악성 툴바로부터 PC를 보호하자

2012. 6. 25. 09:35취미 & 컴 * 잡기

얼마 전 추석 명절을 맞아 고향집을 찾았는데 가장 먼저 한 일은 그동안 컴퓨터에 설치된 각종 악성 프로그램을 제거하는 것이었다.

SpyZero를 실행해서 지난 몇 개월 사이에 설치된 많은 악성 프로그램을 찾아 치료했지만 일부 끈질긴 악성 프로그램들은 수동으로 삭제해줘야 했다.

컴퓨터 보안업계에 근무하다 보니 이렇게 주변 사람들로부터 컴퓨터가 이상해졌으니 점검해달라는 SOS 요청을 종종 받게 된다. 몇 년 전까지만 해도 웜 바이러스에 의한 컴퓨터 성능 저하, 인터넷 속도 저하 등에 대한 문의가 대부분이었지만 최근에는 컴퓨터를 부팅 못하게 하거나 중요 파일을 감염시켜 시스템에 피해를 주는 바이러스 종류가 아니라 사용자를 끈질기게 귀찮게하는 애드웨어나 스파이웨어에 대한 요청이 대부분이다.

여기서는 여러 종류의 악성 코드 중에서 웹 서핑에 사용되는 인터넷 익스플로러에 애드온(add-on) 형태로 설치된 이후 제대로 삭제되지 않는 악성툴바가 설치되는 것을 예방하고 몇 가지 예를 통해 툴바를 삭제하는 방법에 대해서 알아보도록 하겠다.

                                                              
                                                             
                                                  [그림1] 인터넷 익스플로러에 추가된 Search the web 툴바(상), 야후툴바(하)

툴바와의 만남

포털 사이트에서 '툴바 제거'라는 키워드로 검색해보면 많은 사용자들이 툴바가 삭제되지 않아서 도움을 요청하는 글들을 쉽게 찾을 수 있다. 대부분의 툴바는 인터넷 익스플로러의 기능을 확장할 수 있도록 제공되는 BHO(Browser Helper Object)라는 기술을 이용하고 있다. 원래의 취지에 맞게 사용자에게 보다 편리하고 다양한 서비스를 제공하는 좋은 툴바도 많지만 이를 악용하고 있는 악성 툴바들 때문에 많은 사용자들이 피해를 입고 있는 것이다.

 

[용어 설명] BHO(Browser Helper Object)
가장 많이 사용되는 웹 브라우저인 인터넷 익스플로러의 기능을 외부 플러그인을 이용해서 확장할 수 있도록 설계된 기술이다. 웹 브라우저의 툴바에 추가되는 등의 방법으로 사용자에게 다양한 추가 기능을 제공한다. 하지만 상업적이거나 악의적인 목적으로 사용되어 개인정보를 유출하거나 광고나 특정 사이트로 강제 이동하는 등의 기능을 수행하기도 한다.

인터넷 익스플로러는 실행될 때시스템의 레지스트리에서
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser
Helper Objects에 등록된 모듈들을 로드하도록 구현되어 있다. 이렇게 로드된 BHO 개체는 사용자가 인터넷을 서핑하는 과정에 참여하여 다양한 확장 기능을 제공할 수 있게 된다.

이러한 프로그램들은 어떠한 경로로 설치가 되는 것일까. 인터넷 사용 중에 악성 프로그램이 컴퓨터에 무단으로 설치되는 것을 막기 위해서 다음과 같은 창을 통해 사용자로부터 최종 확인 과정을 거치게 된다. 하지만 일반 사용자에게는 이것을 판단해야 하는 것이 매우 곤욕스럽고도 어려운 선택의 시간이다. 특히 툴바의 경우에는 사용자에게 인터넷사용을 더욱 편리하게 도와준다는 각종 미사여구로 포장되어 있어 무심코 설치를 허용하기 쉽다.

                                                                   
                                                     [그림 2] 실행해도 괜찮을까?

