스파이웨어 지뢰밭, UCC가 무서워

동영상 하나 재생했다가 몰래 설치된 프로그램들, 자가발전에 버그까지…

▣ 임지선 기자 sun21@hani.co.kr

사용자제작콘텐츠(UCC)를 보고 나니 컴퓨터가 망가졌다? 동영상을 타고 ‘뭔가’가 퍼지고 있다? 매일같이 동영상을 즐겨온 ‘UCC족’이라면 믿고싶지 않은 ‘괴담’이다. 이런 일이 최근 연이어 일어나고 있다. 지난 10월18일, 출근해서 컴퓨터를 켠 김정훈(가명·31)씨는 눈앞이 아찔했다. 바탕화면의 바로가기 아이콘들이 다 똑같은 모양으로 변해버린데다 여러 번 클릭을 해도 실행이 안 됐다. 출근 체크도 못한 채 발을 동동 구르다가 회사 시스템실에 전화를 했다. 담당자는 원인을 모르겠다며 일단 보안업체에 신고를 하겠다고 말했다.

[%%IMAGE2%%]

같은 시각, 안철수연구소 시큐리티대응센터(ASEC)에는 수십 건의 신고가 밀려 들어오고 있었다. 바탕화면에 있는 바로가기 파일들의 아이콘이 바뀌고 실행되지 않는다는 문의가 대부분이었다. 확장자가 ‘.lnk’인 파일들의 정보가 변경된 것이었다. 일단 업무를 봐야 하는 회사원들에게는 수동으로 컴퓨터를 복원하는 방법부터 안내했다. ‘시스템 복원’ 기능을 통해 컴퓨터가 정상이던 며칠 전 날짜로 되돌리면 일단 혼란은 있어도 당장 급한 불은 끌 수 있었다. 이후 바로 샘플을 입수해 문제 분석에 돌입했다.

‘클릭 당 1원씩’ 낚는 동영상

분석 결과, 김씨가 얼마 전 본 동영상이 문제였다. 김씨는 자신이 활동하는 카페에서 ‘이런 차를 누가 좋아해?’란 제목을 보고 관심이 가 클릭했다. 거기엔 관련 동영상이 있었다. 동영상 재생 버튼을 누르자 한 UCC 전문 사이트로 연결이 됐다. 화면을 크게 보려면 ‘UCC 플레이어 통합 매니저’를 설치해야 한다고 했다. 김씨는 그저 동영상을 크게 볼 생각으로 관련된 파일이겠지, 짐작을 하며 내려받기를 했다. 그들이 내려받은 파일은 안철수연구소 진단명 ‘Win-Adware/UcccPlayer’로 주기적인 업데이트를 하는 기능까지 갖춘 스파이웨어였다. 매일 컴퓨터를 켜면 이 프로그램은 자동으로 작동해 ‘어디선가, 뭔가’ 파일을 받으며 ‘업데이트’를 했다. 확인 결과 매일같이 업데이트한 파일은 허위 백신프로그램, 마이컴고, 마이캐시백 등 바로가기 키를 만들고 허위 경고창을 띄우는 스파이웨어가 대부분이었다. 그나마도 매일같이 내려받기되는 파일 목록이 달라졌다. 사용자가 눈치만 채지 못한다면 끝도없이 스파이웨어를 내려받게 될 상황이었다. 그러다가 10월18일에는 업데이트 파일 자체가 치명적인 버그(프로그램의 결함)를 안고 있어 결국 레지스트리(윈도의 시스템 구성 정보를 저장한 데이터베이스) 정보를 수정하고 삭제해 문제가 드러났던 것이다.

그렇다면 카페에 동영상을 올렸던 사람은 왜 이것을 UCC 전문 사이트에 연결해뒀던 것일까. 이번에 문제가 된 사이트는 UCC 콘텐츠를 올린 사람에게 해당 동영상이 한 번 클릭될 때마다 1원씩을 주겠다고 했다. 자연히 게시물을 올린 사람들은 카페나 블로그 등 외부 사이트에 조금이라도 더 클릭이 유도될 만한 제목으로 자신이 등록한 콘텐츠를 홍보하기 시작했다. 여러 곳에서 클릭하는 순간 자신에겐 1원씩 입금될 터였다. 열심히 여러 동영상을 퍼다가 해당 UCC 사이트에 올린 사람들의 노력은 스파이웨어를 더 쉽고 빠르게 뿌리는 데 큰 기여를 했다. 안철수연구소는 11월 ASEC 리포트를 통해 ‘동영상 1회 클릭당 1원이라는 새로운 수익 방식으로 스파이웨어를 통한 새로운 수익구조를 제시하여 많은 스파이웨어 배포자를 양산한 것으로 보인다’고 분석했다. 동영상 낚시글을 통해 특정 웹사이트로 유인한 뒤 재생을 위해 UCC 플레이어 통합 매니저 설치를 유도하는, 전형적인 스파이웨어 배포 방법은 이렇게 완성됐다.

