• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

가짜백신으로 총 26억 원 편취한 11명 검거 2011.04.04

정상PC를 감염PC로 속여 휴대폰 결제 유도...피해자만 40만 명


[보안뉴스 오병민] 진단기능도 없는 가짜 백신으로 정상PC를 감염PC라고 속여 휴대폰 결제를 유도해 피해자들로부터 유료 요금을 편취한 피의자들이 경찰에 붙잡혔다.


광주지방경찰청(청장 직무대행 김학역) 사이버수사대는 4일 ‘가짜백신’을 대량 유포한 뒤 휴대폰 자동결제를 유도하는 수법으로 약 40만 명의 피해자들로부터 26억 원을 편취한 피의자 11명(29개 가짜백신 사이트 운영자 7명, 프로그램 개발자 3명, 유포자 1명)을 검거(구속영장 신청 3명, 불구속 8명)했다고 밝혔다.

 

 ▲정상파일도 악성파일로 진단하는 가짜 백신. V3나 카스퍼스키 등 유명 보안프로그램도 악성파일로 진단한다. ⓒ경찰청


피의자들은 2009년 11월부터 2011년 2월경까지 악성코드 제거프로그램을 가장한 ‘피씨 OO’, ‘닥터 O’ 등을 개발한 후 프로그램 설치 1건당 40~50원씩 지급하는 조건으로 파트너들을 모집해 인터넷 팝업 광고 등으로 대량 유포했다. 이에 따라 파트너들을 통해 무료 웹하드 업체나 무료 게임 및 유틸리티 배포시 제휴 프로그램으로 함께 유포하거나 포털이나 검색엔진에서 인기키워드를 입력하면 다운로드 사이트가 노출 되게 한 후 제휴프로그램으로 묶어 대량 배포하기도 했다.


유포한 프로그램은 정상PC가 감염된 PC인 것처럼 허위 검사결과를 도출하고 ‘고객님의 PC는 위험한 상태입니다’ 등의 경고 문구를 반복적으로 띄워 공포심을 조장하고 정상적인 시스템 활동을 방해해 피해자들로부터 유료 결제를 유도했다.


특히 이 프로그램은 유해하지 않은 임시인터넷파일과 경쟁업체 유사백신과 안철수 V3와 카스퍼스키 등 유명 PC백신들을 악성코드로 허위 진단해 강제 삭제한 것으로 알려졌다.


더불어 이들은 다른 새로운 프로그램으로 위장하기 위해 프로그램의 이름만 바꿔 민원발생을 억제하고 수익을 극대화하는 수법을 이용하는 치밀함도 보였다. 경찰 측에 따르면 새로운 프로그램으로 위장하기 위해 한 업체당 30~50개의 각자 다른 도메인을 보유하고 있었던 것으로 드러났다.


수사는 최근 서민경제를 침해하는 인터넷 사기 집중단속 과정에서 가짜백신으로 인한 피해사례가 다중 발생하는 것을 확인한데서 시작됐다. 경찰은 이에 따라 국내에 유통 중인 222종의 유사백신 프로그램 전체에 대해 ‘클린시스템’ 검사 등 자체 성능검사를 진행해 정상PC가 감염된 PC인 것처럼 결제를 유도하는 악의적인 프로그램 유포업체를 선정했으며 2011년 1월부터 3개월에 걸쳐 수사를 진행했다고 밝혔다.


수사결과 이들은 백신프로그램의 가장 중요한 요소인 ‘엔진’도 탑재되지 않은 가짜백신을 개발하여 악성코드 제거프로그램으로 위장한 후 국내 모 보안업체에서 제공한 악성코드 분석정보 등을 수집하여 자신들의 ‘진단리스트’로 도용하고 인터넷 팝업 광고 등을 통해 프로그램을 유포해온 것으로 확인됐다.


경찰 측은 수사과정에서 피의자들은 고의적인 허위진단이 아니라 ‘오진’, ‘오탐’이라 주장했지만 거래내역 및 결제대행사 접속기록 등을 분석한 후 프로그램 개발사무실을 급습하여 소스파일 원본을 확보, 디지털 증거분석 등을 통해 단순한 ‘오진’이 아닌 결제를 유도하기 위해 고의적으로 정상파일을 악성코드로 검출되도록 한 사실을 입증했다고 설명했다.

특히 증거분석 결과 이들이 유포한 프로그램은 사용자 컴퓨터의 유해성은 검사하지도 않고 자신들의 진단리스트에 경쟁업체의 유사프로그램 리스트를 추가하여 강제로 삭제시키는가 하면 전혀 유해하지 않은 임시인터넷파일을 무조건 검출되게 함으로 인해 심지어 자신의 사이트에 접속한 흔적까지 악성코드로 검출하는 촌극을 보여줬다고 덧붙였다.


또한 일단 프로그램이 설치되면 자동으로 검사가 시작되고 검사 진행 중에는 중지·종료가 되지 않도록 했으며 유해하지 않은 파일들을 악성코드로 검출한 후 “위험! 00개의 악성코드가 발견되었습니다. 현재 시스템의 치료가 필요합니다. 치료하시겠습니까?”라는 경고창을 30초 간격으로 반복적으로 띄워 정상적인 컴퓨터 사용을 방해하고, 그 선택 란에 “아니오” 버튼을 없애 결제는 쉽고 취소는 까다롭게 만들어 무조건 결제창으로 연결되도록 하는 수법을 이용한 것으로 확인되었다.


이러한 결과 피의자들이 유포한 프로그램이 설치된 피해자들은 악성코드가 발견되었다는 경고창에 100% 노출될 수밖에 없었고 ‘50% 할인이벤트’ 등으로 월 자동결제를 선택하도록 유도한 후 그 익월부터는 매월 9,900원씩을 결제 받는 수법으로 요금을 편취해온 것으로 드러났다. 게다가 한번 결제를 하면 바탕화면에서 ‘아이콘’이 삭제되도록 해 자동결제 사실을 망각하도록 유도했으며 콜센타 전화응대를 고의로 회피해 결제취소·환불 최소화한 사실도 드러났다.


경찰은 측의 관계자는 “이 같은 가짜 무료백신은 무료 웹하드나 게임 제공업체에서 제휴 프로그램으로 배포하여 수익을 얻는 경우가 많기 때문에 가급적 이용하지 않는 것이 바람직하며, 꼭 이용해야 할 경우 작은 문구 하나하나 꼼꼼히 살펴보고 이용해야한다”면서 “반복적으로 경고창을 띄우는 프로그램은 삭제하고 전화요금 등 세부 사용내역을 정기적으로 확인해야 피해를 줄일 수 있을 것”이라고 당부했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>