 사이트에서는 보다 많은 UCC 확보를 위해 기계적으로 이를 검색 DB에 저장하고 결국 사용자에게 보여지는 것이다.
이러한 낚시글을 클릭해보면 UCC 동영상 관련 사이트인 것처럼 사용자들을 완전히 속이고, ActiveX 컨트롤을 설치할 것을 요구한다. 아래의 [그림 2-5]는 UCC와는 전혀 관련이 없으며 단순히 이미지로만 제작된 허위 UCC 동영상 사이트이다. 그림의 동영상 재생기 역시 가짜이다. 설치되는 ActiveX 컨트롤은 동영상 재생과는 전혀 관련이 없으며 설치할 경우 다수의 스파이웨어가 설치된다.
[그림 2-5] 허위 UCC 동영상 사이트
보다 많은 UCC 사이트를 검색하려는 검색 사이트의 헛점을 스파이웨어 배포자들이 잘 이용하고 있는 샘이다. 물론 검색 사이트에서 이러한 사이트를 발견하는 즉시 차단하는 등의 조치를 취하고 있는 것으로 보이지만 아직 미미하며, 이로 인한 피해는 지속적으로 증가하고 있는 실정이다.
[출처] 안철수연구소 ASEC