[O2/이슈]더 독해진 불량 백신, 삭제하면 PC 포맷하기도

“악성코드가 발견되었으니 ○○○로 치료하세요” 유료서비스 유도

요즘 불량 백신들은 더욱 악랄한 수법과 속임수로 선량한 사용자들의 PC를 노린다. 일부는 악성코드로 PC를 감염시켜 ‘성능’을 입증하는 꼼수를 부리기도 한다

아이들이 모두 잠든 밤 시간. 주부 변모 씨(40)는 자기만의 시간을 즐기기 위해 PC 앞에 앉았다. 그런데 한참 인터넷 서핑을 즐기던 중 PC가 이상해졌다는 느낌이 든다. 자세히 살펴보니 웬 온라인 쇼핑몰 아이콘 3개가 바탕화면에 새로 생겨나 있다. 화면 오른쪽 아래에선 ‘PC가 바이러스에 감염됐다’는 메시지가 번쩍거리는 중이다. 게다가 갑자기 큼지막한 팝업 광고 하나가 화면 한쪽에 등장한다. 변 씨는 컴퓨터를 잘 아는 남편을 불러 ‘이상한 프로그램’ 정리를 부탁한다. 하지만 남편은 “프로그램이 지워지지 않는다. 이상하다”는 말만 되풀이한다. 그러던 와중에 부부의 눈앞에 등장한 것은 파란색 에러 화면. 그와 함께 PC가 작동을 멈춘다. 어떤 키도 먹히지 않는다. 파란 화면 가운데에는 ‘악성코드가 발견되었습니다. OOO 프로그램을 이용해 치료하세요’란 메시지가 떠 있다.

○ 프로그램 지우려 하면 에러 화면 띄워

변 씨 부부를 괴롭히는 건 소위 ‘불량 백신’이란 프로그램이다. 불량 백신은 정상적인 PC에 문제가 있는 것처럼 보이게 하거나, 악성코드 탐지·제거 기능이 없으면서 있는 것처럼 위장해 소비자들이 유료 서비스를 받도록 유도한다.

불량 백신이 사회적 문제가 된 것은 어제오늘의 일이 아니다. 하지만 최근에는 이런 악성 프로그램들이 더욱 영악해지고 악랄해져 PC 이용자들을 괴롭히고 있다.

최근의 불량 백신들은 정품 소프트웨어와 구별하기 어려운 말끔한 디자인을 갖추고 있다. 전혀 ‘짝퉁’ 같은 냄새가 나지 않는다. 심지어 마이크로소프트(MS) 같은 유명 기업의 이름을 서슴없이 도용하기도 한다. 유명 검색 사이트의 상단에 링크를 위치시키거나, 우수 소프트웨어 상을 받았다고 자랑하기도 한다.

구체적인 수법도 더욱 교묘해졌다. 예전에는 정상적인 파일을 바이러스라고 허위로 진단하는 ‘눈 가리고 아웅’ 식의 수법이 많이 쓰였다. 요즘엔 일부러 악성코드로 PC를 감염시켜 ‘성능’을 입증하는 꼼수가 일반화됐다.

인터넷 보안 설정은 웹브라우저의 인터넷 옵션 메뉴에서 바꿀 수 있다.

극악해진 수법은 프로그램 삭제 부분에서 절정에 이른다. 초창기의 불량 백신들은 ‘순진하게도’ 자체적으로 삭제 기능을 제공하거나, PC의 제어판(프로그램 추가/제거 메뉴)에서 지울 수 있었다. 그러나 최신 불량 백신들엔 자체 삭제 메뉴가 아예 없으며, 제어판에서도 지울 수가 없다.

정보보안 전문업체 시만텍코리아의 조준용 과장은 “불량 백신 같은 악성 프로그램 제작자들은 최근 사용자 PC의 프로그램 목록에 자신들의 소프트웨어가 나타나지 않도록 세팅하고 있다”며 “작업 트레이에 아이콘이 나타나지 않게 해 사용자가 불량 백신 설치 여부를 아예 모르게 하기도 한다”고 설명했다. 또 2개의 프로세스로 작동하는 악성 프로그램의 경우 진짜 백신이 하나를 지워도 나머지 하나가 남아 프로그램을 계속 작동하게 만든다.

설사 어찌어찌 해서 프로그램을 지웠다 해도 말끔하게 삭제가 안 되기도 한다. 이렇게 남은 ‘찌꺼기’들은 계속 PC의 시스템 자원을 잡아먹는다. 심지어 삭제된 줄 알았던 불량 백신이 PC의 고장을 야기하는 경우도 있다. 한국인터넷진흥원에 신고된 사례 중에는 ‘삭제된’ 불량 백신이 PC를 포맷해 모든 정보를 지워버렸다는 것도 있다.

