최신 보안 동향

[안내]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심

TACHYON & ISARC 2012. 10. 12. 09:26
1. 부적절한 인터넷 광고, 불편한 진실과 현실

다년 간 무수히 많은 인터넷 이용자들에게 호기심 유발이나 인기검색 키워드 등으로 현혹하여 배포과정 상에 문제를 가지고 있고, 유해가능한 광고성 프로그램(Adware)을 무단 배포하는 수법이 나날이 심화되고 있는 실정이다.  아직도 수 많은 인터넷 이용자들이 잠재적으로 원하지 않는 프로그램(PUP:Potentially Unwanted Program)에 순간의 부주의로 반강제 노출되어 많은 불편함을 호소하고 있고, 피해도 꾸준히 속출하고 있는 상황이다.

이에 근본적인 대안과 철저한 근절대책이 요구되고 있는 시점이다. 이 때문에 대부분의 보안업체들이 Adware 종류를 악성으로 분류하고 치료기능을 제공하고 있지만, 금전적 수익을 높이기 위한 광고업체들은 육안상으로 잘 보이지 않게 사용자 동의 및 약관을 포함하는 등 법망을 교묘히 우회시도하고 유포수법도 나날이 지능화되고 있다.

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
http://erteam.nprotect.com/346

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
http://erteam.nprotect.com/350

[뉴스]당신의 PC, 깨끗합니까? (KBS 취재파일 4321)
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=2639387

[뉴스]애드웨어로 전파된 신종 메모리 해킹 일당 검거 (SBS 8시뉴스)
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1002198339
[기고]무분별한 애드웨어, 팝업·팝다운광고에 대한 대응책은? (법률사무소 민후 김경환 변호사)
http://www.ddaily.co.kr/news/news_view.php?uid=96994

[뉴스]나도 몰래 깔리 몹쓸 '애드웨어' 이젠 가만 안둬 (김희정 새누리당 의원실)
http://www.etnews.com/news/contents/internet/2677425_1488.html?mc=d_002_00001

ㅁ김희정 의원은 “광고 프로그램뿐만 아니라 개인정보 보안 프로그램, 불량 백신 등 제휴·스폰서 프로그램을 설치할 때 이용자 동의여부 표시가 가려져 있거나 이용약관을 알아보기 어려운 형태로 제시해 이용자 불편을 초래하는 일이 많다”며 법안 제출 이유를 밝혔다. 이를 위반해 사용자 컴퓨터에 중대한 장애를 초래하면 1년 이하의 징역 또는 1000만원 이하 벌금에 처한다.

[뉴스]새누리 김희정 의원 “애드웨어 무단설치시 처벌 강화해야”
☞ 
http://www.ddaily.co.kr/news/article.html?no=97543

[뉴스]애드웨어 무단설치 처벌 강화된다
☞ 
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121115103646&type=det

[뉴스]무단설치 백신·애드웨어, 처벌 강화법안 발의
☞ 
http://www.eto.co.kr/news/outview.asp?Code=20121115152844197&ts=115452

[뉴스]지긋지긋한 애드웨어, 처벌 강화한다 (inews24)
http://news.inews24.com/php/news_view.php?g_serial=704965&g_menu=020100&rrf=nv

[긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증
☞ http://erteam.nprotect.com/461

따라서 보안업체들은 유해성 판단을 위한 불법 유포경로와 근거자료(동영상 촬영 등) 확보에 부단한 시간과 인력을 투입하고 있는 상태이지만, 유포업체는 스스로 합법적 서비스라는 점을 강조하고 내세우면서 보안업체가 근거자료를 보관하고 있지 않다고 보일 경우 탐지예외 요청 및 내용증명 등 법적 항의서안들을 끈질기게 발송하여 보안업체들로 하여금 정상적인 업무를 방해하고 오히려 불필요한 업무에 많은 시간이 투입되고 자원이 소모되도록 유도하고 있어 큰 문제점으로 대두되고 있다.

