사례분석을 통해 배우는 스파웨어 판정
게시일: 2005/09/22 | 글쓴이: doa | 9118 번 | 프린트 | 메일


얼마전 이세상 최고의 spyware 관련 유틸리티는?라는 글이 올라왔다. 요즘 컴퓨팅 환경을 위협하는 주범이 악성 스파이웨어이다보니 관심도 많고 답글도 많이 달려 필자의 경험을 중심으로 최고의 스파이웨어 제거 프로그램이라는 팁을 올렸다.

사실 사용자들은 이러한 프로그램을 지나치게 맹신하는 경향이 있다. instant sourece 가 keylogger ?라는 글을 보면 몇몇 스파이웨어 프로그램이 Instant Source를 키로거로 분류하기때문에 걱정하는 것 역시 볼 수 있다.

설사 신이 만든 프로그램이라고 해도 버그는 있으며 아무리 좋은 프로그램이라고 해도 스파이웨어를 오진 할 수 있다. 따라서 가장 좋은 방법은 스파이웨어 프로그램이 검출한 결과를 사용자 스스로 스파이웨어인지 아닌지 판정할 수 있는 능역을 기르는 것이 보다 현명한 방법이다.

그러나 모든 사람에게 동일한 스킬을 요구할 수 없으므로 오늘은 최고의 스파이웨어 제거 프로그램에서 미처 설명하지 못한 PCFree, AV-Scan으로 스캔한 결과와 이 결과가 과연 올바른 결과인지 사례별로 분석해 보도록 하겠다(기립 박수).

PCFree는 요즘 많은 사람들에게 좋은 평가를 받는 프로그램이다. 필자의 경우 PCDo4의 홈페이지 를 방문했다가 PCDo4의 게시판에서 이 프로그램을 알았다주1. 사람들의 평가많큼 좋은 결과가 나타나는지 궁금해서 PCFree를 다운받아 실행해봤다. 그림에서 알 수 있듯이 필자의 컴퓨터에서 총 10개의 스파이웨어를 잡아냈다.



이제 PCFree가 잡아낸 10개의 스파이웨어를 사례별로 나누고 분석하도록 하겠다.

I. 파일만 잡아내는 경우
  • 실행 파일을 잡아내는 경우
    Spyware/SearchPounder
    C:\WINDOWS\unins000.dat, C:\WINDOWS\unins000.exe
    기능이 떨어지는 스파이웨어 프로그램의 공통적인 특징은 설치/삭제 프로그램까지 무조건 스파이웨어도 분류한다는 점이다. 이 두개의 파일은 마우스오른쪽 버튼메뉴라는 질문에 답하기위해 필자가 설치한 프로그램으로 바탕화면 아이콘 배치 되살리기에서 소개한 Layout.dll을 자동으로 설치해주는 프로그램에 불과하다.



    위의 그림에서알 수 있듯이 unins000.dat 파일에는 Layout.dll의 설치 정보와 삭제를 위해 Uninstall 키를 참조하고 있는 것을 알 수 있다.

    Adware/Ventures
    Adware/TopRebates
    C:\WINDOWS\system32\Vic32.dll
    하나의 파일을 두개의 스파이웨어로 잡아내는 것을 보아 이 역시 파일의 연관성이나 파일 시그내처로 스파이웨어를 잡아내는 것이 아니라 단순한 파일명으로 스파이웨어를 잡아낸다고 보면된다.

    Adware/BargainBuddy
    C:\WINDOWS\system32\instsrv.exe
    이 프로그램 역시 프로그램을 서비스로 기동하기, 복제하는 더나은 방법, NT 4.0 리소스 킷, 부트시 특정 명령 수행하기등에서 소개한 프로그램으로 NT 리소스 킷에 포함되어 있는 파일로 스파이웨어와는 무관한 파일이다.

    판단 기준
    일반적으로 스파이웨어에 관련된 파일이 하드 디스크에 존재한다고 해서 위험할 것은 없다. 이런 파일들이 위험한 것은 이들 파일이 레지스트리(또는 파일)를 통해 사용자 몰래 실행되는 경우이다. 따라서 실행 파일을 스파이웨어로 검출했다면 해당 실행 파일이 레지스트리나 기타 파일(예: Win.ini)을 통해 사용자 몰래 실행되는지 확인하는 것이 우선이다. 아울러 실행파일과 그 실행파일의 실행 코드(예: 실행 레지스트리나 파일)가 제시되지 않는 경우 대부분 오진이다. 따라서 PCFree의 결과 역시 모두 오진이었다.


