untitled

스파이웨어 사례집 2007. 12

목 차 스파이웨어란 1 스파이웨어 기준 전제 조건 설명 3 각 기준별 스파이웨어 사례 5 1) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 웹브라우저 등 이용자가 그 용도를 명확하게 인지 하고 동의한 프로그램(이하 정상 프로그램 이라 한다) 또는 시스템의 설정을 변경하는 행위 5 2) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 정상 프로그램 또는 시스템의 운영을 방해, 중지 또는 삭제하는 행위 32 3) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 정상 프로그램 또는 시스템의 설치를 방해하는 행위 39 4) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 정상 프로그램 외의 프로그램을 추가적으로 설치하는 행위 42 5) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 이용자가 프로그램을 제거하거나 종료시켜도 당해 프로그램(당해 프로그램의 변종도 포함)이 제거되거나 종료되지 않는 행위 51 6) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 키보드 입력 내용, 화면 표시 내용 또는 시스템 정보를 수집, 전송하는 행위 60 관련 법률 68

스파이웨어란 스파이웨어는 악성프로그램의 일종으로 이용자의 동의 없이 또는 속여 설치 되는 행위를 하며 시스템 및 정상 프로그램의 설정을 변경하거나 운영을 방해 하고 이용자 몰래 정보를 빼내는 등의 악성행위를 하는 프로그램을 말한다. 이러한 스파이웨어는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제2항의 규정에 의한 악성프로그램에 해당되어 스파이웨어 유포 시에는 정보통 신망법 제71조에 의해, 징역 5년 이하의 형벌 대상이 된다. 뿐만 아니라, 사안에 따라서는 전자상거래 등에서의 소비자보호에 관한 법률 제21조제1항에 따른 소 비자 기만행위, 약관의 규제에 관한 법률 제3조와 제17조에 따른 약관 명시 의무 및 불공정 약관 사용 금지 등의 법률규정에 의해 처벌될 수도 있다. 스파이웨어는 각종 인터넷 게시판, 이메일 등을 통해 광범위하게 배포되고 있으며, 이로 인하여 부지불식간에 수많은 PC에 설치됨으로써 인터넷 이용 시마다 성인물을 담은 각종 팝업 화면이 연쇄적으로 뜨고 삭제도 제대로 되지 않는 등 이용자 피해가 발생하고 있다. 특히, 최근에는 금전적 이득을 취할 목적으로 이용자 들이 특정 서비스에 대해 결제를 하도록 유도하는 스파이웨어들이 배포되고 있다. 이렇게 스파이웨어에 대한 피해 및 사용자의 불만이 증가하고 있어 정보통 신부에서는 스파이웨어에 대한 보다 구체적인 다음과 같은 스파이웨어의 기 준을 제시하였다. 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 다음 각 호의 어느 하나에 해당 하는 행위를 수행하는 프로그램은 스파 이웨어에 해당(ActiveX 보안 경고 창만을 이용한 설치는 동의로 간주하지 않 으나, 해당 웹사이트의 서비스를 이용하기 위해 그 사이트를 방문 때만 실행 되는 프로그램은 예외로 함) 1) 웹브라우저 등 이용자가 그 용도를 명확하게 인지하고 동의한 프로그램 (이하 정상 프로그램 이라 한다) 또는 시스템의 설정을 변경하는 행위 2) 정상 프로그램 또는 시스템의 운영을 방해, 중지 또는 삭제하는 행위 3) 정상 프로그램 또는 시스템의 설치를 방해하는 행위 4) 정상 프로그램 외의 프로그램을 추가적으로 설치하게 하는 행위 - 1 -

5) 이용자가 프로그램을 제거하거나 종료시켜도 당해 프로그램(당해 프로 그램의 변종도 포함)이 제거되거나 종료되지 않는 행위 6) 키보드 입력 내용, 화면 표시 내용 또는 시스템 정보를 수집, 전송하는 행위 (다만, 정보통신서비스제공자가 이용자의 개인정보를 수집하는 경우는 정보통 신망 이용촉진 및 정보보호 등에 관한 법률 제50조의5의 규정을 적용한다) 본 사례집에서는 이러한 스파이웨어의 6가지 기준에 해당하는 실제 스파이웨 어에는 어떤 유형들이 있는지 사례를 제시함으로써 프로그램 개발자 및 배포자 에게는 자신들의 프로그램이 스파이웨어 행위에 해당되지 않도록 주의 환기를 시키고 이용자들에게는 스파이웨어 행위의 구체적 사례를 참고함으로써 유사 행위로 인한 피해를 입지 않도록 돕고자 한다. - 2 -

스파이웨어 기준 전제 조건 설명 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 다음 각 호의 어느 하나에 해당하는 행위를 수행하는 프 로그램은 스파이웨어에 해당(ActiveX 보안 경고 창만을 이용한 설 치는 동의로 간주하지 않으나, 해당 웹사이트의 서비스를 이용하기 위해 그 사이트를 방문 때만 실행되는 프로그램은 예외로 함) o 설치되는 과정을 포함 시킨 것은 설치 완료후의 행위뿐만 아니라 설치 과정 중에 이용자 피해를 발생시키는 악성 행위를 제제하고자한다. o 특히, ActiveX 무단 설치 방식으로 인한 이용자 피해를 최소화하기 위하여 ActiveX 설치 방식 중 동의로 간주하지 않는 것에 대해서 구체적으로 기준에 명시한다. 사례1. 보안 설정에 따른 ActiveX 설치 과정에서 ActiveX 보안 경고 창이 나타나더라도 동의로 간주하지 않음 [ActiveX 설치 방식에서 이용자 동의를 구하지 않는 경우] - 3 -

o ActiveX 보안 경고 창은 설치되는 프로그램 자체에서 제공하는 사용자 인터 페이스가 아니라, 인터넷 웹브라우저에서 제공하는 경고 창임으로 이용자에게 해당 경고창만을 보여주고 설치하는 행위는 동의로 간주하지 않는다. 사례2. 이용자의 동의 없이 설치되는 ActiveX 중 예외 사항 o ActiveX 보안 경고 창만을 이용하는 모든 자동 설치 프로그램들을 제재하는 것이 아니라, 은행, 전자정부 및 쇼핑몰 등과 같이 해당 사이트 서비스를 이용하기 위해 사이트 방문때만 실행되는 프로그램은 예외로 한다. o 따라서, ActiveX 보안 경고 창만을 이용하여 자동 설치되는 프로그램들은 해당 웹페이지를 벗어나면 실행되어서는 안된다. [ActiveX 설치 방식에서 보안 경고 창만을 이용한 설치이지만 예외 인 경우] - 4 -

각 기준별 스파이웨어 사례 1) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 웹브라우저 등 이용자가 그 용도를 명확하게 인 지하고 동의한 프로그램(이하 정상 프로그램 이라 한다) 또는 시스템의 설정을 변경하는 행위 사례1. ActiveX 설치 방식의 프로그램이 이용자의 동의 없이 또는 설치되는 과정 중에서 시스템 설정을 변경 o ActiveX 설치 방식으로 이용자의 동의 없이 프로그램이 설치되면서 파일, 폴더 생성 및 레지스트리 등록 등의 시스템 설정 변경 행위를 한다. [이용자 동의 없는 ActiveX 설치 예] - 5 -

