인기 검색어 검색결과에 따라붙는 악성코드 배포 블로그
최근 블로그 활동을 다시 시작하면서 압축 프로그램, 이미지 뷰어 등을 비롯한 몇몇 프로그램의 리뷰를 포스팅했습니다.
주로 제가 사용 중인 프로그램 위주의 포스팅이지만, 비슷한 종류의 프로그램들과의 비교를 위해 네이버 등의 검색엔진을 검색하는데, 뭔가 좀 이상했습니다.
한줄 요약 : 포털은 나몰라라하는 동안 악성코드 배포 블로그는 포털에서 등수놀이하면서 룰루랄라하고 있다
'UltraEdit', 'FileZilla'와 같은 유명 유틸리티 이름이나 '이미지뷰어', 'FTP 프로그램'와 같이 범위가 넓은 단어를 키워드로 검색하면 상위에 노출되는 블로그들의 문서 첫머리는 앞뒤가 전혀 맞지 않는 문장들로 가득차 있습니다(붉게 표시한 부분)1
굳이 해당 사이트를 클릭하여 들어가보지 않더라도, 복사&붙여넣기로 만들어진 수상쩍은(?) 블로그라는 것을 알 수 있었고, 평소라면 저런 검색 결과를 클릭하지도 않았지만, 이번에는 직접 들어가 봤더니 역시나, 악성코드(애드웨어) 배포 블로그였습니다.
악성코드의 정의와 범위는 위키백과에서 악성코드를 읽어보세요.
이런 블로그들의 스타일은 대개 비슷합니다.
- 네이버나 다음 등 포털의 검색 결과 상위에 노출되고 있으며,
- 해당 게시물을 클릭해 블로그에 들어가면 실행 파일의 다운로드를 유도합니다.2
- 파일을 심어둔 게시물 두어 개 다음에는 반드시 의미없는 문장이 나열된 게시물 두어 개가 포스팅되어 있고 또 다시 애드웨어 포함한 게시물 들을 배치하는 방식으로3
- 게시물이 80~100여 개에 달하는 블로그들이 대부분이었습니다.
수상쩍은 블로그에서 배포되는 파일의 정체는?
포스팅 내용에 조금만 관심을 기울여 읽어보면 뭔가 수상쩍다는 것을 쉽게 알 수 있습니다.
때문에 평소 저런 사이트에서는 아예 파일을 받아본 적이 없었는데 이번에는 도대체 어떤 파일인지 궁금하여 직접 설치해보기로 했습니다.
당시 윈도우 8 컨슈머 프리뷰를 살펴보고 있던 중이라 윈도우8에서 실행해 보았습니다.
FTP 프로그램인 FileZilla라고 적혀있는 파일을 다운로드하여 실행했더니 다시 '다운로더'가 뜨면서 [실행] 버튼을 클릭하여 FileZilla를 전송받는 화면이 나옵니다.
사실, 이런 파일을 다운로드하여 실행하면 원하는 파일은 주지도 않고 다짜고짜 악성 코드를 심어댈 줄 알았는데, 제목에 적혀있던 파일을 전송하긴 합니다.
그런데 다운로더 중간, 노랗게 표시한 '제휴 프로그램 추가 설치 및 약관에 동의합니다' 항목을 보세요.
얼핏 여기에는 하나의 체크 표시만 있는 듯 보이지만 , 커서가 있는 붉은 테두리 영역을 보면 아래위 화살표가 있습니다.
이 화살표를 클릭해보면 10개가 훌쩍 넘는 '제휴 프로그램'들이 숨어 있습니다.
이 체크를 해제하려면 화살표 클릭하고 체크 해제하고, 화살표 클릭하고 체크해제하고...를 10회 넘게 반복해야 합니다.
일단, 여기서는 뭐가 깔리는지 확인하려는 의도이므로 체크를 그대로 둔 상태로 설치를 진행했습니다.
FileZilla 설치 파일이 다운로드 되는가 싶더니 설치가 시작됩니다.