방송통신위원회, 한국인터넷진흥원 등 주요 정부기관과 대검찰청, 경찰청 등 수사기관에서도 보안업체와 협력하여 부적절한 인터넷 광고업체에 대한 조사를 진행하고 있다. 그러나 대부분의 광고업자들은 이러한 것이 불법행위로 간주되고 법적으로 구속될 수 있다는 점을 인지하지 못하는 경우가 많다. 아래 내용은 2012년 07월 12일에 언론을 통해서 발표된 비정상적인 방식 등으로 광고프로그램을 유포하여 부당이익을 챙긴 적발사례이며, 광고수수료를 챙긴 일당은 경찰 수사에 의해서 체포 및 구속수감되었다.

[2012-07-12 광고수수료를 챙긴 일당이 경찰에 적발된 언론 보도자료]
악성 프로그램 유포해 PC 270만 대 감염
http://www.ytn.co.kr/_ln/0115_201207121537138266 

 

다음은 2012년 08월 22일 검찰 첨단범죄수사대에 적발된 불법 광고업체에 대한 내용으로 제휴 파트너사 등을 통해서 비정상적으로 배포한 광고프로그램 업체 관계자 6명과 업체 3곳을 기소하고, 수사를 확대할 방침이라는 내용의 보도자료이다. 

[2012-08-22 네이버 광고 바꿔치기한 일당 검찰에 기소된 언론 보도자료]
검찰, 해킹 프로그램으로 네이버 광고 바꿔치기한 일당 기소
http://www.asiatoday.co.kr/news/view.asp?seq=686395

'인터넷 낚시 광고' 24억 챙긴 업체 적발
http://www.ytn.co.kr/_ln/0103_201208221819506573


[2012-10-11 광고프로그램을 이용한 검색 키워드 가로채기 SBS 언론자료]
[단독] "여기 아닌데?"…황당한 소셜커머스 경쟁
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001426974

티몬 검색하니 쿠팡이...“어라? 이상하네“
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121011184305&type=xml

경쟁사 검색때 함께 뜨는 ‘얌체광고’ 또 법정行
http://www.fnnews.com/view?ra=Sent0601m_View&corp=fnnews&arcid=201210150100119140007237&cDateYear=2012&cDateMonth=10&cDateDay=15

티켓몬스터 "'쿠팡', 악성 광고 소프트웨어로 '티몬' 고객 유입"
http://news1.kr/articles/848780

티켓몬스터 측은 "쿠팡이 이들 불법마케팅을 적극 사용한 것이 밝혀지면 부정경쟁방지법 2조 1항을 어긴 것이며 영업방해죄에 해당된다. 정보통신망법 위반 행위의 교사 및 공범행위 등으로도 책임을 물을 수 있다"고 밝혔다.

"이들 불법 마케팅 업체들은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 48조 2항 '누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다'를 위반한 것으로 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해지게 된다"고 설명했다.

티몬 측은 "방송통신위원회는 이런 문제를 본질적으로 해결할 수 있도록 악성 프로그램 유포 방지를 위한 제도를 마련해야 할 것"이라며 "광고주들도 강도높은 처벌을 해야만 근절될 것으로 보인다"고 밝혔다.



2. 유해 광고프로그램 실태와 불법적 행위의 근원

인터넷 광고프로그램은 그 본질과 기능만으로는 절대 불법이나 유해가능 프로그램으로 분류할 수 없지만, 인터넷 광고노출 및 매출 수익금을 분배하고 고수익 창출을 목적으로하는 스폰서나 인터넷 제휴 파트너 업체들의 부적절하고 무분별한 배포과정에서 유해성 부작용이 발생하게 된다. 이것은 짧은 시간에 수 많은 이용자에게 해당 광고프로그램을 노출시키고 설치시켜야 수익률이 비례적으로 증가할 수 있는 광고 사업구조의 특성 때문이며, 정상적인 광고업체와는 별개로 제휴업체들을 통해서 비정상적인 유포행위가 아무 거리낌없이 꾸준히 자행되고 있는 문제점을 안고 있는 것이다.

이런 연장선에서 불법적인 과정을 통해서 무차별적으로 배포되는 광고프로그램은 설치율이 높아지고, 결과적으로 수익이 높아짐에 따라 주 광고업체와 배포를 담당하는 제휴업체는 서로 암묵적으로 편의를 봐주거나 금전관계로 친밀하게 결탁되어 있는 것도 사실이다. 하지만 주 광고업체는 보안프로그램이 자신의 프로그램을 탐지하고 저지하면 일부 극소수 제휴업체의 불법적 행위로 간주되기 때문에 그 업체에게 경고 및 제재를 주기 위해서 유포처 및 탐지 근거자료를 공개요구하지만, 그 자료를 공유해 줄 경우 그곳만 제거하고 다른 곳을 통해서 은밀히 유포를 지속하는 경우가 다반사이다. 이에 잉카인터넷은 현재 유포처 및 탐지 근거자료를 관계자 외 비공개를 원칙으로 하고 있다. 이는 추후 정식 법적대응 및 불법적 행위의 근거자료와 수사기관에 제시하는 증거자료로 활용된다.

