백신의 탈을 쓴 악성코드 & 무늬만 백신인 가짜 주의하세요

시만텍이 함량미달의 불량 백신과 백신을 가장한 악성코드의 현황과 기법을 분석한 보안 위협 보고서를 발표했다. 보고서에 따르면 2009년 6월까지 발견된 가짜 보안 소프트웨어가   250여 종에 달하고, 상위 50대 가짜 보안 소프트웨어의 거짓 문구를 보고 다운로드한 사례가 93%에 달하는 것으로 알려졌다.

스케어웨어(scareware) 불리는 가짜 보안 소프트웨어는 사용자의 컴퓨터가 위험에 노출되었거나 감염되었다는 거짓 메시지를 보여주며 결재를 유도해 사용자에게 금전적인 손실을 초래한다. 아울러 구매 과정에서 개인 정보와 신용카드 정보 등을 탈취해, 개인정보가 거래되는 암시장에 판매하거나 개인정보를 도용하는 피해를 입을 수 있다는 것이 시만텍의 설명이다.

특히 일부 스캐어웨어 중에는 멀쩡한 PC에 일부러 악성코드를 설치하고 이를 진단하는 것 처럼 사용자를 속이는 경우도 있어 주의 해야 한다. 가짜 보안 소프트웨어에 의한 피해가 가장 많은 곳은 북미(61%) 지역으로 유럽 및 중동아프리카(31%), 아태 및 일본(6%), 남미(2%) 순으로 피해를 본 것으로 분석됐다.

자세한 내용은 시만텍이 제공한 아래의 '가짜 보안 소프트웨어 분석 보고서' 주요 내용을 참고하길 바란다. 아울러 '시만텍 ‘가짜 보안 소프트웨어 분석보고서(The Symantec Report on Rogue Security Software)(영문)'를 통해 더욱 상세한 정보를 확인할 수 있다.

