트로이목마 + 피싱 = 스파이웨어, 갈수록 지능화

PC 사용시 자신의 컴퓨터가 느려지거나 팝업이 계속 발생하고 북마크 되지 않은 사이트로 자동 이동이 되는 경험을 해봤을 것이다. 이러한 현상들 대부분이 스파이웨어라 불리는 악성 코드에 의해 발생하고 있고, 최근 스파이웨어는 점차 트로이목마나 피싱과 같은 다른 악성 프로그램의 기능을 내포하며 지능화되고 있다. 그 비중도 크게 늘어나고 있는 실정이다.

스파이웨어의 정의는 일반적으로 사용자의 동의없이 해당 PC로부터 정보를 수집하는 행위를 하는 악성 코드를 의미한다. 여기서 정보란 키로거, 스크린 샷, 인증 크레덴셜, 개인 이메일 주소, 인터넷 사용습관 등의 개인정보를 말한다.

스파이웨어를 통해 수집된 정보는 세가지 목적을 가진 사람 또는 단체에 의해 이용되며, 다양한 동기에서 출발했을 지라도 결국 금전적인 목적으로 정보를 모으고 이용하는 것에 초점을 맞추고 있다. 다시 말해 개인 및 기업의 정보유출과 기업의 마케팅 자료 유출, 내부자에 의한 스파이 활동 등이 여기에 속한다.

얼마전 야후 차이나 자회사인 ‘3721.com┖이 배포하는 소프트웨어를 스파이웨어로 규정한 안철수연구소가 고소를 당한 사건처럼 스파이웨어는 애드웨어와 구별이 용이하지 않으며, 관련 당사자들 간의 의견이 첨예한 실정이다.

국정원 관계자는 “일반적으로 적법한 프로그램이란, EULA나 정확한 개인정보 정책을 보여준 후 설치를 하게하는 프로그램을 의미하며 이를 준수하지 않는 프로그램을 스파이웨어로 볼 수 있다”고 밝혔다.

또한, 그는 “정책이나 동의에 대한 인식이나 이해를 어렵게 해 사용자들이 해당 소프트웨어를 정확히 이해하지 못한 채 동의하게 만드는 사회공학적인 방식을 이용한 프로그램도 스파이웨어로 보아야 한다”고 덧붙였다.

하지만 이런 기준들도 다중 이용자가 이용하는 컴퓨터에 적용하게 되면 많은 문제점을 야기할 수 있다. 다중 사용자 중 한명이 동의했다 하더라도 이를 동의하지 않은 사람들의 다양한 정보가 유출될 수 있기 때문이다. 현재 이를 위해 ‘안티 스파이웨어 콜리션┖ 기구 등에서 노력을 하고 있다.

국정원 관계자는 “결국, 스파이웨어 판단기준은 고지, 승낙, 관리의 세 가지 요건을 만족해야 한다. 응용 프로그램이 설치되는 동안 사용자에게 해당 프로그램이 무엇인지 명확히 알려야 하고 사용자의 필요에 따라 소프트웨어를 설치 및 삭제권한이 주어져야 한다”고 설명했다.

다양한 스파이웨어 설치 유형들

스파이웨어는 트로이목마와 유사한 방법으로 설치되거나 프리웨어나 쉐어웨어의 일부분 그리고 웹 페이지의 액티브 코드를 통해 감염된다. 일반적으로 시스템이나 브라우저의 보안 취약점을 이용한 설치 이외에도 다양한 방법 등을 이용해 사용자의 컴퓨터에 설치되고 있다.

일반적으로 Kazza와 같은 P2P 프로그램 및 프리웨어 소프트웨어 설치시 많이 발견된다. 일부 스파이웨어의 경우, 해당 시스템에 심각한 피해를 입히거나 개인정보를 유출할 수 있다.

사용계약에 개인정보 유출 및 각종 피해행위를 명시하였지만, 사용자가 이에 대한  인지를 만드는 경우다. 또, 일반적으로 Drive-by download로 알려진 방법이다. 사용자가 임의의 웹사이트를 방문시 액티브 엑스 컨트롤이 매번 로드돼 이에 대한 설치를 요구해 해당 사용자가 ‘예’를 클릭한 경우, 사용자가 원하는 페이지를 보여주게 하는 방법이다. 이때 설치된 액티브 엑스를 통해 스파이웨어가 전달되는 경우도 있다.

임의의 소프트웨어 설치가 필요하다는 거짓 정보가 전송되는 경우도 있다. 친구로부터 온 메일을 읽기 위해 임의의 소프트웨어가 필요하다는 거짓된 메시지를 받아 해당 웹 페이지에 접속해 관련 소프트웨어를 다운받는 경우다. 이때 사용자는 동의 절차를 거쳐 해당 프로그램을 설치하게 되고 이때 스파이웨어가 전달되게 된다. 일부 스파이웨어는 설치된 이후 피해 컴퓨터의 이메일 리스트를 검사해 똑같은 메일을 전송하기도 한다.

한편, 시스템이나 웹 브라우저 및 응용 프로그램의 보안취약점을 이용해 스파이웨어를 설치하는 방법도 있다. 일반적으로 iframe, CHM, WMF 등의 취약점이 이용되고 있으며 트로이목마나 기존 악성 프로그램들의 설치되는 방법과 유사한 경우도 있다.

국정원 관계자는 “전체 사이버 위협 중 스파이웨어는 더욱 증가하고 있으며, 다양한 악성 코드의 기능이 점차 통합되고 있어 이에 대한 주의가 필요하다”고 말하고, “그러나 안티 스파이웨어 콜리션 등 많은 기구들의 노력에도 불구하고 스파이웨어의 정의에 대한 논쟁은 아직까지 계속되고 있다. 또한, 막대한 자금이 조달되는 애드웨어 시장의 효율성으로 인해 사용자 프라이버시를 우회해 개인정보를 얻는 방법이 다각도로 연구되고 있다”고 밝혔다.

스파이웨어를 줄이기 위한 방안 

그렇다면 스파이웨어를 줄이기 위한 방법으로는 어떤 것이 있을까? 전문가들은 두 가지 방법을 제시하고 있다.

우선, 보안취약성을 이용해 스파이웨어가 설치되는 경우다. 해당 방법은 기존 악성 코드의 설치방법과 같다고 볼 수 있기 때문에 안티바이러스 소프트웨어나 패치를 설치하는 등의 방법으로 해당 위협을 줄여야 한다.

또 하나는 EULA나 프라이버시 공지를 우회해 스파이웨어를 설치하는 경우다. 일부 애드웨어 회사, 악의적인 성향의 사람들이 이를 이용해 스파이웨어를 설치하고 있으며, 설치의 특성상 여러 가지 보호제품으로 무장한 일반 사용자들도 쉽게 감염되고 있는 것이 실정이다. 이를 피하기 위해서는 지속적인 교육과 효율적인 EULA 및 프라이버시 공지방법에 대한 연구 등이 필요하다고 말하고 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>