사례2. 불특정 사이트 또는 게시판, 블로그를 통하여 이용자를 속여 설치되거나, 이용자의 동의 없이 ActiveX 등의 형태로 시스템에 등록, 설치 o 특정 게시물에 삽입되어 있으며, 주로 주요검색어 등을 이용하여 클릭을 유도한다. o 웹브라우저 보안 설정이 낮은 이용자의 경우 ActiveX 보안 경고 창도 나 타나지 않는 상황에서 프로그램이 설치된다. [블로그, 게시판, 광고 웹페이지에서 이용자 동의 없는 ActiveX 설치 예] 사례3. 즐겨찾기에 원하지 않는 페이지가 추가되거나 바탕화면 등에 바로가 기가 생성됨 o 사용자에게 유용한 프로그램으로 위장하여 설치를 유도하며, 사용자 동의 없이 바로가기와 즐겨찾기에 추가하고 인터넷 익스플로러 홈페이지를 변경한다. - 특정 웹페이지에 방문하면, 아래와 같은 테스트 인증서를 사용하는 보안경고 창을 출력하고 "최신정보O OOOOO"라는 제목으로 사용자의 설치를 유도 한다. - 6 -

[이용자 동의 없는 ActiveX 설치 과정] ActiveX 보안 경고창은 프로그램에 대한 충분한 설명이 불가능하며, 인터넷익스플로러 보안설정에 따라 보안 경고창 자체가 나타나지 않을 수 있기 때문에 설치에 대한 사용자 동의를 얻는 과정으로 볼 수 없으 며, 또한 사용자에게 바로가기가 설치된다는 사실을 제공하지 않는다. - 해당 파일의 오른쪽 마우스를 클릭 한 후 설정 을 선택하거나 인터넷익 스플로러의 도구 메뉴에서 인터넷옵션 설정 개체보기 에서 다 음과 같은 설치여부를 확인할 수 있다. [ActiveX 설치 후에서 웹브라우저 개체로 등록된 예] - 7 -

- 사용자 동의 없이 바탕화면과 빠른실행에 해당 사이트의 바로가기를 생성 하고 인터넷 익스플로러의 홈페이지도 변경한다. [시스템 설정을 변경하여 빠른실행으로 등록된 예] - 즐겨찾기에 해당 사이트의 바로가기를 생성하며 즐겨찾기와 바탕화면 등 에 설치된 바로가기를 삭제해도 해당 사이트에 접속할때마다 삭제한 바 로가기가 다시 생성된다. [즐겨찾기에 특정 사이트가 등록된 예] o 유명 포털 사이트의 게시물에 등록하여 해당 게시물을 클릭할 경우 설치 를 유도하게 된다. 설치된 스파이웨어는 바탕화면에 특정 사이트로 연결 하는 정상적인 인터넷 익스플로러와 같은 이름의 단축아이콘을 생성하여 사용자에게 혼란을 초래한다. - 유명 포털 사이트의 카페 등의 게시물에 IFRAME 태그를 사용하여 특정 사이트의 HTML 문서를 게시물에 삽입하도록 한다. [IFRAME으로 설치 유도용 게시물이 삽입된 예] - 8 -

- IFRAME 태그를 통해 삽입된 문서에는 또 다른 HTML 문서가 IFRAME 태그를 이용하여 삽입되어 있으며 삽입된 문서에는 ActiveX 보안경고창 을 설치하는 부분이 포함되어 있다. [IFRAME으로 설치 유도용 게시물이 삽입된 예] - 다음과 같은 ActiveX 보안경고창의 설치 여부를 묻는 창이 뜬다. [설치 유도용 게시물에서 나타나는 ActiveX 보안 경고 창] - 설치가 되면 바탕화면에 정상적인 인터넷 익스플로러와 이름이 같은 단축 아이콘을 생성한다. [인터넷 익스플로러를 가장한 바로가기 생성] - 생성된 단축 아이콘은 다음과 같은 특정 사이트로 연결된다. - 9 -

[바로가기의 주소가 특정 사이트를 링크함] - 즐겨찾기에도 정상적인 인터넷 익스플로러와 이름이 같으나 실질적으로는 특정 사이트로 이동하는 단축 아이콘이 생성된다. [인터넷 익플로러 이름을 가장한 즐겨찾기 등록] 사례4. 브라우저의 검색 설정을 변경하고 도구 메뉴에 바로가기 항목을 생성함 o 유명 포털 사이트의 카페 게시판을 통해 설치되어 특정사이트로의 접속을 - 10 -

유도하며 인터넷익스플로러의 검색 설정등을 변경한다. 생성된 파일은 Microsoft 사의 정상적인 파일처럼 위장하여 사용자에게 혼란을 유도한다. - 유명 포털 사이트의 카페 게시판 등에 사용자에게 호기심을 자극하는 선 정적인 제목의 게시물을 올리고 클릭 시 ActiveX를 통해 설치된다. [유명 포털 사이트 게시판에 게시된 설치 유도용 게시물] - ActiveX를 통해 설치되면 다음과 같은 파일들이 생성된다. 생성된 파일들의 이름이 Microsoft사의 정상적인 파일들의 이름과 유사하여 사용자에게 혼란을 야기할 수 있다. [시스템 파일과 유사한 이름의 파일들이 생성] - msservice.exe 파일이 윈도우의 서비스에 등록되며 시스템 부팅시마다 실행된다. - 11 -

[시스템 부팅시 자동으로 실행되는 예] - msservice.exe 파일의 등록 정보에 회사를 Microsoft Corporation으로 위장 하여 사용자에게 마치 Mircosoft 윈도우즈의 정상적인 파일로 신뢰성을 주도록 위장한다. [프로그램 등록 정보를 Microsoft에서 제작한 것처럼 위장] - 시스템 부팅 시 자동으로 실행되도록 다음과 같은 레지스트리를 등록한다. 이때 정상적인 윈도우즈 파일의 파일명과 유사하여 사용자가 정상적인 - 12 -

파일로 오인 할 수 있다. [레지스트리 정보를 변경하여 부팅 시 마다 실행되도록 함] - 인터넷 주소창에 검색어를 입력하면 특정 사이트의 검색엔진으로 연결되며 다음과 같이 인터넷익스플로러의 도구 메뉴에 바로가기 메뉴를 생성한다. [웹브라우저의 설정을 변경하여 특정 사이트가 링크된 메뉴 생성] 사례5. 사이드바를 생성하고 주기적으로 광고 팝업창을 띄움 o ActiveX 컨트롤 등을 통해 설치되며 설치된 스파이웨어는 사이드바를 생성 하고 주기적으로 광고 팝업창을 띄워 이용자에게 불편을 초래한다. - 다음과 같은 사이드 바가 생성된다. [웹브라우저의 설정을 변경하여 광고창을 띄우는 사이드 바 생성] - 13 -

- 주기적으로 다음과 같은 광고 팝업창을 띄운다. [주기적으로 나타나는 광고창] 사례6. 툴바를 설치하거나 인터넷 익스플로러 메뉴 등에 추가하며 스파이웨어 제거 프로그램의 탐지를 피함 o 인터넷 게시판, 개인 블로그 등을 통하여 ActiveX 형태로 배포되며 사용자 동의 없이 툴바를 설치한다. - 인터넷 게시판, 개인 블로그 등을 통하여 ActiveX 형태로 배포되며, 제공 되는 내용만으로는 어떤 용도의 프로그램을 설치하는지 알 수 없다. [설치 유도용 게시물에서 나타나는 ActiveX 보안 경고 창] ActiveX 보안 경고창은 프로그램에 대한 충분한 설명이 불가능하며, 인터 - 14 -

