허위백신

• 상위 문서 : 애드웨어^[1]

파일:!!G@TF.jpg

허위백신으로 악명이 높았던 코드클린의 삭제장면.[2]

1 개요

허위백신은 실제 안티 바이러스 백신 프로그램처럼 위장하여 사용자에게 악의적으로 금전을 수취하는 등의 불법 백신을 말한다. 실제로 이 같은 백신들은 악성코드를 발견하고 치료하는 능력은 거의 없으며 악성코드가 없더라도 억지로 조작하여 사용자에게 결제를 요구한다. 컴맹등 관련 지식이 전무할 경우 쉽게 피해를 입기 쉬워 더욱 경계가 요구된다. 2011년 한국인터넷진흥원에서 조사한 결과 백신으로서의 모든 조건을 충족하는 백신은 겨우 12개라고 한다.
매년 발표하는데 선정되는 업체는 매년 똑같다는게 함정.
외국에서는 로그#s-2.12(Rogue) 혹은 Fake Antivirus라고 부른다.

1.1 정식 인증받은 국내 백신 소프트웨어 목록

본 문단은 보호나라에서 정식으로 치료 능력이 있다고 간주되는 국내 안티 바이러스 소프트웨어 목록을 기술한다.

• 안랩 V3 엔진을 사용하는 모든 백신
  • V3 시리즈^[3]
  • 네이버 백신^[4]
• 하우리 바이로봇
• 알약^[5]
• 바이러스체이서
• nProtect

1.2 치료 능력이 있는 해외 백신 소프트웨어

본 문단은 국내에서 정식 인증은 받지 않았지만 저명성이 있으며 VB100 / AV-Test 등에서 어느 정도의 성적을 받은 해외 백신 프로그램만 기술한다.

• Bitdefender
• Trend Micro
• Avast
• Avira
• AVG
• Windows Defender (구 Microsoft Security Essentials)
• Norton Security
• ESET
• Malwarebytes

2 허위 백신의 정의

안랩과 하우리에서 정의하는 허위 백신의 개념은 다음과 같다.

• 허위백신의 특징 - 안랩 (출처 : 안랩 뉴스)
  • 사용자 동의 없이 몰래 프로그램을 설치한다(또는 사용자가 인식하지 못하는 방법으로 동의할 수 밖에 없는 경우도 많다). 주로 웹하드 같은 곳에서 덤으로 달라붙은 경우도 있다.^[6] 참고로, 이거 스파이웨어를 정의하는 조건 중 하나이다.
  • 허위로 바이러스 또는 스파이웨어 등을 진단했다고 알린다. 이것이 가장 전형적인 수법이고 사용자 입장에서는 도저히 알아낼 수가 없다.^[7][8] 보이스피싱과 닮았다
  • 사용자가 가짜 바이러스를 치료할 때 매월 자동결제를 유도해서 사용자의 돈을 계속 또는 몰래 빼낸다.
  • 사용자가 제거를 하지 못하도록 한다. 언인스톨러에 퀴즈를 내는 것은 양반이고, 시늉만 하고 안 지워지는 경우가 태반이다. 이 경우 전문가가 아니면 제거를 하기가 정말로 어렵다. 보통 피해자가 한둘이 아니므로 구글링 좀만 하면 블로그에 해결책이 있는 경우가 많다.

• 허위백신의 특징 - 하우리(출처 : 하우리 보고서)
  • 딱봐도 붕어빵처럼 닮은 디자인(UI: User Interface)을 갖고 있다. 특정 허위백신 제작 업체에서 허위백신을 제작하여 분양(?)하거나 운영하기 때문에 유사한 디자인의 허위 백신 프로그램들이 많이 나오고 있다.
  • 동일한 진단결과나 허위/과장된 진단결과를 출력하고, 반복적으로 진단 결과창을 출력하여 결제를 유도하는 행위를 한다. 악성코드에 대해서 잘 모르는 사용자들은 해당 허위백신에서 진단하는 진단결과 값을 제대로 확인하기 어렵기 때문에 동일한 진단결과나 허위/과장된 결과를 지속적으로 출력하여 결제를 유도하는 행위가 빈번하게 이루어지고 있는 것이다. 또한 그것들은 쉽게 닫기도 어렵게 설계된 경우가 많다.xxx사이트 팝업
  • 자동결제를 유도하는 행위를 한다. 사용자가 해당 허위 백신의 결제 시스템을 제대로 파악하지 못한 상태에서 결제 시 자동 결제로 설정되어 있게 하는 방법 등으로 자동으로 돈을 빼내 간다.
  • 매우 쓸데없고 초보적인 방식으로 검출 가능한 파일 이용기록 등을 바이러스로 검출하고는 돈을 요구하기도 한다. 동영상을 재생하지도 말고, 문서도 열지말고, exe파일 실행도 하지말고, 프로그래밍도 하지 말고, 파일 옮기기도 하지말고, 사진도 보지 말고, 인터넷 쓰는 것도 다 기록이 있으니 지우라고 한다. 그럼 컴퓨터를 전구로 쓰란 말이냐. 아니 왜 아예 컴퓨터 가까이 가면 안 된다고 하지

요약하면, 왠지 깔려있고, 왠지 검사가 시작되고, 왠지 결제하라고 뜬다. 그리고 랙의 주범.