설치가 진행되면서 바탕화면에는 의례 바로가기 아이콘이 여러 개 생겼고 또 다른 프로그램 설치가 진행되다가 에러를 내고 멈춰버렸습니다.
윈도우 8에서 설치해서 그런가? 싶었는데. 그게 아니더군요. 윈도우 8에 내장된 안티 스파이웨어, 윈도우 디펜더가 '제휴 프로그램' 중 하나를 악성 코드로 판단하고 차단해버린 것이었습니다.
어쨌든 이런 '제휴 프로그램' 들의 설치가 끝나자 원래의 목적이었던 FileZilla의 설치도 진행되었습니다.
설치가 끝난 후 인터넷 익스플로러의 애드온 설정창을 열었더니 다양한 종류의 툴바와 애드온들이 빼곡이 설치되어 있었습니다.
악성 파일 배포 블로그를 다음 고객 센터에 신고했더니
이제 이런 블로그에 올려진 프로그램들이 어떤 식으로 애드웨어를 설치하는지 확인했으니, 신고해보기로 했습니다.
이러한 블로그들은 대개 티스토리와 다음 블로그에서 운영되고 있었기에, 일단 다음 고객센터를 통해 해당 파일이 올려진 블로그 약 10여 개를 2회에 걸쳐 악성 코드로 신고했습니다.4
하지만, 다음날 돌아온 답장은 의외였습니다. 신고한 10여개의 블로그 중 1개의 게시물만 삭제조치 했고, 나머지는 문제가 없다는 내용이었습니다.
해당 블로그들은 블로그 제목이나 레이아웃, 올려진 글의 형태, 다운로더 파일에 남겨진 흔적을 조금의 관심만 가지고 살펴보면 동일인이 올린 것임을 쉽게 알 수 있었지만, '모든 게시물에 동일한 원칙을 적용한다'는 내용이 무색하게도 하나만 삭제 처리가 되었네요.
메일을 받고 다음 고객센터에 전화를 해 상담원에게 직접 물어봤습니다(편의상 반말로 표기합니다).
A. 검사팀에서 파일을 확인한 결과 차단한 블로그에서만 악성 코드가 발견되었다.
Q. 동일인이 올렸고, 동일한 애드웨어들을 설치하는데 어떻게 한가지만 차단할 수 있나?
A. 검사팀에서 그런 결과를 알려왔다. 원한다면 검사팀에 다시 의뢰를 해보겠다.
이후 2~3차례 반복하여 통화하며 자세히 설명하자 처음에 문제없다던 파일에서 2개를 더 차단했습니다.
하지만, '차단'이라고 하는 것 역시 블로그의 해당 페이지만 차단하는 것일 뿐, 같은 블로그의 다른 포스팅은 그대로 남아 있더군요. 또 물었습니다.
A. 블로그 차단은 법적인 근거 없이 함부로 차단할 수 없으며, 신고가 들어온 페이지만을 검사, 문제가 있으면 해당 페이지만 처리한다.
Q. 그렇다면 다른 페이지를 차단하려면 해당 페이지를 각각, 일일이 신고해야 하는 것인가?
A. 그렇다. 따로따로 신고해야 한다.(얼핏봐도 블로그 하나당 20~30개의 파일이 있는데, 그냥 신경 끄라는 말로 들립니다)
뭐 그건 그렇다 치고, 애드웨어에 대해 물었습니다.
Q. 유틸리티를 가장하여 십여 개가 넘는 애드웨어를 설치하는데, 저런 프로그램들은 차단해야 하는 것 아닌가?
A. 확인한 결과, [제휴 프로그램]들은 사용자가 선택 해제할 수 있도록 되어 있었다. 사용자가 선택할 수 있는 프로그램들은 차단하지 않는다.
- 십여개가 넘는 항목들의 체크박스를 일일이 모두 해제해야하고, 그것도 화살표를 일일이 클릭해 화면을 넘겨야하는 꼼수를 쓰고 있음에도, '선택할 수 있게' 했기때문에 문제가 없다는 얘기입니다.