넷익스플로러 보안설정에 따라서 이 보안 경고창 자체가 나타나지 않을 수 있기 때문에 프로그램 설치의 사용자 동의를 얻는 과정으로 볼 수 없다. - 다음과 같이 광고링크를 포함하는 검색툴바를 설치한다. [ActiveX 설치 후 툴바가 생성된 예] - 툴바를 설치하는 경우 윈도우 탐색기와 인터넷 익스플로러의 도구모음을 확장하여 메뉴 및 도구모음을 추가한다. 주로 성인사이트 방문을 유도하는 방법에 사용되며, 사용자가 스파이웨어에 의하여 추가된 메뉴 또는 도구 모음을 사용하면 원하지 않는 웹 페이지를 방문하게 된다. - 안티바이러스 또는 스파이웨어 제거 프로그램과 같은 보안 프로그램의 탐지 등을 피하기 위해서 다음과 같이 임의의 파일이름을 사용한다. C:\WINNT\system32\gocniuxjhtzowthy\usxyreiemobaflji.dll [백신 탐지를 피하기 위한 임의의 이름으로 폴더 및 파일 생성] 사례7. 브라우저에 툴바를 설치하고 윈도우의 작업관리자와 이름이 같아 사용자에게 마치 정상적인 프로그램처럼 위장함 o 유명 포털 사이트 등의 특정 게시물을 클릭할 경우 ActiveX에 의해 설치 되어 툴바를 생성하며 윈도우의 작업관리자와 이름이 같아 사용자에게 - 15 -

마치 정상적인 프로그램처럼 위장한다. - 다음과 같은 ActiveX 컨트롤에 의해 설치된다. [설치 유도용 게시물에서 나타나는 ActiveX 보안 경고 창] - C드라이브의 Program Files 디렉토리에 exxxxxxsi 디렉토리를 생성한 후 다음과 같은 파일들을 생성한다. [프로그램 실행과 관련된 파일들이 생성된 예] - 16 -

- 시스템 부팅시 자동으로 실행되도록 다음과 같은 레지스트리를 등록한다. [부팅 시 자동 실행되도록 레지스트리에 등록] - 실행된 프로세스의 이름이 윈도우의 정상적인 작업관리자 프로세스와 같아 사용자에게 마치 정상적인 프로세스처럼 위장한다. [정상프로그램 프로세스와 같은 이름의 프로세스가 실행됨] 파란색 : 정상적인 작업관리자 프로세스 빨간색 : 작업관리자와 같은 이름으로 위장한 스파이웨어 프로세스 - 스파이웨어가 설치되면 다음과 같은 툴바가 생성된다. [툴바가 생성된 예] - 17 -

- 정상적인 검색 엔진을 통해 검색어를 입력할 경우 설치된 툴바를 통해 브라우저 사이드 바에 함께 나타난다. [툴바에 의하여 사이드 바가 생성된 예] 사례8. 설치여부를 묻는 보안경고창의 아니오 를 클릭해도 다시 보안경고창을 띄우며 웹브라우저의 시작페이지를 변경하고 즐겨찾기, 바탕화면, 시 작메뉴 등에 바로가기 아이콘을 생성함 o 유명 포털 사이트의 카페 게시판 등을 통해 설치되며 특정 사이트를 홍 보하기 위한 목적으로 제작되어 시작페이지를 고정시키고 즐겨찾기, 바탕 화면 등에 특정 사이트의 바로가기 아이콘을 생성한다. - 유명 포털 사이트의 카페에 호기심을 자극하는 제목으로 게시물을 올려 이용자가 클릭할 경우 ActiveX 보안 경고 창을 띄어 설치를 유도하며 HTML 소스에 다음과 같은 ActiveX 관련 소스코드를 약 10여개 이상 연 속하여 작성하여 아니오 를 눌러 설치를 취소할 경우에 설치를 계속해서 유도한다. - 18 -

[다량의 ActiveX 링크 유포하는 웹페이지 소스] - ActiveX 보안경고창은 OOO 까페 라는 이름으로 설정하여 사용자는 정 상적인 해당 포털 사이트의 카페와 관련된 설치물로 오해할 수 있다. [다량의 ActiveX 설치 유도용 게시물에서 나타나는 ActiveX 보안 경고 창] 유명 포털사이트의 카페 같은 경우 카페를 이용하기 위해 기본으로 ActiveX 컨트롤을 설치하여야 하므로 사용자는 이와 같은 용도로 혼동 할 수 있다. - C드라이브 윈도우 디렉토리의 Downloaded Program Files 폴더에 다음과 같은 ActiveX 컨트롤 파일이 생성된다. - 19 -

[ActiveX 등록 정보] - 설치 된 ActiveX 컨트롤에 의존하는 다음과 같은 파일들이 해당 디렉토리에 생성된다. [ActiveX 관련 파일 정보] - 해당 파일에는 시작페이지 및 레지스트리 등에 등록할 정보를 가지고 있다. - 20 -

[ActiveX 관련 파일 세부 정보] - 다음과 같이 바탕화면, 시작메뉴, 즐겨찾기 등에 바로가기 아이콘을 등록 한다. [바탕화면, 시작메뉴 등록 과정] - 바탕화면과 즐겨찾기에 특정 사이트로 바로가기 단축 아이콘이 생성된다. [바탕화면, 시작메뉴 등록 과정] - 시작메뉴에 특정 사이트로 바로가기 단축 아이콘이 생성된다. [바로가기 아이콘 생성] - 21 -

- 인터넷 시작페이지를 특정 사이트의 주소로 변경한다. [웹브라우저 시작 페이지 변경] 사례9. 운영체계의 설정을 변경하여 자신이 탐지 되지 못하도록 백신 프로그 램의 업데이트를 차단 o 사용자 동의 없이 Hosts 파일을 변조하여 보안관련 웹사이트의 접속을 방해하며 인터넷 익스플로러 설정을 변경하고 다른 유해 가능 프로그램을 다운로드하여 설치한다. Hosts 파일이란? IP주소와 호스트 이름을 매핑 시켜주는 파일로서 기본적으로 Windows 는 인터넷 통신을 할 때 DNS보다는 hosts 파일을 먼저 참조하며, hosts 파일에서 원하는 호스트명을 찾는다면 더 이상 DNS에 쿼리(query, 질의)를 하지 않는다. Hosts 파일은 [드라이버 폴더]\etc 폴더 내에 존재한다. - Hosts 파일은 사용자가 요청한 도메인 이름을 DNS 서버에 물어보기 전에 해당 도메인 이름의 주소가 존재하는 경우 DNS 서버에 요청을 취소하고 호스트 파일의 주소로 접속하게 하는 시스템 설정파일로 다음과 같은 경로에 위치하는 텍스트 파일이다. Windows 9x, Me 의 경우 : %시스템디렉토리%\Hosts - 22 -

Windows NT, 2000, XP의 경우 : %시스템디렉토리%\drivers\etc\Hosts - 변조되기 전의 Hosts 파일의 내용은 다음과 같다. [정상적인 Hosts 파일] - 변조된 후의 Hosts 파일의 내용은 다음과 같이 유명 보안 관련 사이트의 주소를 127.0.0.1의 로컬호스트 주소로 변경한 것을 알 수 있다. 이 경우 사용자는 보안관련 사이트의 접속이 불가능하고 보안 프로그램의 업데이 트가 불가능하게 된다. [변조된 Hosts 파일] - 23 -

사례10. 시스템 설정(레지스트리)을 변경해 인터넷 익스플로러의 보안설정을 낮게 함 o 인터넷 익스플로러의 보안설정을 변경하여 악의적인 컨텐츠를 포함한 웹 사이트에 접속하는 경우 사용자 동의 없이 유해가능 프로그램이 설치될 수 있다 - 프로그램이 실행되면 인터넷 익스플로러 보안설정 중 인터넷 영역의 보안 수준을 낮게 변경하여 악의 적인 ActiveX 프로그램을 포함한 웹 사이트 방문 시에 별도의 사용자 허가 없이 대부분 컨텐츠의 다운로드 및 실행이 가능하게 한다. - 또한 특정 사이트를 신뢰할 수 있는 사이트 항목에 추가한다. 신뢰할 수 있는 사이트는 사용자가 컴퓨터나 데이터에 손상을 입히지 않고 파일을 다운로드 하거나 실행할 수 있다고 확신할 수 있는 사이트이며, 이 사이 트에 대한 기본 보안 수준은 낮음으로 설정된다. - 실행되고 난 후 인터넷 옵션의 설정 항목이 다음과 같이 변경된 것을 볼 수 있다. [웹브라우저 보안 설정이 낮게 변경] - 24 -

