포털 웹 사이트는 무료 홈페이지나 블로그, 카페, 미니홈피 등 다양한 무료 서비스를 제공한다. 본 고에서는 무료로 제공되는 이러한 서비스를 통해 악성 스파이웨어가 어떻게 배포되고 있는가를 실제 사건을 통해 알아본다.
S 포털 사이트에서 블로그를 꾸리고 있는 Goooood라는 닉네임의 블로거는 "스파이웨어 사건 X 포털사의 대응 - 완결"이라는 제목의 포스트를 통해 X 포털사 고객 센터의 불량한 응대 태도를 비판했다.
그는 예전에 특정 웹 페이지로 이동하게 만든 후 프로그램을 설치하게 만드는 스팸 메일을 받았는데, 이 스팸 메일이 특정한 프로그램을 설치하게 만들기 때문에 '스파이웨어'라고 판단하고 사이버테러대응센터에 신고를 했다. 그러나 막상 해당 부서에서는 처리가 되지 않았고 인터넷 서비스 공급 업체에서 자체적으로 해당 홈페이지를 폐쇄시켰다.
며칠 후 그는 똑같은 일이 또 다른 포털 사이트의 홈페이지를 통해 벌어졌다는 것을 확인하고 이번에는 포털 사이트의 고객 센터로 신고를 했다. 그러나 신고를 한 지 한 달이 지났지만 신고를 받은 포털 사이트 무료 홈페이지에는 여전히 해당 홈페이지가 존재하고 있다는 것을 보고, 한 달간의 노력을 마무리하는 글에서 "공무원과 X 포털사 직원의 상관관계는?"이라는 자조적 질문을 던지고 있다.
정말 스파이웨어인가?
필자는 Goooood님이 '스파이웨어'라고 단정했던 그것이 정말 '스파이웨어'인 지 증명해 보기로 했다. 일단 그 프로그램이 배포되는 웹 페이지를 방문해 보았다. 웹 페이지는 "영상 메일의 필수 코덱"이라는 제목이 붙어 있었다.
[그림 1] 스파이웨어를 배포하고 있는 홈페이지
이 사이트를 방문하면 AutoCodec.cab라는 파일을 자동으로 설치하도록 메시지가 나타난다. 확장자 cab는 캐비넷이라고 읽는데 일종의 압축 파일이다. 알집과 같은 압축 프로그램을 사용하거나 윈도우 자체에서 이 확장자를 더블 클릭하면 압축된 내부 파일을 볼 수 있다. AutoCodec.cab의 내부에는 다음과 같은 2개 파일이 존재했다.
ADNet.inf
ADNet.ocx
확장자 inf는 윈도우에서 프로그램을 설치하기 위한 정보를 담은 텍스트 파일이기 때문에 신경을 쓸 필요가 없다. 그러나 ocx 확장자는 실제 어떤 프로그램을 의미한다. ADNet.ocx 이 어떤 역할을 하는 프로그램인가에 대해서 정확히 알 지 못한다면 이것이 정말 '스파이웨어'인 지 아니면 이름 그대로 "코덱 설치 파일"인 지 알 수 없다.
ADNet.ocx 프로그램을 편집기에서 열어 보니 몇몇 텍스트로 된 문자열을 찾을 수 있었다. 그 가운데 아래와 같이 특정한 프로그램을 설치하도록 하는 부분이 발견되었다.
http://client.***update.com/client/?mode=download %s\system32\%s exeup.exe http://%s/%s down.auto-codec.com Webgen.exe %s\%s.exe
조사를 더 해 보니, ADNet.ocx라는 프로그램은 client.***update.com이라는 사이트에서 배포하는 exeup.exe라는 파일을 컴퓨터에 설치하도록 만든다. exeup.exe라는 프로그램이 어떤 역할을 하는 지 확인할 수 없으나 그것을 배포하는 ***update.com이라는 웹 사이트는 어딘지 바로 확인할 수 있었다. 바로 인터넷 키워드 사업을 하고 있는 A사의 이용 약관 페이지가 열렸다.
한편 이 파일 안에는 또 다른 설치 프로그램이 존재했다. Auto-Codec.com이라는 사이트에서 Webgen.exe라는 파일을 다운로드하여 설치하도록 되어 있다. 이 프로그램 코드 안에는 500 여개가 넘는 주요 웹 사이트의 주소가 기록되어 있었다.