UCC 플레이어의 10월16일 업데이트를 통해 내려받기된 ‘마이컴고’는 또다른 피해를 낳고 있다. 이 프로그램이 PC에 설치되면 ‘○○개의 동영상을 찾았습니다. 자동 보관하시겠습니까’라는 메시지를 띄운 뒤 ‘숨김폴더’라는 프로그램을 작동한다. 순식간에 컴퓨터에 저장했던 동영상들이 ‘숨김폴더’로 옮겨지는데 그 파일을 되찾으려면 사용자 인증을 해야 한다. 인증을 하고 나면 어느새 9900원이 결제된다. 사용자의 파일을 인질로 삼고 돈을 요구하는 ‘랜섬웨어’의 일종인 셈이다. 피해자가 급증하면서 ‘마이컴고 피해자 모임’ 카페(cafe.naver.com/mycomgo)가 결성됐고 11월8일 현재 297명의 회원이 사이버수사대 제보를 위해 피해 사례를 모으고 있다.

내 파일 인질로 돈 내놓으라고?

문제는 이 상태에서 ‘마이컴고’를 보안회사가 스파이웨어로 진단해 삭제하기가 쉽지 않다는 점이다. 현재 안철수연구소는 이 프로그램을 스파이웨어로 분류해 진단하고 있지만 ‘마이컴고’ 회사 쪽에서 진단 시작 다음날인 11월6일 바로 항의를 해왔다고 한다. 안철수연구소 ASEC 조시행 상무는 “스파이웨어 제작업체들은 보안업체가 진단할 경우 일단 항의를 하거나 영업방해를 운운하며 시간을 끌면서 조금이라도 더 이익을 보는 경우가 많다”고 말했다. 항의나 소송을 감당하는 것은 고스란히 보안업체의 몫이다.

올해 초, 보안업체들은 UCC를 통한 스파이웨어 유포가 보안 이슈로 떠오를 것이라 전망했다. 실제로 올해는 국내 스파이웨어의 제작과 유포가 UCC를 중심으로 활발해지면서 매달 200개가량의 스파이웨어가 발견되고 있다. 지난달에만 999건의 피해 신고가 있었다. 그런데도 단속은 쉽지 않다.

최근 경찰은 가짜 포털 사이트를 개설해 악성코드 치료 프로그램인 척하는 스파이웨어를 퍼뜨린 사람을 검거했다. 그는 총 33만4683회에 걸쳐 스파이웨어를 유포해 제작업체로부터 1건당 45원씩 1500만원의 부당이득을 취한 혐의를 받고 있다. 수사를 담당한 사이버테러대응센터는 “스파이웨어와 관련된 사건의 경우 피해 사례가 많고 혐의가 있더라도 스파이웨어 배포 행위의 범법성, 제작자와 유포자의 관계 등을 명확히 밝혀야 하기 때문에 수사가 길어지는 경우가 많다”고 밝혔다. 수사가 힘든 이유는 관련 법안이 없기 때문이기도 하다. 2005년 8월에 정보통신부가 ‘스파이웨어 기준’을 발표했지만 아직까지 법적 구속력이 있는 정의와 처벌 규정이 없다. ‘스파이웨어 비즈니스’는 활개를 치는데 법률과 수사망은 그것을 쫓아가지 못하는 셈이다. UCC에 열광하는 사이, 누군가는 그것을 이용해 스파이웨어를 깔고 그것이 또 스파이웨어를 내려받으면서 사이버 공간은 지뢰밭이 돼가고 있다.

		특성별로 정리해본 나쁜 프로그램들

애드웨어
가장 대표적인 부류로 광고를 노출하는 경우를 뜻한다. 광고의 대부분은 팝업 광고 형태이며 경우에 따라 브라우저상에 광고를 바꿔치는 수법으로 광고를 노출할 수도 있다.

스파이웨어류
애드웨어와의 가장 큰 차이점은 정보의 방향이다. 간단히 말해서 정보가 외부로 새는 방향성을 가진 경우 스파이웨어류로 분류하는 것이 원칙이다. 키보드 입력, 브라우저 사용 습관 등을 추적, 모니터링하는 경우도 스파이웨어류로 분류한다.

랜섬웨어
컴퓨터 사용자의 문서를 볼모로 잡고 돈을 요구한다. 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레이시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 만들거나 첨부된 이메일 주소로 접촉해 돈을 보내면 해독용 열쇠 프로그램을 전송해준다며 금품을 요구하기도 한다.

드로퍼
파일을 품고 있다 로컬 시스템으로 떨어뜨리는 형태다.

다운로더
원격지에서 파일을 다운로드한다.

다이얼러
전화 접속 연결 설정을 변경해 값비싼 요금 연결을 유도한다.

클리커
속임수 광고, 허위 오류 메시지, 바탕화면 교체 등으로 사용자의 클릭을 유도해 관련 사이트로 접속하게 한다.

익스플로잇
대개 취약점을 이용하는 스크립트를 말한다.