시만텍' 가짜 보안 소프트웨어 분석 보고서' 주요 내용

일명 '스케어웨어(scareware)'로도 불리는 가짜 보안 소프트웨어는 '안티바이러스 스캐너'나 '레지스트리 클리너'와 같은 합법적인 보안 소프트웨어처럼 보이지만 실제로는 전혀 보안 기능을 제공하지 않으며, 때로는 악성코드의 설치를 용이하게 해 보안 수준을 오히려 약화시킨다. 가짜 보안 소프트웨어가 사용자 컴퓨터에 설치되는 유형은 크게 두 가지로 나눌 수 있다. 첫째, 사용자가 해당 프로그램이 합법적인 것이라고 믿고 직접 수동으로 다운로드 설치하는 경우와 둘째, 불법 애플리케이션을 다운로드 설치하기 위해 제작된 불법 웹사이트를 방문했을 때 사용자도 모르게 자동으로 컴퓨터에 설치가 된 경우가 있다. 사이버 범죄자들이 이러한 범죄를 저지르는 원동력은 다름아닌 '수익'이다.  이번 조사 결과, 상당수의 사이버 범죄자들은 가짜 보안 프로그램 설치를 유도하기 위해 주로 불안감을 조성하거나, 사회공학적(social engineering) 기법을 사용하는 것으로 나타났다. 경로도 웹사이트의 스팸메일 광고, 팝업 광고, 배너 광고는 물론, 인스턴트 메시징 프로그램, 소셜네트워킹 사이트, 스폰서 광고 형태의 검색 엔진 결과에 이르기까지 광범위하다. 이러한 가짜 보안 소프트웨어의 가격은 30달러에서 100달러 선이다. 가짜 보안 소프트웨어는 일단 설치가 되고 나면 결제를 유도하기 위해 컴퓨터가 전혀 문제가 없을 지라도 보안 상태나 성능에 대해 의도적으로 틀린 정보를 제공한다. 이러한 가짜 보안 소프트웨어는 끊임없이 팝업창이나 작업표시줄 팝업 아이콘을 띄우거나 다른 경보를 이용해 컴퓨터 사용자에게 프로그램의 정식 버전이나 1년 사용권을 구매할 필요가 있다고 권고한다. 심지어 가짜 보안 소프트웨어는 보안 위협 요소가 삭제되었다는 보고서를 보여주면서 동시에 해당 컴퓨터에 추가적인 보안 위협을 심어두기도 한다. 가짜 보안 소프트웨어는 최대한 합법적으로 보이기 위해 믿어도 괜찮을 것 같은 이름(Virus Remover 2008, AntiVirus Gold)이나 현재 유통되는 보안 소프트웨어의 이름을 모방하기도(Nortel) 한다. 온라인 사기에 사용되는 웹사이트, 팝업 창, 알림 아이콘 등 또한 합법적인 안티바이러스 소프트웨어 프로그램을 모방해 진짜와 거의 유사하게 만들어 컴퓨터 사용자들을 속이고 있다. 가짜 보안 소프트웨어는 대개 이미 개발된 프로그램의 브랜드를 변경하거나 복제된 버전 형태를 하고 있다. 복제가 쉽게 이루어지는 것은 시중에서 합법적인 보안 기업이 내놓은 오리지널 버전을 구할 수 있을 뿐만 아니라, 복제품 가운데 몇 개는 탐지를 피할 수 있지 않을까 하는 희망을 가지고 있기 때문이다. 하지만 이런 복제 프로세스는 보안 소프트웨어의 이름, 로고, 이미지를 바꾸는 수준에 머문다. 또한 보안 당국의 조사를 피하기 위해 종종 도메인 등록 정보나 회사명을 변경하는 수법을 사용하고 있다. 가짜 보안 소프트웨어 설치로 발생하는 큰 문제 가운데 하나는 컴퓨터 사용자가 가짜 보안 소프트웨어를 진짜라고 믿고 본인의 컴퓨터가 악성코드로부터 보호받고 있다는 믿음을 갖게 하는 것이다. 가짜 보안 소프트웨어는 악성 보안 위협이 제거되었고 완벽하게 보호받고 있다고 보고서를 제공하지만 사실은 그 반대이다. 뿐만 아니라 일부 가짜 보안 소프트웨어는 합법적인 보안 기업의 웹사이트에 들어가는 것을 차단해 사용자가 문제의 가짜 소프트웨어를 제거하는 것을 방해한다. 금전적 손실과 같은 1차적인 피해 이외에도 등록과정에서 사용자가 제공한 개인 신상 정보나 신용카드 정보는 추가적인 사기 행위에 사용될 가능성이 높아 더 위험하다. 공격자가 컴퓨터 사용자를 속이기 위해 사용하는 방법은 스팸, 웹사이트 광고, 검색 엔진 결과 조작 등 다양한 것으로 조사되었다. 또, 실행 파일의 이메일 전송, 트로이목마나 드라이브 바이 다운로드(drive-by download)를 통한 악성코드 설치, 또는 사기를 목적으로 제작한 웹사이트를 이용한 자발적인 다운로드 유도 등의 기법을 통해 이러한 사기성 활동이 확산되고 있다. 가짜 보안 소프트웨어 제작자들은 보통 가짜 보안 소프트웨어 배포를 위해 회원 중심으로 조직적으로 활동하며, 설치에 따른 성과급 지급 형태의 비즈니스 모델을 채택해 범죄의 확산을 독려하고 있다. 