여러가지 조사를 하고 무료 홈페이지를 통해 강제로 설치되도록 하는 프로그램을 직접 설치해 본 결과 A사에서 제공하는 인터넷 키워드 플러그인이 설치되는 것을 확인할 수 있었다.
실제로 이 불법 프로그램이 설치되고 나면 아래 그림과 같이 브라우저 주소창에 한글로 키워드를 입력해서 엔터 키를 눌렀을 때 ilike*****.com이라는 사이트에서 검색 결과가 출력된다. 이 사이트는 이런 식으로 사용자가 브라우저의 주소창에 키워드를 입력했을 때 그 결과를 자신의 웹 사이트에서 보여 주고 그로 인해 돈을 번다. 추측컨데 이 회사는 A사의 프로그램을 구매하거나 입수하여 자신의 웹 사이트에 적용시킨 것 같다. 일단 이 회사가 A사와 직접 관련이 있다는 근거는 찾을 수 없었다.
[그림 2] 스파이웨어가 설치되면 이동하는 사이트
프로그램을 설치한 후 애드웨어 제거 프로그램으로 컴퓨터를 검색해 보니 아래 그림처럼 Adnet.ocx 파일을 애드웨어로 검색했다.
이 프로그램으로 해당 파일을 삭제해 버리니 다시 주소창에 키워드를 입력했을 때 이번엔 애드웨어 제거 프로그램에서 공급하는 검색 결과가 나타났다. 도대체 내 컴퓨터에서 이들이 무슨 짓을 하고 있는 건지 굉장히 짜증스러웠다.
도대체 내 컴퓨터에서 무슨 일이 벌어지는건지?
A사는 이 플러그인의 배포에 대한 약관에서 "자사 프로그램을 구매하여 배포하는 사업자는 본 서비스와는 무관하다"고 기술하고 있다. 이런 식으로 강제로 사용자의 컴퓨터에 프로그램을 설치하도록 하는 것은 명백한 법률 위반이지만 이에 대해 프로그램을 공급한 A사는 책임이 없다. 도의적 책임은 있겠으나 법률적인 책임이 없는 것은 분명해 보인다.
결국 여러가지 조사를 통해 문제가 되었던 이 프로그램은 사용자의 허락을 받지 않고 특정 목적의 프로그램을 몰래 설치하는 '스파이웨어'임이 드러났다.
지금 이 순간도 이런 수익 모델과 돈에 눈이 먼 수 많은 악성 스패머들이 홈페이지와 블로그, 카페 등을 통해 '스파이웨어'라고 불러도 무방한 프로그램 강제 배포를 하고 있다. 누구의 잘못인가? 혹은 누구의 책임인가? 이런 현실에 대해 실정법에서 처벌할 수 있는 사람은 단지 배포자일 뿐이다. 심지어 이 '스파이웨어'로 인해 실질적인 돈을 벌어 들이고 있는 회사도 책임을 지지 않는다. 그들은 단지 "우리가 그런 걸 요구하지 않았다"고 주장하면 그만이다. 법률이 현실을 전혀 따라잡지 못하고 있다.
그러나 최소한 이런 주장은 할 수 있다. 문제의 웹 페이지를 보존하고 있는 포털 사이트는 즉시 해당 사이트를 폐쇄해야 한다. 또한 실정법을 위반하며 사용자의 컴퓨터에 강제로 프로그램을 설치하고 있는 관련자는 즉시 이런 행동을 중지해야 한다. 그로 인해 돈을 벌고 있는 관련 업체도 이런 배포자를 제어해야 한다. 물론 그들은 "우리가 시킨 일은 아니다"라고 주장하겠지만.
이 문제의 시작은 X 포털사 측에서 해당 홈 페이지를 폐쇄하지 않고 신고 후 한 달 이상 방치하고 있다는 한 블로거의 주장에서였다. 그러나 문제의 근본에는 사용자에게 '스파이웨어'를 설치하게 만들고 쉽게 돈을 벌려는 사람들이 있다. 개 같이 벌어 정승같이 쓴다는 말이 있지만 이 속담은 이제 바뀌어야 한다.
개처럼 번 돈은 개처럼 쓰기 마련이다.
/ 블루문 (ZDNet Korea 대화형 컨텐츠 아스피린 하우스 운영)
* 이 기사는 제휴 컨텐츠 제공업체인 ZDNet Korea의 대화형 컨텐츠 사이트 아스피린 하우스에 게재된 내용을 각색, 정리한 것이다. 문의사항이 있으면 블루문의 이메일 bluemoon@tracezone.com로 보내면 된다.
|
|