- 이 경우 서명이 안 되거나 안전하지 않는 것으로 표시된 ActiveX 컨트롤 들도 설치가 가능하며 악의적인 코드를 포함하는 웹 사이트에 방문하는 것만으로도 다수의 스파이웨어와 같은 유해가능 프로그램이 설치될 수 있다. 사례11. dll 파일을 주요 프로세스에 삽입하여 자신의 디렉토리를 숨김 o 인터넷 익스플로러 업데이트 프로그램으로 위장하여 설치된 스파이웨어 는 정상적인 프로세스에 악의적인 dll 파일을 삽입하여 자신이 탐지 되지 못하도록 자신의 디렉토리를 숨긴다. - 스파이웨어에 의해 생성된 특정 파일은 C드라이브의 윈도우 디렉토리 안에 디렉토리를 생성한 후 다음과 같은 파일들을 생성한다. [시스템 폴더에 특정 파일 생성] - OOOO.dll 파일은 윈도우에서 사용하는 주요 프로세스들에 삽입되어 스파이웨어가 생성한 폴더를 숨긴다. - 25 -

[특정 파일이 삽입된 프로세스 리스트] - explorer.exe 에 삽입된 OOOO.dll 에 의해 윈도우즈 탐색기에서 해당 폴더가 보이지 않게 된다. [삽입된 파일에 의하여 탐색기에서 특정 디렉토리가 보이지 않음] dll 삽입으로 인해 eoo 디렉토리가 보이지 않게 됨 - dll 삽입이 되지 않은 다른 프로그램을 통해 eoo 디렉토리의 존재를 확인할 수 있다. - 26 -

[정상적인 프로그램의 경우 감춰진 폴더가 보임] - eoo 디렉토리안에 다음과 같은 파일들이 생성된 것을 확인 할 수 있다. [감춰진 폴더에 존재하는 파일들] - 설치된 스파이웨어는 프로그램 추가/제거 메뉴에 존재하지 않아 스파이 웨어의 삭제가 용이하지 않다. [시스템 설정을 변경하여 삭제하기 위한 메뉴가 없는 경우] - 27 -

사례12. 네트워크 환경 설정을 변경하여 기본 DNS 서버의 주소가 변경됨 o 사용자의 DNS 서버를 변경하여 악성 사이트로의 접근을 가능하게 한다. - 악성코드에 감염되면 아래와 같이 DNS가 변경된다. [감염 전] [감염 후] - 위와 같이 기본 DNS 서버 설정이 비정상적으로 변경됨으로서 네트워크 성능 저하 및 특정 사이트 접속 차단 또는 악성 사이트로 접속 될 수 있다. 사례13. 웹 브라우저의 검색설정을 변경하여 사용자가 의도하지 않은 특정 사이트로 이동하는 행위 o 레지스트리 BHO 영역에 등록되어 사용자가 원치 않는 사이트로 이동한다. [BHO 영역에 등록된 스파이웨어] - 28 -

BHO(Browser Helper Objects) 란? 특정 페이지로 접속하였을 때 다른 페이지로 연결하거나 특정 사이트의 접속을 감시하여 이를 외부로 유출시키는 동작을 주로 하며, 최근 스파 이웨어나 애드웨어를 동작시키기 위한 방법으로 많이 사용된다. - 감염 후 사용자가 의도한 사이트(ex: www.kaspersky.com)로 이동 시 아래와 같은 사이트로 강제 접속된다. [특정 웹사이트로 이동한 모습] 사례14. 스파이웨어에 의해 인터넷 시작페이지가 변경되어 고정 o 설치 후 시작페이지를 변경할 수 없도록 만든다. [고정된 시작페이지] - 고정된 시작페이지는 사용자가 변경할 수 없도록 인터넷 옵션-[현재 페이지], - 29 -

[기본페이지], [빈 페이지]가 비활성화된다. [수정이 불가능하도록 비활성화 된 탭들] 사례15. 시스템 주요 파일 및 자주 사용되는 어플리케이션 파일을 악성코드로 바꿔치기 o Userinit.exe 은 사용자가 로그인 할 때, Winlogon 이 실행되는 프로그램을 기술하는 윈도우 운영시스템의 핵심 프로세스이다. 네트워크 연결, 윈도우 쉘의 시작과 같은 부팅에 필요한 순서를 관리하며 또한, Userinit.exe 은 컴 퓨터를 안정적이고 안전하게 운영하는데 중요한 역할을 한다. - 일반적으로 Winlogon 은 로그온 스크립트를 실행시키고 네트워크를 재 접속하는 Userinit.exe을 실행한 후 윈도우 사용자 인터페이스의 Explorer.exe를 시작한다. 이와 같은 부분을 악용하여 UserInit.exe 파일을 악성코드로 교체한다. 교체 된 파일은 Downloader 로 동작하여, 시스템 부팅 시 마다 악성코드가 다운로드 된다. 참고로, 두 파일의 실제 크기는 같으나, HEX 값은 아래와 같이 다르게 나타난다. (붉은색으로 나타나는 영역이 다른 부분) - 30 -

[원본 UserInit.exe 와 교체 된 파일의 HEX 값 비교] - 31 -

2) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 정상 프로그램 또는 시스템의 운영을 방해, 중지 또는 삭제하는 행위 사례1. 자사의 프로그램을 악성 프로그램으로 분류하여 탐지하는 정상적인 스파이웨어 제거 프로그램을 삭제함 o 특정 사이트에서 배포되고 있는 팝업광고로 스파이웨어 제거 프로그램의 실행을 방해한다. - 윈도우 시스템디렉토리에 "filesystem" 하위 폴더를 생성하고 여러개의 파일을 설치한다. - 설치된 파일 중 특정 프로그램은 윈도우 시작프로그램 레지스트리 항목 중에서 일부 스파이웨어 제거 프로그램의 레지스트리 정보를 삭제하여, 시스템 시작 시 해당 스파이웨어 제거 프로그램이 자동으로 실행하지 못 하도록 한다. - 다음 그림은 레지스트리 모니터링 프로그램을 이용한 스파이웨어 제거 프로그램의 시작프로그램 레지스트리를 삭제하는 모습이다. [스파이웨어 제거 프로그램 시작 레지스트리 삭제] 사례2. 사용자 컴퓨터에 설치되어 있는 방화벽과 백신 프로그램을 강제 종료 시킴 - 32 -

o 윈도우디렉토리에 특정 파일을 생성하여 알려진 백신 또는 방화벽에서 사용하는 프로세스와 서비스들을 강제 종료한다. - 윈도우 폴더에 WinProtect.exe 파일을 생성한다. 윈도우디렉토리는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WINNT 폴더이다. - 레지스트리에 값을 추가하여 윈도우 시작 시 자동으로 실행한다. - 안티바이러스, 스파이웨어 제거 프로그램과 같은 보안 프로그램의 탐지를 피하기 위하여 잘 알려진 다수의 백신과 개인방화벽의 프로그램의 프로 세스와 서비스를 강제 종료한다. 사례3. 윈도우 정상 프로그램의 실행을 방해함 o 광고목적으로 인터넷 익스플로러의 시작 페이지를 특정 웹사이트로 설정 하고, 사용자가 레지스트리 편집기를 실행할 수 없도록 시스템 설정을 변 경한다. - 윈도우 시스템디렉토리에 internet.exe 이름으로 설치되며, 시작프로그램 레지스트리에 등록하여 윈도우 시작 시 자동 실행되도록 한다. - 광고목적으로 인터넷 익스플로러의 시작 페이지를 특정 웹페이지로 변경 한다. - 사용자가 레지스트리 편집기를 실행할 수 없도록 다음과 같이 레지스트리를 등록하여 시스템 설정을 변경한다. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/ \Policies \System 에 "DisableRegistryTools" = 0x00000001(1) - 이 경우 레지스트리 편집기를 실행하면, - 33 -