상업적 목적으로 제작된 툴바들은 웹 서핑하는 과정 중에 사용자가 원하지 않는 정보를 계속해서 노출시키는 특징을 가지고 있다. 예를 들면 시작페이지를 특정 사이트로 고정시키거나 서핑 중에 광고 팝업 창을 주기적을 띄운다든지 또는 자체 검색결과 화면으로 이동시켜 광고주 웹 사이트로 접근을 유도하는 등의 기능을 제공한다.

끈질긴 생명력, 삭제되지 않는 툴바

악성 툴바의 가장 큰 특징은 프로그램 삭제가 제대로 되지 않는다는 것이다. 사용자에게 얼마나 편리한 기능을 제공하든 일단 프로그램은 기본적으로 설치가 되었으면 삭제될 수 있도록 제작되어야 한다.

하지만 필자가 확인한 악성 툴바는 프로그램을 제거할 경우 ① 왜 삭제하는 것인 이유를 입력하라며 삭제 과정을 어렵게 하거나 ② 삭제 과정 중에 알 수 없는 오류메시지를 보여주며 삭제가 되지 않거나 ③ 정상적으로 삭제된 것처럼 보이지만 실제로는 삭제되지 않거나 ④ 삭제시 인터넷 익스플로러의 주소 창을 제거하여 재설치 하도록 유도하는 등의 유형을 확인할 수 있었다.

예를 들어 와우 툴바의 경우 [제어판]의 [프로그램 추가/제거]에서 제품 삭제를 실행하였고 정상적인 삭제 과정이 진행되었다. 하지만 그림 3에서 볼 수 있는 것과 같이 안철수연구소의 SpyZero 프로그램으로 진단한 결과 삭제되지 않고 남아있음을 확인할 수 있었다.

                                                        
                                                        
                                            [그림 3] 와우툴바를 삭제(상)한 후에도툴바의 구성요소는 여전히 남아 있다.(하)

이러한 상업적인 툴바를 제작하여 배포하는 사이트를 방문해보면 편리한 기능을 제공하는 툴바이며 삭제가 되지 않을 경우에는 수동으로 삭제하는 방법이나 전용 삭제 툴을 제공하고 있는 곳도 있다. 하지만 면책용으로 포장하였을 뿐 프로그램 자체적으로 삭제가 제대로 되지 않고, 일일이 찾아서 수동으로 제거해줘야 한다는 것 자체가 사용자들을 기만하는 것이라고 생각한다.

설치하지 않는 것이 가장 중요

일단 설치되면 삭제되지 않고 끈질기게 사용자를괴롭히기 시작하므로 악성 툴바일 경우에는 설치하지 않는 것이 최선의 방어책이다. 이러한 툴바는 ① 성인 사이트나 커뮤니티에서 유혹적인 문구를 이용해서 사용자를 유인한 뒤에 설치프로그램을 강제로 다운로드 시키거나 ② 쉐어웨어에 포함되어 함께 설치되는 방법을 많이 사용하고 있다.

따라서 인터넷 서핑 중에 프로그램을 실행하거나ActiveX를 설치할 것인지 확인하는 경우라면 신뢰할 수 있는 웹 사이트인지 확인하고, 쉐어웨어 설치시에는 불필요한 프로그램이 함께 설치되지 않도록 주의를 기울여야 한다.

악성 툴바가 설치되는 것을 예방하려면
  1. 성인 사이트나 지나치게 상업적인 사이트에서 다운로드 받은 파일을 실행하지 않는다.
  2. P2P 파일 공유사이트에서 받은 파일을 실행하지 않는다.
  3. 광고 메일에 첨부되거나 링크를 통해 다운로드된 파일을 실행하지 않는다.
  4. 악성코드 진단프로그램으로 가장한 경우도 있으므로 설치시 믿을 수 있는 보안프로그램인지 확인한다.
  5. 인터넷 익스플로러의 팝업 차단 기능을 사용한다. (신뢰할 수 있는 사이트에 대해서만 팝업을 허용하도록 설정한다.)
  6. 프로그램 설치 전에 프로그램명이나 실행파일명을 이용해서 포털사이트에서 검색해보고 피해를 입은 사례가 없는지 확인한다.