  • 실행 파일 이외의 파일을 잡아내는 경우
    Adware/CrackedEarth
    C:\WINDOWS\Downloaded Program Files\setup.inf
    실제 Setup.inf 파일의 내용을 확인해보면 어이없게도 Initech Secured Mass Mail Viewer ActiveX Control로 이니텍의 보안 메일 뷰어를 설치하는 설치 파일에 불과하다.



    판단 기준
    일단 확장자와 파일 내용이 일치하는지 확인(예: .INF의 경우 텍스트 파일)한 후 삭제하거나 무시하면된다. 해당 파일이 스파이웨어가 설치한 파일이라고 해도 무해한 파일이다. 사용자가 실수로 .INF 파일을 클릭해서 설치할 수도 있지만 스파이웨어 프로그램이 검진했을 때 내용만 확인해보면 된다.


II. 레지스트리만 잡아내는 경우
  • 중요한 레지스트리를 잡아내는 경우
    Adware/Ting
    키: HKCU\Software\Microsof\Windows\CurrentVersion\Policies\System
    값: DisableRegistryTools
    필자가 관리 도구를 제한하는 팁을 쓰면서 직접 입력한 값이다. 일부 악성 스파이웨어들이 레지스트리 편집기를 실행할 수 없도록 레지스트리를 변경하므로 이 값을 조사, 검출하는 것은 일견 타당해 보인다. 그러나 문제는 해당 스파이웨어와의 연관성을 고려하지 않고 단지 해당값이 존재한다고 스파이웨어로 검출하는 것은 명백한 오진이다.



    그림에서 알 수 있듯이 DisableRegistryTools 값은 0으로 설정되어 있므로 있으나 없으나 동일하다. 설사 이 값이 1로 설정되어 있다고해도 스파이웨어로 볼 수 없다. 그 유는 PC 방과 같은 곳에서는 레지스트리를 제한하는 경우가 많기때문이다. 따라서 위와같은 레지스트리가 존재하는 경우 반드시 값 데이타를 확인한 후 해당 레지스트리를 사용하는 스파이웨어와 관련 파일이 존재하는지 확인한 후 스파이웨어로 잡아내야 한다. 만약 이렇게 할 수 없다면 단정적으로 스파이웨어라고 검출하는 것보다는 스파이웨어일 가능성이 있는 항목으로 분류하는 것이 좋다. 이 결과 역시 PCFree의 오진이었다.

    판단 기준
    중요한 레지스트리이기 때문에 조금 신중한 판단이 필요하다. 첫번째로는 이런 레지스트리 항목을 직접 설정했는지 확인해야한다. 두번째로 이 레지스트리와 연관된 파일이 존재하는지 확인해야 한다. 본인이 직접 입력한 레지스트리라면 위의 결과는 무시해도 되며, 본인이 설치했는지 모르지만 해당 레지스트리에대한 연관 파일이 제공된다면 삭제하는 것이 좋다. 그러나 본인이 설치했는지 모르지만 레지스트리만 존재한다면 해당 레지스트리를 반드시 백업 후 삭제해야 한다.


  • 불필요한 레지스트리 잡아내는 경우
    Trojan/Perfect
    HKEY_CURRENT_USER\SOFTWARE\Blazing Tools\
    HKEY_USERS\S-1-5-21-796845957-2146943285-725345543-1040\Software\Blazing Tools\
    Instant Source가 생성한 두개의 레지스트리를 스파이웨어로 잡아내고 있다. 서로 다른 키 같지만 사실 동일한 키주2이며, 이런 점에서도 PCFree는 오진을 하고 있는 셈이다.
    Adware/C-Dilla
    HKEY_LOCAL_MACHINE\SOFTWARE\c07ft5y\
    상당히 많은 스페이웨어 프로그램이 이 키를 C-Dilla라는 스파이웨어로 검출한다. 그러나 실제 확인해보면 대부분이 이 키는 빈키인 경우가 대부분이다. 아마 스파이웨어 프로그램중 이 키를 사용하는 프로그램이 있는 것 같다.