[레지스트리 편집기를 실행] - 다음과 같은 메시지가 나타나고 레지스트리 편집기가 실행되지 않는다. [레지스트리 편집기를 실행을 방해] 사례4. 경쟁사의 프로그램 삭제, 정상적인 프로그램의 정상작동을 방해함 o 유명 포털 사이트의 카페 게시판의 ActiveX 컨트롤을 통해 설치되는 등 다양한 감염 경로가 존재하며 설치된 스파이웨어는 경쟁사의 프로그램을 삭제하며 정상적인 안티 스파이웨어 프로그램이 자신을 삭제하지 못하도록 보호하는 기능이 내장되어 있으며 이로 인해 정상적인 프로그램이 작동하는 것을 방해한다. - 유명 포털 사이트의 카페 게시판에 호기심을 자극하는 제목으로 글을 올린 후 해당 게시물을 클릭 할 경우 스파이웨어를 설치하는 ActiveX 보안경 고창을 띄운다. [ActiveX 보안 경고 창만을 이용한 설치] - 34 -

- 다음과 같이 HTML 소스에 ActiveX 를 설치하는 부분을 다수 등록하여 설치 시 아니오 를 선택하여 설치를 취소하여도 계속해서 ActiveX 컨트 롤 창이 뜨도록 유도한다. (계속해서 뜨는 ActiveX 컨트롤 창으로 인해 사용자가 예 를 누르도록 유도함) [ActiveX 대량 유포] - 프로그램이 설치되면 특정 파일이 경쟁사의 파일 및 레지스트리 정보를 검색하여 존재 여부를 확인한 후 사용자의 동의 없이 해당 정보를 삭제한다. [정상프로그램의 파일, 레지스트리 정보 검색 및 삭제] - 이용자가 동의하여 사용하고 있는 정상 프로그램의 동작이 방해받게 되어 일반 사용자들의 불편을 초래한다. [정상프로그램의 운영 방해 사례] - 35 -

사례5. 스파이웨어에 감염 시 작업관리자를 무력화 시키고, 시작 버튼을 이동 시켜 운영을 방해한다. o 스파이웨어의 프로세서가 메모리에서 쉽게 삭제되지 않도록 작업관리자를 비활성화 시킨다. [작업관리자가 비활성화 된 모습] o 시작버튼을 이동시켜 이용자들이 시스템을 사용하는 것을 방해한다. [시작 포인터의 이동] - 36 -

사례6. 이용자 동의 없는 설치를 유도하며, 모든.exe파일이 악성코드를 통해 실행되도록 레지스트리를 변경 o 확장자가 exe인 파일을 실행시킬 때 악성코드를 통해 실행되도록 레지스트리를 다음과 같이 변경한다. [exe파일 실행경로에 악성코드가 삽입] o 해당 스파이웨어만 삭제하고 exe파일들을 실행시킬 경우, 정상적으로 실행되지 않고 다음의 창이 나타난다. [악성코드를 찾지 못하여 연결 프로그램 창이 뜸] o 감염되면 아래와 같은 광고목적의 팝업 창을 띄우며, 허위 안티 스파이웨어의 설치를 유도한다. - 37 -

[허위 안티스파이웨어 설치 유도 창] - 38 -

3) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 정상 프로그램 또는 시스템의 설치를 방해하는 행위 사례1. 성인 사이트에서 광고를 목적으로 제작되어 자신의 프로그램을 스파 이웨어로 진단 제거하는 스파이웨어 제거 프로그램의 설치를 방해 o 성인 사이트에서 광고를 목적으로 제작되었으며 자신의 프로그램을 스파이 웨어로 진단하고 제거하는 스파이웨어 제거 프로그램의 설치와 실행을 방해하고 스파이웨어 제거 프로그램의 사이트 접속을 차단한다. - ActiveX 컨트롤을 통해 설치되며 유명 포털 사이트와 관련된 것으로 위장 하여 설치 사용자에게 마치 정상적인 ActiveX 컨트롤로 위장하여 설치를 유도한다. [유명 포털사의 ActiveX를 위장하여 설치] - 윈도우 시작시 자동으로 실행되도록 레지스트링 등록하며 다음과 같은 성인 광고 팝업창을 주기적으로 띄운다. [성인광고 팝업창] - 39 -

- C드라이브의 윈도우 시스템 폴더 (C:\WINDOWS\system)에 파일을 생성 한다. [시스템 폴더에 파일 생성] - 생성된 파일의 내부에는 자신을 스파이웨어로 탐지 하고 제거하는 스파이 웨어 제거 프로그램의 설치를 막기 위해 사용된 다음과 같은 코드를 확인 할 수 있다. [자신을 탐지하는 스파이웨어 제거 프로그램의 설치를 막도록 제작됨] - 자신을 스파이웨어로 진단하는 스파이웨어 제거 프로그램의 설치와 실행을 방해하고 스파이웨어 제거 프로그램을 제작한 사이트로의 접속을 차단하며 레지스트리에 등록하여 윈도우 시작 시 마다 자동 실행된다. 사례2. RootKit에 의해 특정 이름의 파일 생성 불가 o 웹브라우저에서 키워드 검색 및 URL 표시줄의 키워드를 Hooking 하여, - 40 -

특정 사이트로의 이동을 유도하는 프로그램이지만 특정 프로그램의 설치 를 방해하는 기능을 속이고 설치된다. [정상 프로그램인 것처럼 설치] - 해당 프로그램은 Rootkit을 이용하여 정상 프로그램 설치 시 필요한 파일들이 생성되지 못하도록 방해한다. [정상프로그램의 파일이 생성되지 못하도록 설정] [특정 문자를 포함한 파일명 생성을 방해하는 RootKit] - 41 -

4) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 정상 프로그램 외의 프로그램을 추가적으로 설치 하게 하는 행위 사례1. 동영상 구동 프로그램이 설치되는 것처럼 위장하여 다른 용도의 프로 그램 설치 o 사용자에게 동영상을 보기 위해 필요한 프로그램으로 용도를 속여 설치를 유도하여 백그라운드로 특정 프로그램을 다운로드하고 설치한다. - 인터넷 게시판 등을 통하여 ActiveX 프로그램의 형태로 배포되며 게시물을 클릭하면 호기심을 자극하는 동영상과 함께 동영상을 보기 위해 필요한 프로그램으로 용도를 속여 설치를 유도한다. 설치된 프로그램은 백그라 운드로 동작하여 사용자 동의 없이 특정 프로그램을 다운로드하고 설치 하게 된다. [동영상 구동 프로그램인 것 처럼 유포] - 다운로드가 완료되면 특정 프로그램이 설치되며 이러한 설치여부를 사용자 에게 알리지 않는다. [이용자가 알지 못하는 추가 프로그램이 설치됨] - 42 -

사례2. 성인사이트 방문 시 특정 성인사이트로 접속하는 프로그램을 다운로드 하여 설치 o 외국의 다수의 성인사이트에서 배포하며 특정 성인사이트에 접속하는 Dialer를 설치하고 실행한다. - 설치되면 Program Files 폴더에 하위폴더를 생성하고, 6자리 임의의 숫자 로 구성된 이름의 실행파일을 설치한다. - 바탕화면과 시작메뉴, 빠른실행 영역에 성인컨텐츠를 연상시키는 바로가기를 작성하고 실행을 유도하며 실행된 후에는 종료버튼이 존재하나 버튼을 눌러도 종료되지 않고 작업관리자를 이용하여 강제로 종료시켜야 한다. [특정 성인사이트로 연결하는 프로그램이 설치됨] - 프로그램이 실행되면 국가 선택을 요구하는 대화상자를 출력한다. [결제를 유도하는 프로그램이 추가 설치됨] - Dialer는 특정 사이트에 전화 접속을 유도하여 사용자 모르게 요금이 부과되게 하는 악의적인 목적으로 만들어진 프로그램으로 주로 성인 사이트나 유료 서비스에 접속하기도 한다. - 43 -