또한, 일부 제휴 및 파트너사의 불법적 단독행위가 있을 수 있으므로, 광고수익 손해에 대한 책임을 묻기 위해서는 각 제휴 배포사마다 다른 모듈을 제공하거나 배포지 추적이 가능하도록 구분코드를 삽입하여 제작하도록 하며, 사후관리 및 계약상 손해배상에 대한 책임의식을 가지도록 계약서상에 이를 구체적으로 명시하여야 하는 관리적 책임을 가지고 있다. 일부 파트너사들의 비정상적인 배포를 관리하지 않았다면 이는 광고업체의 관리적측면에서 업무상 과실에 해당될 수 있다. 

특히, 일각에서는 이런 배포용 프로그램을 아웃소싱 형태로 제작하고 배포해 주는 서비스까지 유료화로 운영하며, 해당 광고업체는 자신들의 이런 프로그램 배포사업 자체가 정당하고 합법적이라는 근거를 제시하기 위해서 대부분 정상적 절차와 비정상적인 방식의 배포를 동시에 사용하여, 정상적인 서비스를 진행하고 있다는 점을 부각시켜, 비정상적인 서비스는 일부의 잘못된 부분이라는 주장을 펼치게 된다. 그러나 비정상적으로 배포된 그 사실 하나만으로 악성파일 배포에 대한 법적책임을 묻게 될 수 있다는 점을 간과해서는 안되며, 최근 경찰과 검찰에 이런 형태로 적발된 사례가 보고되었다.

보안업체는 비정상적으로 배포된 근거만으로 Adware 진단정책에 포함한다.

정상적인 배포를 동시에 진행했다는 이유로 비정상적인 배포 모듈을 예외처리로 분류하고 적용하지는 않는다. 비정상적인 광고업체들은 거의 모두 정상적인 사이트를 함께 운영하며 마치 정상적인 사업범위로 활용하고 있기 때문이며, 정식 사이트에서 공식배포도 하고 있으므로 정상배포를 하고 있다는 이유만으로 비정상적인 모듈을 진단 예외정책에 모두 적용하지 않는것이 기본원칙이다. 


 

 
3. 합법과 불법을 자유자재로 이동하는 능력자?

초기 단계의 유해가능 광고 프로그램(Adware)들은 방문자수를 높이기 위한 광고목적의 [시작페이지 고정]이나 운영체제 바탕화면 또는 즐겨찾기 목록에 [바로가기 아이콘]을 생성하는 등 악의적인 의도 보다는 순수한 광고방식에 널리 활용되었다. 그러나 점차 시간이 지남에 따라 사용자 정보를 불법 수집하거나 정상적인 배포방식과 동의 절차없이 설치되는 등 악의적으로 변질되기 시작했고, 광고수익금의 이익에 치중한 나머지 합법과 불법의 경계를 자유자재로 넘나드는 불균형이 초래되기 시작하였다.

이렇듯 정상적인 광고프로그램이 본래의 배포과정에서 어긋나고, 일정한 기준이나 한도를 넘어 남용 수위가 높아지면서 보안업체들의 대응범위도 넓어졌다. 거기에 사용자가 인지하지 못한 상태에서 비상식적으로 동의시킨 매월 소액 자동결제 서비스나 허위 또는 불량한 유료 서비스를 통해서 사용자에게 금전적 피해 부담을 입히는 경우가 종종 발견되여 경찰 등 수사기관에 의해서 검거되는 해결사례도 다수 있었지만, 보안업체와 일부 부적절한 광고업체간의 유해성 공방은 지금까지도 현재 진행형이다.

