국내 최대 정보보안 기업인 안철수연구소(대표 김철수 www.ahnlab.com)는 19일 처음 신고된 컴퓨터 날짜를 반복적으로 바꾸고 인터넷 접속이나 다른 작업을 할 수 없게 만드는 ‘다운로더’ 트로이목마가 스파이웨어 설치를 위해 유포된 것으로 추정된다고 발표했다.

‘다운로더’ 트로이목마가 설치되면 특정 웹사이트에서 파일을 다운로드하는데, 그 파일이 다시 특정 키워드 검색 프로그램을 다운로드한다. 이 스파이웨어는 2005년 6월 처음 발견된 이후 지금까지 가장 널리 퍼진 스파이웨어 중 하나로 사용자의 동의를 받지 않고 설치되며 기존 키워드 검색 프로그램이나 특정 안티스파이웨어 프로그램을 삭제한다.

또한 이 스파이웨어가 설치되면 사용자가 인터넷 주소 표시 줄에 한글 키워드를 입력할 경우 유명 포털이나 웹사이트는 바로 연결하고 그 밖의 키워드를 입력하면 키워드와 연관된 유명 광고 서버의 광고 링크로 이동시킨다. 사용자가 이 광고를 클릭하거나 보면 일정 금액을 광고주 또는 제휴사에서 받는 것을 수익 모델로 삼고 있다. 유포자는 이 스파이웨어의 점유율을 높이기 위해 이처럼 악성 코드를 이용해 자동 설치되도록 한 것으로 추정된다.

안철수연구소 시큐리티대응센터 강은성 상무는 “금전적 이익을 위해 상 도의에 어긋나고 사용자를 괴롭히는 부도덕한 방법을 이용한 전형적인 사례”라고 지적했다.

이 스파이웨어는 안철수연구소의 안티스파이웨어 전문 제품인 스파이제로(AhnLab SpyZero) 최신 버전으로 진단/삭제할 수 있다.