웹에서 필요한 소프트웨어(SW)를 내려 받을 때 옵션으로 딸려오는 SW 절반 이상(59%)이 안티바이러스 엔진에 잡히는 사기성 행위를 하는 것으로 드러났다.
구글은 뉴욕대와 1년간 사기성 SW 설치 방지 연구조사를 했다. 연구팀은 사기성 SW 설치 유도 수법과 원치 않는 SW 제공, 관련 비즈니스를 규명했다. 웹페이지에 의도하지 않은 광고를 삽입하는 `광고 인젝터`, 사용자 동의 없이 새로운 탭 페이지와 검색 설정을 변경하는 `브라우저 하이재커` 등을 분석했다.
구글은 매주 세이프 브라우징에서 6000만개 이상 경고를 발령해 사용자가 원치 않는 SW를 설치하지 않게 조치한다. `악성코드` 경고량의 세 배에 달한다. 경고는 사용자가 무심코 여러 추가 옵션이 포함된 SW 번들(PPI:Pay Per Install)을 내려 받을 때 표시한다.
사기성 SW 번들은 업데이트나 가짜 콘텐츠 잠금장치, 허위 브랜드를 이용해 사용자를 속인다. 사용자가 웹에서 특정 SW를 검색해 내려받으려면 설치 옵션에 동의해야 한다. 사용자 대부분은 옵션을 제대로 읽지 않고 `승인`을 누른다. 이 과정에서 해당 SW 외에 여러 개 프로그램이 한꺼번에 설치된다.
사기성 SW 번들은 광고주, 제휴네트워크, 게시자로 이어지는 생태계를 갖는다. 광고주는 번들링되는 모든 설치에 비용을 지불한다. 구글 조사 결과 1211개 광고주가 활동 중이다. 제휴 네트워크는 광고주와 수수료를 받고 인기 SW를 연결한다. 이들은 구글 세이프 브라우징이나 안티바이러스 탐지 기능을 무력화하는 도구를 제공한다. 50개 제휴 네트워크가 확인됐다.
게시자는 인기 SW에 여러 개 광고주 제품을 포함해 재구성하는 역할을 한다. 구글 연구결과 2518개 게시자가 19만1372개 웹페이지에서 원치 않는 SW를 포함한 번들을 배포했다.
사기성 SW 제휴 네트워크는 사용자가 SW를 설치하기 전 단말기를 인식해 안티 바이러스 엔진이 있는지 확인한다. 구글이 세이프 브라우징 기능으로 사기 SW를 막으면 우회를 시도한다.
김인순 보안 전문기자 insoon@etnews.com
