[보안칼럼] 키워드 감시 통한 인터넷 팝업창 생성의 비밀

시작 프로그램에 등록된 파일 체크하여 함께 삭제해야

Internet Explorer 웹 브라우저를 이용하여 인터넷 검색을 시도할 경우 원치 않는 인터넷 쇼핑몰, 웹하드 등 상업적 목적의 팝업창이 생성되는 문제로 고생하는 사용자들이 많다.

본고에서는 이런 문제를 유발하는 프로그램이 국내에서 제작된 악성코드를 통해 설치되는 방식과 근본적으로 사용자가 문제 해결을 위해서 어떤 조치를 해야 하는지에 대해 살펴보도록 한다.

아래와 같이 인터넷 상에서 검색어를 입력할 경우 검색 결과와 함께 특정 팝업창이 생성되는 동작으로 불편을 겪을 경우 사용자는 어떤 프로그램에 의해 이러한 동작이 일어나는지 확인하기가 매우 어렵다.

이 사례에서는 팝업창 생성 프로그램의 이름은 Win Search forezlinker라는 국내에서 제작된 광고 프로그램이지만 프로그램 목록에도 나와 있지 않으며 프로그램 폴더(%programfiles%\) 내부에서도 폴더를 찾을 수 없다.

그렇다면 이처럼 자신의 존재를 사용자가 확인하지 못하도록 정상적인 위치가 아닌 곳에 설치하는 해당 프로그램은 과연 어떤 방법으로 설치가 이루어지고 있는지 경로를 추적해 보도록 하겠다.

국내 특정 인터넷 쇼핑몰 관련 프로그램으로 소개된 도메인을 통해 배포가 이루어지고 있는 alpon.exe 파일은 다양한 경로를 통해 사용자 PC에 설치될 수 있다.

사용자 몰래 설치된 alpon.exe 파일은 자신을 시작 프로그램에 등록(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\alpon)하여 Windows 시작시 자동 실행되도록 구성되어 있다.

h**p://di*sh**.co.kr/tr/aff.php?gname=alpon&pid=&m= :: 등록된 2개의 파일 체크 및 다운로드

h**p://dn.di*sh**.co.kr/alpoon.exe :: 추가 악성 파일

h**p://update.***side.kr/pid/ezlinker_p3.exe :: Win Search forezlinker 프로그램 설치 파일

시작 프로그램에 등록된 alpon.exe 파일은 위와 같은 특정 서버에 접속하여 사용자 몰래 2개의 파일을 추가로 다운로드하여 설치가 이루어지도록 구성되어 있다.

C:\Documents and Settings\(사용자 계정)\Application Data\alpoon.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- alpoon = C:\Documents and Settings\VMDream2011\Application Data\alpoon.exe

alpoon.exe 파일은 시작 프로그램에 등록하여 alpon.exe 파일과 동일한 기능을 수행하며 ezlinker_p3.exe 파일은 사용자 동의 없이 Win Search forezlinker 프로그램을 C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker 폴더에 생성하여 사용자가 찾을 수 없도록 한다.

Win Search forezlinker 팝업창 생성 프로그램은 보안 제품의 진단 정책을 우회하기 위하여 정상적인 삭제 기능을 제공하고 있지만 이처럼 사용자가 찾기 어려운 위치에 폴더를 생성하는 방식으로 눈을 피하고 있다.

실제 Win Search forezlinker 프로그램이 인터넷 검색시 생성하는 팝업창 연결 정보를 살펴보면 특정 광고 코드를 포함하여 사용자가 팝업창을 통해 제시되는 사이트에 회원 가입 및 유료 결제를 할 경우 프로그램 배포자에게 수익금이 지불되는 구조임을 추정할 수 있다.

이런 팝업창 생성 문제로 고민하는 이용자들은 가장 먼저 체크할 부분은 사용자가 인터넷 검색(키워드 검색)을 할 경우 팝업창이 생성된다는 점에 착안하여 BHO(Browser Helper Object) 방식으로 등록된 파일이 있는지 먼저 확인해 보기 바란다.

Internet Explorer에서 제공하는 추가 기능 관리의 도구 모음 및 확장 프로그램에 등록된 항목을 하나씩 확인하여 알 수 없는 프로그램 또는 사용자가 설치하지 않은 프로그램이 존재할 경우 해당 항목의 추가 정보를 통해 프로그램(파일) 설치 위치를 확인할 수 있다.

여기서 가장 중요한 부분은 사용자가 팝업창 생성 프로그램을 제어판의 삭제 항목을 통해 삭제했지만 이런 프로그램을 설치하도록 하는 악성 파일을 추가적으로 삭제해야 Windows 시작시 자동으로 설치되는 문제를 예방할 수 있다.

일반적으로 유명 보안 제품을 이용하여 정밀 검사를 통해 진단된 항목을 치료하시면 되지만 보안 제품을 통해 문제가 해결되지 않을 경우에는 시작 프로그램으로 등록된 파일을 찾아 점검할 필요가 있다.

이번 사례의 경우 악성 파일 배포자는 추가적인 변종으로 firhn.exe 파일을 배포하고 있으며 해당 파일이 설치된 사용자 PC에서는 다음과 같은 23개의 파일을 시작 프로그램에 등록하는 것을 확인할 수 있다.

사용자가 눈에 보이는 팝업창 생성 프로그램만을 삭제해도 위와 같은 수많은 파일들이 시작 프로그램(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)에 등록되어 언제든지 프로그램 배포자의 의도에 따라 또 다른 광고 프로그램 등을 설치할 수 있다.

그러므로 PC에 사용자가 설치하지 않은 프로그램이 존재하거나 프로그램 삭제 후에도 반복적으로 설치가 이루어지는 경우에는 반드시 시작 프로그램에 등록된 파일들을 하나씩 체크하여 함께 삭제를 해야지 근본적인 문제 해결이 이루어질 수 있다.

마지막으로 이런 악성코드 설치는 인터넷 상에서 제휴(스폰서) 프로그램, 정상적인 소프트웨어로 위장한 경우 등 다양한 경로로 설치가 이루어질 수 있으므로 프로그램 설치시에는 반드시 프로그램에 대한 정보를 확인하시고 설치하는 습관을 갖기 바란다.
[글 _ 보안컬럼니스트 울지 않는 벌새(haslian@naver.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)