이런 유해성 공방은 현 법률상 인터넷 광고의 유해성 및 가능범위를 확실하게 규정할 수 있는 법적근거와 기준이 모호하고, 광고업체들은 법적인 문제점을 피하기 위해서 다양한 우회기법을 활용하고 있는 점을 지적할 수 있다. 아울러 실제 재판에서 무죄판결 판례와 이미 고수익을 통한 재력을 보유한 경우 전문 변호인단을 앞세워 자신들의 정당성을 주장하기도 한다.

4. 부도덕한 애드웨어 주의보! 관심을 미끼로 낚시질을 한다.

2012년 04월 24일에 "[정보]나도 모르게 설치된 그것이 알고 싶다." 라는 Adware 관련 포스트를 대응팀 공식블로그에 게시한 바 있다. 이처럼 악의적인 광고성 프로그램들은 일반 사용자들이 어떤 과정을 통해서 설치되었는지 스스로 인지하지 못하고 있는 것이 안타깝지만 현실이다. 부적절한 인터넷 광고업체들은 불특정 다수의 이용자들을 표적으로 삼고 있으며, 시종일관 더 많은 사용자들에게 자신의 광고프로그램을 설치시키기 위한 혼신의 노력을 다하고 있다.

보통 인터넷 광고프로그램 개발사들은 정상적인 법인체와 웹 사이트를 구축하여 합법적으로 운영하고, 해당 웹사이트를 통해서 광고프로그램 소개와 배포 등을 서비스한다. 그러나 일반 사용자가 해당 광고업체의 웹 사이트를 직접 방문하고, 광고 프로그램을 자신의 선택과 의지로 설치할 확률은 거의 0%에 가깝다고 해도 과언이 아니다.

그렇다보니 광고업체는 인터넷 배포방식에 대한 다양한 방식을 검토하고 도입시도하게 되는데, 대형 포털 사이트 등과 공식적인 광고계약을 체결하고 정상적인 절차로 프로그램을 배포할 경우 적정한 규모의 광고비용이 책정되어 사용되어야 하지만 도덕성을 무시하고 오직 수익에만 급급한 부도덕적인 업체들의 경우 인터넷 사용자들이 최대한 인지하지 못하게 조작한 수법을 도입하여 Adware 파일이 사용자몰래 광범위하게 설치되도록 유인하고 있다. 이는 결국 합법적 절차를 거친 정상적인 광고프로그램 개발사에게까지 직간접적인 손해를 끼치고, 정당한 광고사업을 방해하는 단초역할을 하게 된다.

[2012-04-20 광고프로그램을 통한 구인구직 채용 웹 사이트간 불공정 마케팅 논란]
잡코리아-사람인, ‘불공정 마케팅’ 공방 가열
http://www.etoday.co.kr/news/section/newsview.php?TM=news&SM=2306&idxno=574391

{일부 발췌}
잡코리아는 사람인이 다량의 악성 애드웨어(adware)를 배포해 자사의 영업을 방해한데 대해 20일 형사 고발했다고 밝혔다. 애드웨어는 영화나 게임, 만화 등을 다운로드 서비스 하는 파일공유 사이트의 프로그램 설치 시 함께 랜덤으로 자동 설치되며 자신이 의도하지 않은 정보에 노출되는 피해를 입을 수 있다.

잡코리아 관계자는 “지난달 말 고객센터로 포털사이트 검색창에 잡코리아를 입력해도 사람인 사이트가 대신 뜨는 현상에 대한 피해가 접수됐다”며 “시스템을 점검한 결과 네이버 등 포털사이트에 잡코리아를 검색을 할 경우 사람인 사이트가 자동적으로 팝업 되도록 다량의 애드웨어가 배포되고 있는 게 확인됐다”고 밝혔다.

5. 프로그램 다운로더의 주목적? 사용자 몰래 Adware 설치!

먼저 유명 게임이나 유무료 프로그램, 실시간으로 이슈가 되고 있는 인기 검색 키워드나 파일 등으로 사칭하여 사용자의 검색유입을 유도하고 개인 블로그나 포털 카페 게시글, 덧글 등을 통해서 파일 다운로드를 유인한다.

01234


URL 링크를 클릭하게 되면 다음과 같이 파일이 다운로드된다.