Q. 그럼 처음에 차단했다고 하는 프로그램도 똑같은 체크 박스가 있어 사용자가 선택할 수 있는데, 그건 왜 차단한 것인가? 반대로, 다른 것은 왜 남겨두는가? 앞뒤가 안맞는거 아닌가?
A. 검사팀에서 나온 결과가 그렇다. 그쪽 툴로 검사해서 문제없다면 우리도(상담원) 어쩔 수 없다. 원한다면 다시 검사를 의뢰하겠다(이 말을 참 좋아합니다)
Q. 검사팀에서 사용하는 툴이 뭔가? 윈도우에 기본으로 깔린 윈도우 디펜더에서도 잡아내고, Avast도 잡아내고, VirusTotal에 업로드해보니 여러 백신 엔진에서 악성코드로 진단하는데, 검사팀에서는 무엇을 사용하길래 같은 종류의 파일임에도 결과가 다른가?
A. 보안상 알려줄 수 없다. 알려지면 악용될 우려가 있다.
상담원과 통화하고 상담원은 다시 검사팀에 의뢰하고 다시 통화하기를 몇차례 반복했지만 결과는 크게 다를 바 없었습니다.
어떤 식으로든 사용자가 체크를 해제할 수 있으면 문제 삼을 수 없고, 검사팀의 백신에서 검색이 되지 않으면 문제를 삼을 수 없다는군요. 저는 특별히 강력한 백신으로 검색한 것도 아니고 윈도우8에 기본 설치된 윈도우 디펜더에서 조차 악성 코드로 잡아내는 것인데 말이죠.
네이버 고객 센터에 신고했더니
다음 블로그나 티스토리 블로그가 노출되는 곳은 대부분 네이버 검색 결과입니다.
네이버 검색 첫페이지를 차지하기 위해 같은 성향(동일인이 만든 것으로 보이는)의 블로그들 몇 개가 검색 결과 상단을 차지하기 위해 주거니 받거니(어뷰징) 하고 있었습니다.
네이버 고객센터에 전화를 하여 자초지종을 설명하자, 어떤 검색어로 검색했는지 알려달라고 합니다.
3~4개의 검색어를 불러주었고, 검색 결과를 보면 누가봐도 빤히 보이기에, 한꺼번에 처리될까 기대했는데, 이 역시 괜한 기대였습니다.
검색어 결과에서 신고하려는 블로그의 이름을 하나하나 읽어달라는군요.
예를 들어 'UltraEdit'라는 검색어로 나온 결과에서 10개의 블로그가 나왔다면, 10개의 블로그 제목을 쭈~~~욱~~~ 읽어야 한다는 것입니다.
한 번씩만 클릭해보면, 어떤게 악성코드를 배포하기 위한 블로그인지 쉽게 확인이 가능할텐데도, '워낙 많은 신고가 들어오기때문에 신고자가 일일이 불러줘야 한다'는 군요. 어쩌면, 네이버가 임의로 삭제한게 아니라 신고가 들어와 삭제한다는 기록을 남겨두기 위한 의도로 짐작되기도 합니다.
몇 개의 키워드만 얘기해주면 될 줄 알았던 저는 10여 개의 블로그 제목을 불러주고, 상담원이 확인하면 맞다고 대답해주기를 반복하다가 포기하고 전화를 끊었습니다.
'상식적인' 대응을 하지 않는 포털 고객 센터
포털에서 마구잡이로 블로그 게시물을 삭제하거나 블로그를 폐쇄하면 안되는 것은 당연합니다. 단, 로봇이 아닌 '사람'이 운영하는 블로그라면 말이죠.
- 게시물 두 세개만 클릭해서 읽어 보면, 분명 정상적인 블로그가 아니란 것을 쉽게 알 수 있고 유틸리티라고 올려진 파일은 십여 개가 넘는 애드웨어를 깔아대는 악성 프로그램임에도, 이런 저런 이유를 대며 조치를 취할 수 없다고 합니다.