    판단 기준
    사실 레지스트리만으로는 시스템에 아무런 위험을 끼치지 않는다. 이런 레지스트리가 문제가 되는 것은 이 레지스트리를 통해 특정 파일이 실행되는 경우이다. 따라서 Instant Source가 생성한 레지스트리를 스파이웨어 검출했다고 하면 당연히 IE의 BHO로 동작하는 Instant Source 메인 파일, isrc.dll까지 잡아내야 하며, IE를 실행할 때 isrc.dll을 IE의 BHO로 동작할 수 있도록 하는 HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{8BD5271D-69C9-4467-882D-5139952D7754} 키까지 잡아내야 한다.

    일부 스파이웨어가 이 키를 사용할 수는 있다. 그러나 그렇다고 해서 이 키가 스파웨어가 되는 것은 아니다. 일반적으로 이러한 키를 스파이웨어로 잡아낸다면 보통 무시해도된다.


III. 쿠키 외산 프로그램의 경우 트래킹 쿠키(정보 추적용 쿠키) 역시 심각한 스파이웨어로 분류하지만 국산 프로그램의 경우 대부분 트래킹 쿠키는 무시하는 경우가 많다. 사실 이런 쿠키의 대부분은 클릭율, 사용자가 사용하는 브로우저, OS등 그리 치명적이지 않은 정보를 전송하는 경우가 많다.

이러한 트래킹 쿠기가 싫다면 인터넷 옵션/임시 인터넷 파일/쿠키 삭제 버튼을 이용해서 주기적으로 지워주면 된다.

IV. Internet Shutcut 외산 프로그램의 경우 인터넷 바로가기도 스파이웨어나 하이재킹의 가능성이 있는 것으로 검출하는 경우가 많다. 이 경우 대부분 인터넷 바로가기 파일(.URL 파일)에 사이트의 URL외에 다른 정보가 포함된 경우가 많다. 대부분은 무시하고 사용해도 되지만 만약 불안하다면 사이트 URL을 제외한 정보를 모두 제거하고 사용하면 된다.

V. 맺음말 이상으로 PCFree를 이용해서 스파이웨어가 검출한 결과가 옳은지 그른지에대해 알아 보았다. 상당히 많은 사람들이 사용하고있고 또 업데이트 주기도 빨라 좋은 평을 듣고 있는 PCFree이지만 검색 결과는 아주 실망 스러웠다. 위의 설명에서 알 수 있듯이 10개의 스파이웨어중 스파이웨어로 볼 수 있는 것은 단 하나도 없었다.

대부분의 초보자들은 많은 스파이웨어를 검출하는 프로그램을 좋은 프로그램으로 알고 있다. 그러나 중요한 것은 많은 것을 검출하는 것보다 단 하나라도 정확히 검출하는 것이 중요하다. 만약 필자가 PCFree의 결과를 믿고 위의 항목을 모두 삭제했다면 어떤 결과가 발생할까?

  1. Spyware/SearchPounder: 프로그램 삭제가 되지 않는다.
  2. Adware/BargainBuddy: 서비스로 기동한 프로그램(Privoxy)이 동작하지 않는다.
  3. Adware/Ting: 관리도구 제한하기 중 레지스트리 제한이 동작하지 않는다.


위의 가상 시나리오에서 알 수 있듯이 스파이웨어 검출 프로그램을 섣부르게 사용하면 득보다는 해가되는 경우가 많다. 따라서 프로그램을 믿지 말고 자기 자신을 믿기바란다.

주1: PCDo4의 개시판 역시 유료화로 많은 누리개들에게 점령당했고 현재는 폐쇄된 상황이다. 참고로 PCDo4는 현재 1.5 버전으로 업데이트되었다.

주2: 사용자가 로그인하면 HKU\SID 키가 HKCU 키로 복사된다. 따라서 두개의 키에는 항상 동일한 값이 존재한다.


작업 관리자에서 시스템 종료 메뉴가 사라진 경우 내년이면 QAOS.com이 출범한지 10년... (7003) 2005-09-22
디스크 정리/오래된 파일 압축 사용 안 하기 디스크 정리의 오래된 파일 압축으로 압축... (13599)2005-09-22

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기



RSS 구독 (익명 | 회원 | 강좌 | 포럼)
(C) 1996 ~ 2017 QAOS.com All rights reserved.