본문 바로가기
악성코드 정보

사용자 동의를 옵션으로 처리한 스파이웨어

by 비회원 2011. 10. 27.
과거 국내에서는 스파이웨어에 대한 이렇다할 정의가 없었지만 2005년도경 당시 정보통신부에 의해 "스파이웨어 기준"안이 발표되었고 뒤를 이은 방송통신위원회에 역시 "스파이웨어 사례집"이 발표되어 한 번의 업데이트 이후 현재까지 해당 사례집이 사용되어 오고 있다.

앞에서 언급한 "스파이웨어 사례집 문서들"에서는 스파이웨어를 구분하는 가장 큰 부분으로 "용자 동의" 라는 점을 언급하고 있다.

최근에 와서는 이러한 부분을 악용한 스파이웨어 제작 업체들은 "사용자 동의를 받는 척" 하는 방식으로 사용자를 기만하기 시작했다.

예를 들면 사용자 약관을 읽어보기 힘들게 만들거나 불공정 약관을 사용하는 방식 등이 있다. 이렇게 적절하지 못한 사용자 동의를 구한 후 프로그램을 설치하는 것에 대해 불편해하는 여론을 스파이웨어 제작 업체들이 느낀것으로 보여진다.

최근에 와서는 더욱 교활한 방법으로 사용자들을 속이고 있다는 점들은 다수의 스파이웨어들을 분석하는 과정에서 어렵지 않게 파악되고 있다.

예를 들어 DNS 라운드 로빈(Round-Robin) 방식에 의해 임의로 부여받은 아이피(IP) 에 따라 혹은, HTTP 프로토콜 내부에 존재하는 User-Agent 또는 Referer 값에 따라 사용자 동의 절차 수행 여부를 결정하게 동작하는 것이다. 이 밖에도 단축 URL 로 접근했을 경우에만 엑티브엑스(ActiveX) 컨트롤을 이용해 프로그램이 설치되는 사례를 보았다는 글들도 인터넷에 찾아 볼 수가 있다.


위 이미지는 최근에 분석한 특정 스파이웨어가 지금도 배포되고 있는 웹사이트에서 확인할 수 있는 자바 스크립트 코드 일부분으로서 사용자 동의 절차가 옵션으로 처리 되어 있다.

위 이미지의 코드 일부분에서와 같이 isAgree() 라는 함수의 입력값으로 "agree" 가 전달되면 사용자 동의창이 보이지만 아래 주석으로 처리된 isAgree() 함수에 빈 문자열을 전달하는 것을 활성화 시켰을 때는 사용자 동의 절차 없이 스파이웨어가 설치되는 것이 확인되었다.

결국 스파이웨어의 판단에 있어서 중요한 기준 중 하나인 사용자 동의를 옵션으로 처리하여 특정 조건에서만 사용자 동의 창을 보여주고 있어 이는 보안 업체들의 진단을 우회하기 위한 하나의 방법이라고 할 수 있다.

이렇게 다양한 방식으로 유포되는 스파이웨어와 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글0