일부 불량 백신은 프로그램 작동 중단을 위한 작업관리자 단축키(Ctrl+Alt+Delete)가 먹지 않게 하거나, 갑자기 파란색 바탕의 시스템 에러 화면을 띄우고 마우스와 키보드가 작동하지 못하게 한다. 그리고 요금 결제를 요구한다.(PC를 재부팅하면 사용이 가능해진다) 보안 전문가들은 이런 프로그램을 랜섬웨어(‘Ransom·인질의 몸값’과 ‘소프트웨어’의 합성어)라고 부른다.

○ 전 세계적 악성 프로그램 유통

불량 백신이 이렇게 진화하게 된 배경에는 악성 프로그램 제조와 유통이 전 세계적 비즈니스가 됐다는 사실이 있다. 시만텍의 조사에 따르면 불량 백신의 유통은 전 세계에 있는 서버를 통해 다단계 방식으로 이뤄진다. 일부 프로그래머 또는 범죄 집단이 만든 불량 백신은 다양한 언어로 번역돼 전 세계에 있는 ‘회원’에 의해 일반에 배포된다. 물론 우리나라에서도 이런 불량 백신이 유통되고 있다.

다단계 ‘피라미드’의 꼭대기에 있는 사람들은 불량 백신의 유포 실적에 따라 회원들에게 돈을 지급한다. 해외에는 주급으로 2만 달러 이상을 챙기는 사람도 있을 정도. 일부 사이트는 우수 회원들을 대상으로 실적 콘테스트를 진행해 고급 전자제품이나 승용차를 경품으로 제공하기도 한다.

한편 불량 백신은 아니지만, 상업 광고를 지속적으로 뜨게 해 PC 사용자를 열받게 하는 애드웨어(Adware) 프로그램에 대한 민원도 지속적으로 제기되고 있다. 변 씨의 PC에 팝업 광고를 띄운 것도 이런 애드웨어다.

상당수 애드웨어는 탈법과 합법 사이에서 줄타기를 함으로써 고발이나 처벌을 어렵게 한다. 대부분의 애드웨어는 설치될 때 소비자의 동의를 받기는 한다. 형식적으로는 문제될 부분이 없는 것이다. 그러나 많은 애드웨어가 ‘소비자가 잘 모르게’ 동의를 받아낸다는 점에는 분명 문제가 있다. 기사 서두의 변 씨는 얼마 전 동영상 편집 프로그램 하나를 인터넷에서 내려받은 적이 있다. 당시 프로그램을 제공한 사이트에서는 “다운로더 프로그램 설치가 필요하다”는 메시지를 띄웠고, 변 씨는 별 의심 없이 프로그램을 설치했다. 그런데 바로 이 다운로더 프로그램 설치 화면 한쪽 구석에 ‘○○쇼핑 아이콘과 ○○팝업 프로그램을 설치하는 데 동의한다’는 문구가 있었다. 그 내용은 메시지 창을 스크롤해야 보일 정도로 교묘히 숨어 있었다. 전문가들은 다운로더나 게임, 웹하드 프로그램을 설치할 때는 세심하게 주의를 기울여야 한다고 조언한다. 최근에는 일부 애드웨어가 불량 백신처럼 프로그램 제거가 쉽게 되지 않아 문제가 발생하고 있다.

○ 전문가 ‘원격 진단’도 가능

불량 백신이나 악성 애드웨어에 대응하기 위해서는 어떻게 해야 할까. 시만텍코리아와 인터넷진흥원은 △백신은 검증된 회사의 제품만 사용하고 △인터넷 검색 중 자동으로 설치되거나 설치를 요구하는 제품을 쓰지 말아야 하며 △게임이나 유틸리티 프로그램도 웬만하면 포털이나 제조사 홈페이지 등 믿을 수 있는 곳에서만 내려받아야 한다고 당부했다. 한편 그림파일에도 악성 프로그램이 숨어 있을 수 있으므로 일반적인 이미지 파일(JPG, GIF, BMP, EPS 등)이 아닌 실행파일(EXE) 형식의 이미지는 내려받지 않는 게 좋다. 이동근 인터넷진흥원 코드분석팀장은 “사용자 몰래 악성 프로그램이 설치되는 것을 막고 싶다면 인터넷 보안 설정(익스플로러에선 도구→인터넷 옵션→보안에서 바꿀 수 있음)을 ‘약간 높음’으로 해두는 것이 바람직하다”고 말했다.

정품 백신 등으로 치료를 했는데도 불량 백신이나 애드웨어가 삭제되지 않고 계속 말썽을 부린다면 사용자가 관련 레지스트리를 수동으로 제거하거나, 레지스트리 정리 프로그램을 이용해야 한다. 컴퓨터를 잘 모르는 사람들에게는 무척 버거운 일이다. 만약 혼자 힘으로 해결이 어렵다면 전문가의 도움을 받는 편이 좋다. 인터넷의 보안정보 카페를 이용하거나, 인터넷진흥원 118센터(무료)나 시만텍 등 보안 업체에 연락하면 전문가의 인터넷 원격 진단 서비스를 받을 수 있다(표 참조).

문권모 기자 mikemoon@donga.com