- 다이얼러의 설치가 완료되면, 아래 그림과 같은 프로그램이 실행되고 컨텐츠 이용을 위한 결제를 유도한다 [결제를 유도 창] 사례3. 음악 스트리밍 서비스를 제공하는 사이트에서 음악을 듣기 위해 필요한 프로그램 설치 시 다른 프로그램을 함께 설치함 o 음악 스트리밍 서비스를 제공하는 사이트에서 음악을 듣기 위해 필요한 프로그램 설치와 함께 이용자의 동의 없이 인터넷 방문 사이트 정보 등 을 수집하는 프로그램도 함께 설치된다. - 특정 사이트에서 음악듣기를 누르면 음악을 듣기 위해 필요한 다음과 같은 ActiveX 설치 여부를 묻는 창이 뜬다. [음악 듣기 프로그램을 가장한 ActiveX] - 44 -

- ActiveX가 설치되면 C드라이브의 윈도우 디렉토리(WINNT 또는 WINDOWS) 안의 system32 폴더에 다음과 같은 파일들이 생성된다. [음악 듣기 프로그램 외에 사용자 정보 수집 프로그램이 추가 설치됨] 파란색 박스 : 정상적으로 음악 스트리밍 서비스를 제공하기 위한 파일 빨간색 박스 : 음악 스트리밍 서비스를 제공하기 위한 파일 이외에 사 용자의 정보를 수집하기 위한 파일이 함께 생성되며 파일명 또한 윈 도우에서 필요한 파일인 것처럼 명명되어 있다. - 추가적으로 설치된 파일은 사용자가 인터넷 익스플로러를 통해 검색 또는 방문한 사이트의 주소 정보를 특정 사이트로 전송한다. - 또 다른 파일은 해당 파일을 실행시키고 파일이 없을 경우 특정 주소로부터 다운로드 하며 항상 최신버전으로 업데이트 하는 기능을 수행한다. 사례4. 특정 웹사이트 접속 시 다수의 스파이웨어가 추가 설치됨 o 특정 웹사이트에서 배포되는 ActiveX 설치 시 다수의 스파이웨어에 감염 된다. - 45 -

[ActiveX 설치 유도] [ActiveX 보안 경고 창만을 이용한 설치] - ActiveX가 설치되면 특정 파일이 다운로드 되어 실행되고 실행된 파일이 또 다른 파일을 다운로드하여 실행하는 기능이 수행되면서 수많은 파일들이 생성되어 다수의 스파이웨어가 설치된다. - 46 -

[ActiveX가 설치되면서 다량의 추가 프로그램들이 설치됨] - 시스템 부팅 시 자동으로 스파이웨어들이 실행되도록 다음과 같은 레지 스트리를 등록한다. - 47 -

[부팅 시 자동 실행되도록 레지스트리 등록] 사례5. 사용자에게 불안 심리를 조장하여, 다운로드를 유도 o HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Notify 레지스트리 영역에 라이브러리 파일을 등록하고, 주기적으로 허위 경고 메시지를 출력한다. [사용자의 불안 심리를 조장하는 허위 경고 메시지] - 해당 메시지의 [확인] 버튼 클릭 시, 특정 프로세스에 의해 시스템에 감염 되었다는 허위 결과를 보여주며, ActiveX 방식으로 추가 프로그램 설치된다. 보안설정이 낮은 경우 ActiveX 보안 경고 창도 나타나지 않는 상황에서 설치됨 [다운로드 실행창] - 48 -

사례6. 이용자의 동의 없이 설치되면서 추가적으로 여러 개의 프로그램을 묶음 형태로 배포 o 이용자의 동의 없이 설치되면서 추가적으로 설치되는 프로그램을 인터넷 으로 다운로드 받아서 설치하는 것이 아니라, 처음부터 묶음 형태로 같이 포함하여 배포한다. [묶음 형태로 여러 개의 프로그램 배포] o 프로그램이 설치되면 이용자도 모르는 사이에 여러 개의 프로그램이 설치되어버리는 피해가 발생한다. 사례7. 이용자 동의를 구하고 설치되는 프로그램에 끼워 넣기 식으로 추가 설 치되면서 이용자 동의 없이 설치 o 이용자가 동의하여 설치하는 프로그램에 끼워 넣기 식으로 추가 프로그 램을 설치하는 경우에 이용자가 동의하는 과정에 추가적으로 설치되는 프로그램에 대한 설명이 없다면 이는 이용자를 속여 설치되는 행위로 볼 수 있다. o 또한, 추가적으로 설치되는 프로그램에 대한 정보가 이용자가 인지하지 못할 정도의 사용자 인터페이스를 제공한다면 이는 이용자를 속이는 행 - 49 -

위로 간주 될 수 있다. - 동영상 플레이어가 이용자의 동의를 구하고 설치되면서 업데이트를 가장 하여 여러 개의 프로그램을 배포하는 경우에 이용자가 추가적으로 설치 되는 프로그램에 대해 명시적으로 인지를 하지 못하고 설치되는 피해가 발생한다. [업데이트를 가장하여 추가적으로 프로그램 배포] - 50 -

5) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 이용자가 프로그램을 제거하거나 종료시켜도 당해 프로그램(당해 프로그램의 변종도 포함)이 제거되거나 종료되지 않는 행위 사례1. 등록된 시스템 정보(레지스트리)를 삭제해도 계속해서 다시 살아나 삭제가 불가능며 프로그램 삭제 방법을 제공하지 않음 o 프로그램이 설치되면 인터넷익스플로러의 시작페이지가 고정되며, 삭제 방법이 제공되지 않고 변경이 불가능하다. [시작페이지가 고정됨] - 윈도우 서비스로 동작하는 프로세스가 1초마다 레지스트리를 작성하므로 수동으로 제거가 불가능하다. 정상적인 레지스트리 키 이름의 일부를 변 경하여 사용하기 때문에 찾아내기가 어렵고 사용자가 수동으로 제거하는 경우에도 다시 생성되므로 사실상 수동 제거가 불가능하다. - 51 -

[윈도우 서비스로 동작] 사례2. 두개의 프로세스가 같이 동작하면서 하나의 프로세스를 죽이게 되면 다른 프로세스가 다시 실행시키는 방법으로 두 프로세스를 동시에 종료 시키지 않으면 종료가 불가능하고 삭제 방법을 제공하지 않음 o 툴바를 설치하며 툴바를 이용하여 검색 시 특정 검색어에 대하여 광고 팝업을 노출하고 시스템 성능을 저하시키며 두 개의 프로그램이 서로 종료를 감시하여 어느 한 쪽이 강제로 종료되는 경우 다시 실행시킨다. - 백그라운드에서 사용자 모르게 실행되는 두 개의 프로세스는 윈도우 "작업관리자"(Ctrl+Alt+Delete)에서 확인이 가능하지만 어느 한 프로세스를 강제로 종료시키면 다른 프로세스가 다시 실행시키기 때문에 작업관리자에 의한 강제 종료가 불가능하며 프로그램 삭제 방법도 제공하지 않는다. [삭제하지 못하도록 상호 보완하는 프로세스 ] - 52 -

- 이 경우 프로세스를 종료하기 위하여 프로세스의 종속관계를 알 수 있는 프로세스 관리 유틸리티를 이용하여 강제 종료가 가능하다. 사례3. 바탕화면에 생성된 단축 아이콘을 삭제하여도 계속하여 생성됨 o 특정 웹사이트 접속 시 브라우저의 취약점을 이용하여 스파이웨어가 설치되며 바탕화면에 단축 아이콘을 생성한다. 생성된 단축 아이콘은 삭제하여도 함께 설치된 프로세스에 의해 계속하여 주기적으로 생성된다. - 바탕화면에 다음과 같은 단축 아이콘이 생성된다. [아이콘을 삭제해도 계속 생성되는 예] - 바탕화면에 생성된 단축 아이콘을 제거하여도 rundll32.exe가 계속해서 다시 생성하며 삭제 방법을 제공하지 않는다. - 53 -