이러한 온라인 범죄 활동에 동참을 희망하는 사람들은 배포 사이트에 회원으로 등록하면 광고, 악성코드 동작 파일, 이메일 템플릿 등 가짜 보안 소프트웨어를 배포하고 마케팅하는 툴들을 쉽게 구할 수 있다. 가담자들은 가짜 보안 소프트웨어가 1건 설치될 때마다 사전에 정해진 금액을 지급받는데, 보수는 건당 1센트~ 55센트로 지역, 설치 유형, 배포 웹사이트에 따라 그 수준이 다양하다. 회원들은 1일 500건 이상의 설치 초과시 10%, 2,500건 설치 초과시 20% 보너스와 같은 인센티브도 지급받는 것으로 조사되었다. 시만텍은 현재까지 총 250개의 가짜 보안 소프트웨어를 탐지해냈으며, 이 가운데 이번 보고서에는 지금까지 가장 많이 보고된 상위 50개의 가짜 보안 소프트웨어를 중점적으로 분석했다. 50개 가운데 38개의 가짜 보안 소프트웨어는 2008년 7월 1일 이전에 탐지가 된 것들이다. 이러한 가짜 보안 소프트웨어의 확산은 잠재 희생자들에게 지속적인 위협이 되기 때문에 그 위험도가 더 크다. 시만텍의 조사 결과, 단지 250개의 가짜 보안 소프트웨어 프로그램 샘플에서 무려 4천 3백만 건에 달하는 설치 시도를 보고 받았다. 시만텍' 가짜 보안 소프트웨어 분석 보고서' 주요 내용 - 2009년 6월 기준으로 시만텍이 탐지한 가짜 보안 소프트웨어 수는 전세계적으로 250개를 넘어섰으며, 상위 5대 가짜 보안 소프트웨어는 SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus로 조사되었다. - 가짜 보안 소프트웨어를 설치하는 소비자가 입는 일차적인 금전적 손실은 30~100달러선으로 낮은 편이지만, 개인정보 도용 등 추가적으로 발생가능한 문제를 감안하면 실제 피해규모는 훨씬 더 크다. 설상가상으로 일부 가짜 보안 소프트웨어는 사용자 컴퓨터에 악성코드를 설치해 추가적인 보안 공격까지 초래할 수 있다. - 범죄를 목적으로 만들어진 가짜 웹사이트뿐만 아니라 블로그, 포럼, 소셜 네트워킹 사이트 등과 같은 합법적인 웹사이트도 온라인 사기 범죄에 이용되고 있다. 진짜와 유사하게 정교하게 제작한 프로그램 인터페이스 화면이나 사이트 디자인으로 컴퓨터 사용자들을 감쪽같이 속이고 있다. - 가짜 보안 소프트웨어 프로그램의 93%는 사기를 위해 개발한 전용 웹사이트를 통해 광고 되었으며, 52%는 웹 광고를 홍보에 이용했다. - 가짜 보안 소프트웨어 배포 사이트를 조사한 결과, 범죄가담자들이 받는 보수가 가장 높은 지역은 미국으로 평균 55센트를 받았다. 미국 다음으로 영국과 캐나다가 52센트, 호주가 50센트를 받은 것으로 조사되었다. - 시만텍은 조사 기간 동안 파악된 250개의 소프트웨어 프로그램 샘플에서 무려 4천 3백만 건에 달하는 가짜 보안 소프트웨어 설치 시도를 보고 받았다. - 상위 50개 가짜 보안 소프트웨어 가운데 사기 범죄가 가장 빈번하게 발생하는 지역은 북미(61%)로 나타났으며, 유럽 및 중동아프리카(31%), 아태 및 일본(6%), 남미(2%)가 뒤를 이었다. - 가장 흔하게 사용되는 배포 수단은 사용자의 자발적인 다운로드로, 탐지된 50개 가짜 보안 소프트웨어의 설치 시도 중 93%가 사용자 본인의 의사에 따라 다운로드된 것으로 나타났다. 또 76%는 본인도 모르게 다운로드된 것으로, 대부분의 경우 이 두 가지 방법이 함께 사용되고 있는 것으로 조사되었다. - 가짜 보안 소프트웨어의 경우 사이버 범죄를 위해 제작된 전용 웹사이트가 가장 흔하게 사용하는 광고 수단으로 관측되었으며(93%), 두 번째로 널리 사용되는 것이 웹 배너 광고로 나타났다(52%). - 2009년 7월부터 8월까지 2개월간 시만텍이 파악한 가짜 보안 소프트웨어의 호스팅 서버 가운데 53%가 미국에, 11%가 독일에 위치한 것으로 관측되었다. - 시만텍은 2009년 7월부터 8월까지 2개월간 가짜 보안 소프트웨어와 연관된 194,014개의 도메인 이름을 파악했다. - 관측된 가짜 보안 소프트웨어 도메인들은 다음과 같은 다양한 보안 공격을 감행한 것으로 조사되었다. 다양한 종류의 악성 컨텐츠 제공(26%) / 브라우저 익스플로이트 시도(13%) / 드라이브 바이 다운로드 설치(1%) / 트로이목마 설치(1%) / 스파이웨어 설치(1% 미만)