- 검사팀이란 곳은 같은 업체로 유도하는, 동일인이 배포한 파일들 임에도 어떤 것은 악성코드고, 어떤 것은 악성코드가 아니라고 합니다. 게다가 두 번, 세 번 재검사를 요청하면 문제없다던 파일이 악성 코드로 확인되어 조치했다고 합니다.
- 자사 검색 결과가 악성 프로그램을 배포하는 어뷰저들의 놀이터가 되고 있음을 알려주고 조치를 취해달라고 하니, 신고하는 사람에게 문제가 되는 블로그 제목을 하나씩~하나씩~ 읊어달라고 합니다.
같은 키워드를 구글, 네이버, 다음에서 각각 검색해보면 검색 결과는 판이하게 다릅니다.
신고가 워낙 많이 들어와 처리하는데 한계가 있다던 네이버 상담원의 말, 그게 핑계로 할만한 말인지 다시 생각해보게 되는군요.
사족
이런 저런 규정만 얘기하면서 처리할 수 없다는데, 나만 안받고 실행 안하면 되지 굳이 내 시간과 체력과 전화비를 들여가며 더 이상 신경쓸 필요없다 싶었지만,
'사용자가 체크를 해제할 수 있으면 문제 삼을 수 없다'고 말하던 다음 상담원의 얘기가 떠올라, 윈도우XP에서 마지막 실험을 해봤습니다.
다운로더의 오른쪽 구석에 숨어 있는 체크 박스를 하나하나 클릭하여 체크를 모두 해제하고, 설치를 해봤는데요,
이렇게 하니 바탕화면에 아이콘은 생기지 않습니다.
대신 바탕화면 오른쪽 하단에서 로또 광고가 시도때도 없이 솟아오르고, 시작 프로그램을 확인해보면 다양한 툴바와 애드온들이 설치가 되어있네요.
'체크박스와 사용자의 선택권' 얘기만 반복하던 상담원과 검사팀, 과연 백신으로 한 번 돌려봤을까? 몇 번씩이나 전화를 했는데, 한 번 설치를 해보긴 했을까? 하는 생각에 씁쓸해졌습니다.
- 2013/02/12 - 블로그 방문자수 늘리기, 숫자만 늘면 방법은 상관없다?
- 2012/12/06 - 내 포스팅을 무단 도용한 블로그, 저작권 침해 신고 방법은?
- 2012/11/26 - 크롬 브라우저가 내 블로그를 악성코드로 차단! 대처 방법은?
- 2012/07/25 - 굿바이 네이버 백신, 그동안 수고 했다!
- 2012/06/18 - 알집, 알씨가 왜 싫으세요?
- 2012/06/07 - 자꾸 이런식으로 광고할래?
- 2010/07/12 - 짜증나는 플래시 광고 사운드 차단하기
- 2010/06/23 - 넷피아
- 2010/02/16 - 곰플레이어에 쥐락펴락 당하다
- 2009/10/18 - USB 메모리 바이러스 감염, 전파 방지를 위한 조치들
- 2009/10/17 - 바이러스 감염에 의한 숨김 파일 표시 설정 불가 증상
'컴퓨터 활용, 최적화 > 윈도우 인터넷 팁' 카테고리의 다른 글
| 애플 고객 지원센터에서 날아온 훈훈한 메일 (37) | 2012.08.13 |
|---|---|
| 애플 앱스토어 비밀번호 복구에 5일, 내 실수지만 개운치 않은 이유 (34) | 2012.08.09 |
| [윈도우팁]시작 메뉴의 전원 버튼 설정 바꾸기 (2) | 2012.06.14 |
| [윈도우팁] 어딨더라? 윈도우7, 기능 한 큐에 찾기 (4) | 2012.06.12 |
| 자꾸 이런식으로 광고할래? (12) | 2012.06.07 |
- 컴퓨터 활용, 최적화/윈도우 인터넷 팁
- 2012. 7. 20. 09:44
댓글 :: 질문 댓글은 공개글로 달아주세요. 특별한 이유없는 비밀 댓글에는 답변하지 않습니다