[악의적인 프로세스에 의하여 아이콘이 계속 생성됨] 정상적인 프로세스와 이름이 같은 rundll32.exe 은 스파이웨어에 의해 설치된 악의적인 프로세스이다. 정상적인 프로세스와 이름이 같아 사 용자는 마치 정상적인 프로세스가 실행되고 있는 것처럼 착각할 수 있다. 사례4. 인터넷 익스플로러의 기본 주소창을 강제로 변경하며, 삭제방법이 제공 되지 않음 o 프로그램을 삭제하는 방법을 제공하지 않고 임의적으로 삭제를 하기 힘들게 하기 위해 일반적으로 설치되는 [프로그램 폴더]가 아닌 다른 곳에 설치된다. - 툴바로 이용되기 위해 다음과 같은 레지스트리를 등록한다. [툴바로 등록된 스파이웨어] - 54 -

- 파일을 찾아 수동으로 삭제하기 힘들게 하기 위해 일반적인 프로그램 설치 경로를 이용하지 않는다. [일반적인 프로그램과 다른 곳에 파일 설치] 사례5. 바탕화면의 바로가기를 재부팅시마다 반복해서 생성 o 바탕화면의 바로가기를 삭제하여도 부팅 시 마다 반복해서 생성된다. - 바탕화면에 다음의 아이콘을 생성한다. [바탕화면 아이콘] - 바탕화면의 아이콘을 제거하여도 시작프로그램에 등록되어있는 배치파일이 다시 바탕화면에 생성한다. [배치파일의 내용] - 55 -

- 각 파일은 숨김 속성으로 되어있어, 일반적으로 찾기 힘들다. [숨김속성으로 등록되어있는 파일] 사례6. 프로세스가 Hidden 모드(숨김 모드)로 동작하여 종료가 불가능 o Hidden Process로 동작하여 동작 상태를 인지하지 못하며, 종료가 불가능 하다. - Windows 정상파일의 이름과 동일하여 자신을 위장한다. - 아래의 작업관리자에서는 정상적인 프로세스들만 확인할 수 있다. - 56 -

[동작중인 전체 프로세스] - Hidden Process를 확인할 수 있는 툴들을 이용하여 살펴보면 아래와 같은 PID를 가지고 동작하는 프로세스를 확인 할 수 있다. [Hidden 모드로 동작하는 프로세스] - 정상적인 프로세스의 이름으로 위장되어, 다른 악성코드를 다운받아 온다. - 다운받아오는 경로는 아래와 같이 ini파일에 하드코딩 되어있다. [하드 코딩되어있는 URL] - 57 -

사례7. 자신의 복사본을 따로 등록해두어 삭제 후 재부팅시 재설치 o 설치 후 자신의 설치 프로그램을 다른 곳에 백업해 둔 후, 삭제되더라도 재부팅 시 재 설치되도록 한다. - 설치 후 악성코드를 자동으로 검색하며, 허위 과장된 로그를 보여준다. [허위 과장된 로그화면] - 설치 후 윈도우 시작 시 실행되게끔 레지스트리에 등록한다. [레지스트리에 등록된 화면] - 프로그램 삭제 시 정상적으로 삭제되었다는 메시지를 출력하지만, 레지스트리를 살펴보면, 설치 프로그램이 재부팅 시 시작되게끔 등록되어 있다. - 58 -

[삭제 후 레지스트리 정보] - 위에 등록된 파일들이 실행되면, 삭제되었던 스파이웨어가 재 설치된다. - 59 -

6) 이용자의 동의 없이 또는 이용자를 속여 설치되어(설치되는 과정 포함) 키보드 입력 내용, 화면 표시 내용 또는 시스템 정보를 수집, 전송하는 행위 사례1. 컴퓨터를 시작할 때 마다 자동실행 되고 키로그 정보를 주기적으로 특정 주소고 메일을 보냄 o 특정 사이트 게시판의 윈도우즈 보안 업데이트 파일로 위장하며 설치할 경우 키로그 프로그램이 동작하여 사용자가 입력한 키보드 내용이 특정 주소의 메일로 전송된다. - 게시판의 윈도우즈 보안 업데이트 프로그램으로 위장한 키로그 파일을 사용자가 보안 업데이트파일인 줄 알고 설치를 하게 된다. [이용자 속여 설치 유도] - 설치가 완료되면 마치 정상적인 윈도우즈 보안 업데이트 파일이 성공적으로 설치된 것 같은 메시지 창을 띄운다. [정상프로그램이 설치된 것 처럼 위장] - 다운로드받은 파일을 실행하면 iexplorer.exe라는 인터넷 익스플로러와 이름이 같은 키로그 프로그램이 실행된다. - 60 -

[정상 프로그램과 같은 프로세스 이름으로 위장] 정상적인 프로그램과 이름이 같기 때문에 사용자가 정상적인 파일로 오해하게 된다. - 시스템 부팅시 자동으로 실행되도록 다음과 같은 레지스트리를 등록한다. [부팅 시 자동 실행 등록] - 키로그 프로그램은 30분 간격으로 사용자가 입력한 키보드 내용의 로그 파일을 특정 주소의 메일로 전송한다. [일정 시간 간격으로 정보 전송] - 키로그 프로그램은 로깅된 로그파일을 첨부파일로 하는 다음과 같은 형식의 이메일을 전송한다. - 61 -

[키보드 입력 정보 메일로 전송] - 메일의 첨부파일을 통해 전송되는 로그파일은 암호화 되어있으며 해당 키로그 프로그램을 통해서만 내용을 확인 할 수 있다. 해당 키로그 프로 그램을 통해 로그 파일을 열어보면 다음과 같은 사용자가 입력한 키보드 내용이 담겨 있음을 알 수 있다. [키보드 입력 내용] - 62 -

사례2. 화면의 내용을 연속적으로 캡쳐하여 특정 FTP로 전송 o 공유 사이트나 P2P를 통해 정상 응용 프로그램과 함께 설치되며 특정 파일 실행 시 연속적으로 15개의 ScreenShot을 저장하고, 특정 FTP로 파일을 모두 전송한다. - 다음의 두 개의 파일로 존재한다. [설치된 파일] - 감염 후 WINTNT폴더를 생성하며, S******.exe파일이 동작하며 주기적으로 15장의 ScreenShot을 찍는다 [스파이웨어 동작 모습] - 15장의 ScreenShot이 저장되면 아래의 창을 띄우고, 특정 FTP로 파일을 전송한다. - 63 -

[스파이웨어 동작 모습] [ScreenShot 파일을 전송하는 FTP] 사례3. 사용자의 개인정보 등을 메일로 전송 o 감염 시 사용자의 개인정보가 해커로 추정되는 특정 메일로 전송된다. 또한 이는 남미를 타켓으로 제작된 것으로 보인다. - 감염 시 패킷을 확인할 수 있는 툴로 살펴보면 아래와 같이 외부로 패킷을 보내는 것을 확인할 수 있다. - 64 -

[외부로 패킷 전송] - 외부 전송 패킷들을 분석해보면, 아래와 같이 ESMTP 프로토콜을 이용하여 mx.google.com 사이트에 접속 후 정보를 전송함을 알 수 있다. [외부 전송 패킷 내용] - 65 -

