[보안칼럼] 국내 보안 제품 진단에 따른 애드웨어의 변화

국내 인터넷 사용자들이 가장 많이 사용하는 보안 제품은 이스트소프트(ESTSoft) 무료 백신 알약(ALYac)과 안철수연구소(AhnLab) V3 보안 제품 등으로 알려져 있다.

이에 따라 국내에서 제작되어 배포되는 애드웨어(Adware)들은 제작자 자신들이 사용자 PC에 설치한 파일이 진단됨에 따라 추가적인 파일을 설치하는 행위로 연결되는 부분이 종종 발견되고 있는 것이 현실이다.

이에 따라 최근 인터넷 상에서 유포되는 Win-Adware/MateCon(AhnLab V3 진단명 기준) 진단명의 애드웨어를 통해 어떻게 보안 제품의 진단 여부에 따라 반응을 하는지 살펴보도록 하겠다.

그림1 바로가기 아이콘 속성 정보

지난 4월 12일경 최초 확인된 이 악성코드는 특정 프로그램의 제휴(스폰서) 프로그램으로 설치가 이루어지는 것으로 추정되며 설치 과정에서 사용자 몰래 추가적인 파일(NvCpMon.exe)을 다운로드하는 동작을 하고 있다. 참고로 MateCon 설치 파일(MD5 : 0b2a4934d1f2801ebb966b482d29be6d) 자체에 대해서는 진단되지 않는 상태로 설치가 이루어진다.

C:\Documents and Settings\(사용자 계정)\Application Data\MateCon

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\스마일베이.lnk

C:\Documents and Settings\(사용자 계정)\Favorites\스마일베이.lnk

C:\Documents and Settings\(사용자 계정)\바탕 화면\스마일베이.lnk

C:\Documents and Settings\(사용자 계정)\시작 메뉴\스마일베이.lnk

C:\Documents and Settings\All Users\바탕 화면\뉴메이트톡.lnk

C:\Program Files\NvCpMon

설치된 MateCon 프로그램은 사용자가 제대로 인지하기 어려운 폴더 위치에 파일을 생성하여 바탕화면에 뉴메이트톡 이라는 성인 채팅 사이트 바로가기를 생성한다.

그림 2 시작 프로그램 등록 정보

추가적으로 사용자 몰래 설치된 NvCpMon.exe 파일은 자신을 시작 프로그램으로 등록하고 smilebay_so11.exe 파일을 다운로드하여 Internet Explorer 즐겨찾기, 바탕화면 바로가기, 빠른 실행 등에 10원 경매 관련 스마일베이 바로가기 아이콘을 생성한다.

최초 배포되는 시점에서 MateCon 관련 일부 파일들(matecon.exe / mateup.exe)은 알약과 V3 보안 제품에서 진단이 이루어지고 있었지만 사용자 몰래 설치된 NvCpMon, SmileBay와 관련된 항목은 진단되지 않는 상태였다.

그림 3 MateCon 제어판 삭제 목록

참고로 MateCon 프로그램의 경우 제어판에서는 RealChat Module이라는 삭제 이름으로 등록하여 사용자가 어떤 프로그램인지 확인을 어렵게 하고 있으며 해당 삭제 항목을 이용하여 삭제시 바탕화면에 생성된 뉴메이트톡 바로가기 아이콘만 삭제하는 동작을 한다.

그림 4 NvCpMon.exe 파일 업데이트 서버

그러던 중 4월 15일 오후 경 시작 프로그램으로 등록된 NvCpMon.exe 파일을 통해 업데이트 서버에 추가적인 svcmount.exe 파일을 다운로드하기 위한 항목이 등록되는 것을 확인할 수 있다.

참고로 위 그림의 ①번의 업데이트 항목은 4월 12일~4월 15일 오전까지 추가 다운로드가 존재하지 않은 상태인 반면, ②번에서는 추가 다운로드가 등록되어 변경된 것을 의미한다.

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svcmount.exe

C:\Program Files\svcmount

C:\Program Files\svcmount\svcmount.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- svcmount = C:\Program Files\svcmount\svcmount.exe

HKEY_CURRENT_USER\Software\svcmount

그림 5 svcmount.exe 파일 스트링 정보

이렇게 등록된 svcmount.exe 파일 역시 자신을 시작 프로그램에 등록하여 윈도우 시작시 자동 실행되도록 구성되어 있으며 특정 서버에 연결을 시도하는 동작을 확인할 수 있다.

이 같은 유사한 기능을 하는 svcmount.exe 파일을 추가로 다운로드하도록 변화를 가져오게 만든 것은 당시 안철수연구소 V3 보안 제품의 진단값에서 찾을 수 있다.

그림 6 안철수연구소 V3 업데이트 정보

4월 15일자 정기 업데이트를 통하여 안철수연구소 V3 보안 제품에서는 MateCon, Smilebay, NvCpMon과 관련된 진단을 추가하여 배포자 입장에서 사용자 Pc에 설치한 파일이 삭제될 처지에 놓이게 된다.

그런 문제를 해결하기 위해 계속적인 프로그램 설치를 목적으로 새롭게 진단되지 않는 svcmount.exe 파일을 설치하였으며 이 글을 작성하는 시점까지 해당 파일은 국내 보안 제품에서 진단되지 않고 있다.

이처럼 유포자들은 사용자 Pc에서 지속적인 프로그램 설치를 위한 파일을 끊임없이 설치하며 파일 이름 자체가 유명 프로그램 또는 윈도우 파일과 유사하게 구성하는 경향이 있으므로 정상적인 이용약관을 거친 프로그램들도 문제가 될 수 있다는 점을 잊지 않도록 하기 바란다.

[글 _ 보안컬럼니스트 울지 않는 벌새(haslian@naver.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)