 

 


보통 이런 프로그램의 경우 제휴목록이나 동의 및 약관이 일부 포함되어 있지만, 화면 하단이나 모서리에 작게 등록하여 육안상 잘 보이지 않도록 구성하고 글자색도 회색 등 배경화면과 거의 유사한 색을 사용한다. 또한, 스크롤바를 통해서 설치 목록이 극히 일부만 보여지도록 만들어 다수의 프로그램이 동시에 설치되는 것을 숨긴다. 이처럼 일반 사용자가 제휴프로그램 설치 과정을 즉각 인지하고 선택을 해제할 확률은 매우 낮아지게 된다. 따라서 광고업체들은 정상적인 동의와 약관 등을 명시하였기 때문에 자신들은 법적으로 전혀 문제가 되지 않는다고 황당한 주장을 하고 있는 것이다. 이것이 바로 일종의 법망을 우회하기 위한 찌질한 수법 중에 하나이다.

 


수개월 동안 유행처럼 가장 많이 사용되는 수법은 특정 프로그램 다운로더(Downloader)나 실행기(Launcher)처럼 보이도록 만든 후 해당 프로그램을 설치해 주는 목적으로 제휴프로그램을 함께 설치하게 만드는 형태이고, 대표적인 프로그램 화면들은 다음과 같다. 이런 종류의 프로그램들은 사용자가 원하는 프로그램을 제공하는 것이 아니고, 특정 광고프로그램들을 대거 설치하는데 그 주목적이 있다. 그리고 대부분 프로그램 다운로드 기능은 관련된 이미지만 보여주는 등 빛좋은 개살구이거나 허울 뿐이며, 기능 자체가 무용지물이다.

 

012345


6. 국산 Adware 근절 대책의 핵심, 광고 제휴프로그램에 대한 규제 강화

가끔 주변에 있는 지인들로부터 듣게 되는 질문이 하나 있다. 홍수처럼 쏟아지는 수 많은 광고프로그램 중에서 정상과 악성을 구분하는 구체적인 근거 기준이 과연 무엇인가에 대한 것인데, 그 질문에 서슴지 않고 이렇게 답한다. "유포과정 및 설치방식에 대한 정당성과 사용자 입장에서의 잠재적 피해가능성 여부"

Adware 프로그램들은 대다수가 도덕성이 결여되어 있고, 최종목적은 반드시 금전적 수익과 결부되기 때문에 정당한 배포와 설치방식과는 절대로 부합할 수 없는 조건을 갖추고 있다. 따라서 이러한 문제를 근본적으로 해결하기 위해서는 사용자 입장을 최우선적으로 고려하여 ▲유해가능 배포과정 및 설치방식에 대한 가이드와 기준안이 마련되어야 하고, ▲형식적인 사용자 동의절차나 약관 보여주기 방식이 개발사와 배포사를 법적 분쟁으로부터 안전하게 보호해 주는 범위에 포함되지 않도록 강력히 규제해야 한다.


 


또한, ▲별도의 제휴 또는 파트너 프로그램을 함께 배포하는 경우 사용자에게 모두 보여지고, 직접 선택해야지만 설치가 진행될 수 있도록 부가 프로그램 설치에 대한 규제를 강화하고, 설치되는 셋업화면이 백그라운드가 아니라 사용자에게 모두 육안으로 확인될 수 있도록 하며, 언제든지 제거할 수 있는 언인스톨 기능을 포함해야 한다.

7. 잉카인터넷 Anti-Virus 엔진에 Adware 치료 기능 추가

그동안 잉카인터넷에서는 내부 정책적으로 nProtect Anti-Virus 엔진과 Anti-Spyware 엔진을 분리 운용하였고, Adware 종류의 탐지 및 치료 패턴은 Anti-Spyware 엔진에서 전문적으로 담당하여 서비스를 제공하였다. 일부 제품의 경우 서비스모델과 정책에 따라 Anti-Virus 엔진만 사용하는 경우가 있는데, 근래들어 국산 Adware 프로그램이 급증하고 있는 실정을 반영하고, 근절대책의 핵심 일환으로 2012년 08월 08일부터는 nProtect Anti-Virus 엔진에서도 국산 Adware 들을 탐지하고 치료할 수 있도록 대응조치를 강화한 상태이다. 이에따라 유포방식 및 설치과정에 보안상 문제가 될 수 있다고 판단되는 국산 광고프로그램들은 지속적으로 모니터링하고 수집하여 신속하게 대응할 수 있도록 운영할 예정이다. @잉카인터넷 ISARC