인터넷 검색시 자동으로 광고창을 생성하는 일명 '검색도우미' 프로그램들은 그동안 원치 않는 광고를 배포하는 것은 물론 악성코드 유포 통로로서 악명을 떨쳤다. 현재로선 법적으로 이 같은 프로그램을 직접 제재할 방법은 없다. 사용자가 스스로 설치했기에, 책임도 사용자들의 몫이다.
15일 보안 전문 블로그 '울지않는 벌새'에 따르면 지난 6월 등장했던 '서브숍(SubShop)'이라는 검색도우미 란 프로그램 변종인 '나우 드림 서비스 애플리케이션(Now Dream Service Application)'이 최근 등장, 주의가 요망된다.
이 프로그램은 윈도 운영체제(OS) 내 제어판 프로그램 목록에 등록되지 않는다. 'C:Users(사용자 계정)AppDataRoaming' 폴더 내에 임의로 폴더를 생성해 프로그램을 설치한다. 이를 통해 해당 프로그램과 광고계약을 맺은 업체 광고를 노출시켜 수익을 얻는다.
또 다른 검색 도우미인 '사인키(SignKey)' 설치파일은 카스퍼스키랩 보안제품에서 'Trojan.Win32.Agent.acnlk (VT : 32/46)' 이름으로 진단되고 있다. 트로이목마 기능을 가진 악성파일로 분류되는 것이다.
지난해 하반기부터 꾸준히 배포가 이뤄지고 있는 이 프로그램은 네이버 등 포털 검색창에 검색어를 입력하거나 웹브라우저를 실행/종료하면 여러 광고창을 추가 생성해 사용자들에게 불편함을 유도한다.
사인키가 설치된 PC에서 광고성 프로그램이 추가로 설치되는 경우도 확인됐다. 검색 도우미 프로그램이 설치된 환경에서 특정 시점에 업데이트 기능을 통해 국내 모 온라인 쇼핑몰 바로가기 아이콘이 생성되는 'gbalink' 프로그램 설치파일이 그것이다.지난달 발견된 '퀵캐드(quickad)'라는 검색도우미 역시 인터넷 포털 검색창에 '무료영화' 등 키워드를 입력하면 웹하드 사이트 창이 뜬다. 일부 검색 키워드에 대해선 성인, 불법 도박 사이트 홍보를 목적으로 한 광고창이 생성된다.
검색도우미라는 이름으로 유포되고 있는 광고성 프로그램들은 원치 않는 사용자들에게 불편함을 유발, 정당한 댓가를 지불하지 않은 광고를 임의로 유포시킨다는 지적을 받아왔다. 사용자 몰래 설치된다는 점에서 바이러스나 악성코드 유포 경로로도 활용될 수 있다.
울지않는 벌새 블로그에 따르면 검색도우미 프로그램을 통한 공격은 크게 해당 광고를 전송하는 서버 해킹, 프로그램 변조 혹은 악의적으로 제작된 광고 프로그램을 통해 유포된다.
광고서버 해킹은 '윈익스팬드(WinExpand)'라는 검색도우미 프로그램이 광고를 전송하기 위해 사용되는 서버가 해킹돼 인터넷뱅킹 관련 정보유출을 노린 악성코드가 추가로 설치된다.
이밖에도 인터넷 쇼핑몰 바로가기 아이콘(shopbacon.exe) 파일을 이용해 정보유출을 노리는 악성코드도 유포되고 있다.
그러나 현재로서는 검색도우미를 막을 수 있는 법적인 근거는 없다. 국내 보안업계 관계자는 넓게 보면 국내외 인터넷 검색 회사들이 제공하고 있는 툴바 등도 모두 비슷한 유형의 광고성 프로그램이나 다름없다고 말했다. 결국 의도적으로 과도하게 광고를 남발하거나 악성코드 등을 배포하는가 그렇지 않은가에 따라 달라질 뿐 명확한 판단기준은 없다는 것이다.
2003년부터 등장하기 시작한 애드웨어, 스파이웨어 등 광고성 프로그램은 10년 넘게 문제가 지속되고 있다. 어떤 프로그램을 설치할 때 사용자가 특별히 주의하지 않으면 전혀 상관없는 프로그램이 설치되는 경우도 흔하다.
관련기사
- 벌써 25년...악성코드 원조 '모리스웜'의 추억2013.11.15
- 구글, 크롬에 악성코드 자동 차단 기능 추가2013.11.15
- 문서파일로 둔갑한 악성코드 공격 주의2013.11.15
- 문서 암호화해 댓가 요구하는 악성코드 발견2013.11.15
이와 관련 블로그 운영자는 (검색도우미 등 프로그램 설치시) 사용자 동의 과정을 거치는 것보다도 어떤 프로그램이 설치되는지 시각적으로 볼 수 있도록 화면을 구성해야 할 필요가 있으나 개발사 등이 금전적 수익 때문에 이를 간과하고 있는 것 같다고 말했다.
현재로서는 사용자가 어떤 부가적인 프로그램이 설치되는지를 꼼꼼히 확인하는 수밖에 없는 셈이다.
