분석 정보/악성코드 분석 정보

[주의]바이러스가 포함된 보안서비스의 불편한 진실

TACHYON & ISARC 2012. 4. 4. 11:28
1. 개요


잉카인터넷 대응팀은 nProtect 고유 브랜드와 유사한 이름의 국내 특정 프로그램이 일명 Virut 이라는 진단명을 가진 파일 바이러스에 감염된 상태로 장기간 무단 방치되고 있는 것을 확인하였다. 해당 프로그램은 개인정보 무단유출에 대한 보호 기능을 제공하는 형태로 서비스되고 있고, 제품 홈페이지에 삭제프로그램도 제공하고 있으나, 해당 파일에도 바이러스가 감염되어 있어 각별한 주의가 필요하다. 고의적이든 실수이든 결국 보안프로그램 스스로가 컴퓨터 바이러스를 배포하는 상황이기 때문에 보안 관리가 총체적으로 부실한 상태로 보여진다.



수년 전부터 국내 유수의 웹 사이트들에 대한 다수의 해킹사고로 다량의 고객정보가  빈번히 유출된 바 있고, 무분별한 자료 보관과 과도한 개인정보 수집 등으로 다양한 부작용과 사회적인 문제로 대두된 바 있다. 이에 지난 2011년 09월 30일자로 개정된 개인정보보호법이 약 6개월 간의 계도기간을 거쳐 2012년 03월 30일부터 본격 시행되고 있으며, 홍보 및 계도기간이 종료된 이후부터는 법 위반시 바로 처벌대상이 될 수 있다.

이에 개인정보 유출 방지와 관련된 다양한 보안 서비스가 등장하고 있는데, 이러한 프로그램은 사용자가 컴퓨터에 편의상 무의식적으로 보관하고 있는 주민번호나 신용카드 번호, 사생활용 개인정보를 정확하게 검색하고 알려주는 긍정적 측면도 있지만, 반면 유사프로그램 중 일부는 사용자 컴퓨터에 정상적으로 존재하는 쿠키나 임시파일 또는 단순 설정파일만을 탐지한 후 마치 위험한 파일로 분류하여, 유료 과금 결제를 유도하는 경우도 종종 있으므로, 사용자 스스로 꼼꼼하게 진단내역을 살펴보는 노력을 기울여야 한다.

□ 한국인터넷진흥원 개인정보보호 : http://privacy.kisa.or.kr
□ 행정안전부 개인정보보호 종합지원 포털 : http://www.privacy.go.kr


2. 배포 및 감염 과정

해당 파일들은 개인정보 보호 전문프로그램으로 소개되고 있는데, 이상하게도 설치 과정 시 사용자 컴퓨터의 물리적 네트워크 정보인 MAC 주소를 해당 웹사이트의 서버로 전달 시도하는 과정을 수행한다. 개인정보를 보호하는 취지와는 부합되지 않고 오히려 사용자의 정보를 외부에서 수집하는 이면성을 가지고 있다고 할 수도 있다.

http://www.일부생략.co.kr/app_linkage/app_setting.php?mac=00-03-(일부생략)-B4-43
http://www.일부생략.co.kr/app_linkage/app_install.php?addr=00-03-(일부생략)-B4-43&ptn=admin
http://www.일부생략.co.kr/popup_settle.html?addr=00-03-(일부생략)-B4-43


이후에 다음의 경로에서 업데이트를 수행하는데, 이 과정에서 Virut 바이러스에 감염된 모듈이 추가로 설치된다. Virut 바이러스는 정상적인 실행파일(EXE, SCR) 형태를 감염시키는 기생형 바이러스의 종류로 정상적인 내부 코드가 변경되기 때문에 전문 치료 기술을 보유한 Anti-Virus 프로그램으로 치료를 하여야 하는 종류이다. 

http://down.일부생략.co.kr/update.php
http://www.일부생략.co.kr/app_linkage/app_boot.php?ver=.0.4.5.3
http://down.일부생략.co.kr/rptupdater.exe - Virut 바이러스 감염
http://down.일부생략.co.kr/rpthk.dll
http://down.일부생략.co.kr/rptuninst.exe - Virut 바이러스 감염
http://down.일부생략.co.kr/rptwcher.exe - Virut 바이러스 감염
http://down.일부생략.co.kr/rptpopd.dll
http://down.일부생략.co.kr/rprotector.exe - Virut 바이러스 감염

진단된 내역은 대부분 임시파일, 인터넷 방문기록, 인터넷 쿠키, 최근문서 기록 등으로 특별히 악용 가능이 높지 않으며, 대부분 인터넷 사용시에 생성되는 파일들이다.

 


물론, 인터넷 사용 기록이나 일부 파일들이 외부에 노출될 경우 사생활 침해의 우려가 있을 수도 있지만 대부분 인터넷 옵션 등을 통해서 검색 기록 등을 쉽게 제거할 수 있으니, 이런 기능을 활용하는 것도 좋은 방법이다.


프로그램을 소개하고 있는 공식 웹 사이트에서는 삭제 프로그램도 별도로 제공하고 있는데, 이 파일도 역시 Virut 바이러스에 감염된 상태로 배포가 이루어지고 있는 실정이다. 따라서 삭제 프로그램을 다운로드하는 사용자는 바이러스에 감염될 수 있는 보안 위협에 노출되게 된다.

잉카인터넷 대응팀은 해당 유포지에 대한 신속하고 원활한 조치를 위하여 한국인터넷진흥원(KISA) 등 유관기관에 관련 정보를 제공한 상태이다.

 

3. 마무리

프로그램 개발자는 자신이 만든 프로그램이 보안상 무결성한 상태인지 반드시 품질 검증 절차를 거쳐야 한다. 바이러스에 감염된 모듈을 무기한 방치하거나 일반 사용자에게 직간접적으로 배포할 경우에는 도의적 책임을 져야 하기 때문이다. 또한, 개인사용자들의 경우에는 가급적 중요 정보를 컴퓨터에 보관하지 않도록 하고, 부득이하게 컴퓨터에 보관할 경우 암호화(압축)하여 보관하도록 하는 노력이 필요하다.

아울러 Virut 바이러스에 감염된 경우는 nProtect Anti-Virus 최신 버전으로 진단/치료가 가능하다.


그외에 다음과 같은 기본적인 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크(단축URL) 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.