컴맹을 위한 보안기초정보..

하나만 설치돼도, 스파이웨어가 동시에 ‘와르르’

지리산.. 2007. 10. 18. 11:45
안철수연구소 [2007/08/22] 목록보기 
하나만 설치돼도, 스파이웨어가 동시에 ‘와르르’ 조회수   19871  
최근 하나만 설치돼도 여러 개의 다른 스파이웨어를 동시에 설치하는 ‘다운로더’형 스파이웨어가 급증하고 있어 사용자들의 주의가 요망된다.

안철수연구소 ASEC 리포트 최신호에 따르면 일반 사용자들이 ActiveX 컨트롤 설치 시 보안경고창이 나타날 때마다 좀더 신중한 자세로 받아들이게 되자 스파이웨어 제작/배포 업체들은 ‘다운로더와 번들’이라는 다른 유포 방식으로 변신을 시도하고 있다고 발표했다.

실제로 안철수연구소 ASEC이 집계한 7월의 스파이웨어 피해 현황을 살펴보면 다운로더에 의한 피해 신고가 5월 122건, 6월 139건에서 7월 232건으로 급증했다.

기존 스파이웨어의 경우에는 동일한 스파이웨어나 그 변형만을 설치하는 업데이트 성격이 강했다. 그러나 최근에 나타난 스파이웨어는 특정 웹 사이트에서 설치 목록과 다운로드 경로를 내려 받아 사용자의 시스템에 다수의 스파이웨어를 설치하는 것. 이러한 다운로더에 의해 설치된 경우, 스파이웨어/애드웨어를 제거한다고 하더라도 본체가 제거되지 않으면 서버에서 새로운 다운로드 목록을 등록해 언제든지 스파이웨어/애드웨가 다시 설치될 수 있기 때문에 사용자들이 많은 피해를 입게 된다.

이 같은 배포방식의 변화는 정부기관 및 안철수연구소와 같은 보안업체에서 액티브X 컨트롤 설치 시 주의사항을 꾸준히 알려왔고, 사용자들이 이를 신중한 자세로 받아들이자 스파이웨어 제작/배포업자들이 다른 방법이 필요해진 것으로 추정된다.

이에 스파이웨어 제작/배포업자들은 설치 배당금을 목적으로 번들 설치를 위한 다운로더를 적극적으로 이용하기 시작한 것. 또한 다운로더도 사용자 및 안티바이러스, 안티스파이웨 어프로그램과 같은 보안프로그램이 인지하지 못하도록 다양한 변형을 양산하고 있다. 이들 다운로더는 코드를 숨기는 등 악성적인 방법을 사용하고 있어 사용자들이 삭제하는데 어려움을 겪고 있다.

특히, 일부 허위 안티스파이웨어의 경우에는 서로 다른 제품의 스파이웨어를 각각의 제어 서버에서 다운로드하여 설치하는 것은 물론, 자신이 다운로드하여 번들로 설치하는 애드웨어를 진단하고 이를 제거하기 위해 유료 결제를 유도하는 악의적인 방법을 사용하기도 한다.

이들 다운로더형 스파이웨어도 기존 스파이웨어의 배포방법과 동일하게 낚시 글을 이용하거나 P2P 프로그램의 번들 형식으로 사용자 동의 없이 설치된다.

그러므로 이러한 스파이웨어로부터 피해를 입지 않기 위해서는 웹 사이트 방문 시 보안경고창이 뜨면 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의해야 한다. 현재 방문한 웹 사이트가 안전한 것인지, 다운로드 받아야 하는 파일이 안전한지를 알려주는 안철수연구소 빛자루의 ‘사이트보안’과 같은 보안툴을 적극 활용하는 것도 좋은 방법이다. 또한 신뢰할 수 있는 보안업체의 안티바이러스 및 안티스파이웨어 제품을 반드시 설치해 실시간 감시 기능을 이용해야 한다. 그리고 무엇보다 보안 패치를 최신 버전으로 유지하는 것이 중요하다.@

[안철수연구소 2007-08-22]