사례4. 툴바를 이용한 검색어 수집 o Internet Explorer 주소표시줄 아래에 툴바를 생성하며, 사용자의 검색어를 수집/저장한다. - 다음과 같이 툴바를 생성한다. [툴바] - 툴바를 이용한 검색어는 스파이웨어가 설치된 폴더 아래에 search파일에 저 장된다. 아래는 search와 find를 검색 후 저장된 모습이다. [검색어 저장화면] - 66 -

사례5. 레지스트리 정보를 검색하여 특정 정보를 전송 o 이용자 동의 없이 설치되어 이용자 PC에 설치된 프로그램들의 정보를 검색하여 몰래 빼내는 행위를 한다. [레지스트리 정보 검색] - 게임 프로그램의 CD 키 값을 빼내는 등의 악성행위를 한다. - 67 -

관련 법률 정보통신망 이용촉진 및 정보보호 등에 관한 법률 o 48조 (정보통신망 침해행위 등의 금지) 1누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입하여서는 아니된다. 2누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손 멸실 변경 위조 또는 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니된다. 3누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보 통신망에 장애를 발생하게 하여서는 아니된다. o 제71조 (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.<개정 2002.12.18, 2007.1.26> 1. 제24조 제24조의2제1항 및 제2항 또는 제26조제3항(제67조의 규정에 따 라 준용되는 경우를 포함한다)의 규정을 위반하여 개인정보를 이용하거 나 제3자에게 제공한 자 및 그 사정을 알고 영리 또는 부정한 목적으로 개인정보를 제공받은 자 2. 삭제 <2007.1.26> 3. 제28조의2(제67조의 규정에 따라 준용되는 경우를 포함한다)의 규정을 위반하여 이용자의 개인정보를 훼손 침해 또는 누설한 자 4. 제48조제2항의 규정을 위반하여 악성프로그램을 전달 또는 유포한 자 5. 제48조제3항의 규정을 위반하여 정보통신망에 장애를 발생하게 한 자 6. 제49조의 규정을 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침 해 도용 또는 누설한 자 전자상거래 등에서의 소비자보호에 관한 법률 o 제21조 (금지행위) 1전자상거래를 행하는 사업자 또는 통신판매업자는 다 음 각호의 1에 해당하는 행위를 하여서는 아니된다. <개정 2005.3.31> - 68 -

1. 허위 또는 과장된 사실을 알리거나 기만적 방법을 사용하여 소비자를 유인 또는 거래하거나 청약철회등 또는 계약의 해지를 방해하는 행위 2. 청약철회등을 방해할 목적으로 주소 전화번호 인터넷도메인 이름 등을 변경 또는 폐지하는 행위 3. 분쟁이나 불만처리에 필요한 인력 또는 설비의 부족을 상당기간 방치하여 소비자에게 피해를 주는 행위 4. 소비자의 청약이 없음에도 불구하고 일방적으로 재화등을 공급하고 그 대금을 청구하거나 재화등의 대금만을 청구하는 행위 5. 소비자가 재화를 구매하거나 용역을 제공받을 의사가 없음을 밝혔음에도 불구하고 전화, 모사전송, 컴퓨터통신 등을 통하여 재화를 구매하거나 용역을 제공받도록 강요하는 행위 6. 본인의 허락을 받지 아니하거나 허락 받은 범위를 넘어 소비자에 관한 정보를 이용하는 행위. 다만, 다음 각목의 1에 해당하는 경우를 제외한다. o 제32조 (시정조치 등) 1공정거래위원회는 사업자가 다음 각호의 1에 해당 하는 행위를 하거나 이 법의 규정에 의한 의무를 이행하지 아니하는 경우 해당 사업자에 대하여 그 시정을 위한 조치를 명할 수 있다. <개정 2005.3.31> 1. 제5조제2항 및 제3항, 제6조제1항, 제7조, 제8조제1항 제3항 내지 제5항, 제9조, 제10조, 제11조, 제12조제1항 내지 제3항, 제13조제1항 내지 제3 항 및 제5항, 제14조, 제15조, 제17조제1항 내지 제3항 및 제5항, 제18조, 제19조제1항, 제20조, 제22조제1항, 제23조제2항, 제24조제1항 제2항 제5 항 내지 제9항, 제24조의2제2항, 제27조제2항 및 제4항, 제29조제1항 및 제2항의 규정에 위반하는 행위 2. 제21조제1항 각호에 해당하는 행위 o 제34조 (과징금) 1공정거래위원회는 제32조제2항의 시정조치에도 불구하 고 이 법 위반행위가 반복되거나 시정조치만으로는 소비자피해의 방지가 곤란하다고 판단되는 경우에는 제32조제4항의 규정에 따른 영업의 전부 또는 일부의 정지에 갈음하여 해당사업자에 대하여 대통령령이 정하는 위 반행위관련 매출액을 초과하지 아니하는 범위안에서 과징금을 부과할 수 있다. 이 경우 관련 매출액이 없거나 산정할 수 없는 경우 등에는 5천만원 을 초과하지 아니하는 범위안에서 이를 부과할 수 있다. <개정 2005.3.31> - 69 -

o 제45조 (과태료) 1다음 각호의 1에 해당하는 자는 1천만원 이하의 과태료 에처한다. <개정 2005.3.31> 1. 제8조제4항의 규정에 따른 결제수단의 발행자로서 제24조제1항 단서의 규정에 위반하여 소비자피해보상보험계약등을 체결하지 아니한 자 2. 제21조제1항제1호 내지 제5호의 1의 규정에 해당하는 행위를 한 자 약관의 규제에 관한 법률 o 제3조 (약관의 작성 및 설명의무 등) 1사업자는 고객이 약관의 내용을 쉽게 알 수 있도록 한글 및 표준화 체계화된 용어를 사용하고, 약관의 중요한 내용을 부호 문자 색채 등으로 명확하게 표시하여 약관을 작성하여야 한다. 2사업자는 계약체결에 있어서 고객에게 약관의 내용을 계약의 종류에 따라 일반적으로 예상되는 방법으로 명시하고, 고객이 요구할 때에는 당해 약 관의 사본을 고객에게 교부하여 이를 알 수 있도록 하여야 한다. 다만, 다른 법률에 따라 행정관청의 인가를 받은 약관으로서 거래의 신속을 위 하여 필요하다고 인정되어 대통령령으로 정하는 약관에 대하여는 그러하 지 아니하다. 3사업자는 약관에 정하여져 있는 중요한 내용을 고객이 이해할 수 있도록 설명하여야 한다. 다만, 계약의 성질상 설명이 현저하게 곤란한 경우에는 그러하지 아니하다. o 제17조 (불공정약관조항의 사용금지) 사업자는 제6조 내지 제14조의 규정에 해당하는 불공정한 약관조항(이하 "불공정약관조항"이라 한다)을 계약의 내용으로 하여서는 아니된다. o 제17조의2 (시정조치) 1공정거래위원회는 사업자가 제17조의 규정을 위반 한 경우에는 사업자에게 당해 약관조항의 삭제 수정 등 시정에 필요한 조 치를 권고할 수 있다. 2공정거래위원회는 제17조의 규정을 위반한 사업자가 다음 각호의 1에 해당하는 경우에는 사업자에게 당해 약관조항의 삭제 수정 등 시정에 필 요한 조치를 명할 수 있다. o 제32조 (벌칙) 제17조의2제2항의 규정에 의한 명령에 위반한 자는 2년이하의 - 70 -

징역 또는 1억원이하의 벌금에 처한다. <개정 2001.3.28> o 제34조 (과태료) 1다음 각호의 1에 해당하는 자는 5천만원 이하의 과태료 에 처한다. <개정 2004.1.20> 1. 제19조의2제8항의 규정을 위반한 자 2. 제20조의 규정에 의한 조사를 거부 방해 또는 기피한 자 2다음 각호의 1에 해당하는 자는 500만원 이하의 과태료에 처한다. <개정 2004.1.20, 2007.8.3> 1. 제3조제2항 또는 제3항을 위반한 자 - 71 -