당연히 사용자에게는 전혀 좋을 것 없이 해만 되는 물건이니 주의가 필요하다. 확실하지 않으면 설치하지 않는 것이 좋다.(유명한 업체의 것으로 설치하는 게 여러 모로 편하다) 만약 설치되어 있는 백신이 유명한 백신의 짝퉁으로 보인다면 허위백신일 확률이 높다.

물론 단순히 바이러스의 진단률이 떨어지거나 오진이 잦다고 해서(...) 허위백신은 아니다. 또한 검사는 무료이지만 치료는 유료인 경우에도 무조건 허위백신인 것은 아니다. 최근 무료백신이 널리 퍼지기 전에는 이런 식으로 치료만 유료로 하는 서비스가 꽤 많았다. 하지만 매월 자동결제 따위를 유도하거나 결재 유도 창을 쉽게 닫지 못하게 설계된 것 중에 제대로 된 백신은 없다.일단 백신도 아니고 그 자체가 바이러스

국내 백신의 경우 허위 백신을 눈앞에 두고도 잡지 못하는 경우가 있다. 그 이유는 국내 허위 백신의 경우 스파이웨어 기준안을 교묘히 피해서 배포되고 있기 때문이다. 유사한 UI, 동일한 진단결과, 자동결제 여부 등의 정보들을 보면 어느 정도 허위 백신인 것을 알고 있지만 현행법상 악성코드로 진단하기 매우 까다롭다. 게다가 허위 백신으로 진단해 삭제하면 고소가 들어온다. 근데 허위백신은 UI가 간단해보인다.

울지않는 벌새의 블로그 - 지워도 잘 지워지지 않는 백신 삭제법을 정리해놓은 블로그. 자료가 가장 많다.

2.1 백신으로 위장한 바이러스

위에서는 돈과 관련된 문제를 다뤘지만, 허위백신의 또 다른 케이스로는 무료백신을 가장하여 검사가 진행되는 동안 점점 바이러스를 심는 경우, 또는 백신 프로그램 그 자체가 바이러스인 경우가 있다. 이 케이스는 국내보다는 외국에서 만들어진 프로그램에 많다. 사실 허위백신과 관련해서는 이쪽이 더 역사가 깊다. 이쪽은 DOS 시절부터 있었으니...

보통 개념 잡힌 백신의 경우 이런 것을 잡아 주지만 이스트소프트의 알약 같이 이런 것을 대놓고 깔아도 전혀 검출이 안 되는 경우를 만난다면 모든 파일을 포기하고 그냥 깨끗하게 포맷하는 수밖에는 방법이 없다.

이 경우는 위의 경우와 다르게 백신 프로그램의 능력이 된다면 싹 잡아버린다. 만약 프로그램 능력이 안 돼서 그런 것을 못 잡는다면... 그저 묵념.

(외국의) 가장 좋은 예로 Personal Shield Pro와 Security Shield가 있겠다. 뭔가 똑같은 상징을 하고 있는 건 우연? Personal Shield Pro와 Security Shield의 생김새다. 외국에서는 이미 바이러스로 분류된 반면, 우리나라에서는 외국 쪽의 유입에 대해 조사를 안 하는 건지 차단이 허술하다. 그런 고로 혹 걸렸다면 무턱대고 백신만 믿지 말고, 검색을 하자. 그나마 우리나라에서도 몇몇 사람들이 제거법을 올려서 다행.

드라마 유령의 최종보스가 계획한 것도 백신 회사를 합병한 다음, 이 회사에서 만든 백신으로 위장한 바이러스를 인터넷망에 퍼트려 위장 백신이 설치된 모든 컴퓨터를 해킹함으로써 정보를 장악하는 것이 목적이었다.

2.2 허위백신 예방법

• 백신의 설치파일을 보안회사로 보내 바이러스 신고를 해보자. 백신으로 위장한 바이러스는 구별할 수 있다. (안랩의 경우 v3sos@ahnlab.com)
• 구글 같은 곳에서 백신의 이름을 검색해 보자. 허위백신이라면 피해자의 글을 볼 수 있다.
• 신뢰할 수 있는 기관의 인증을 받은 제품을 쓰자. 아래에 있는 테스트는 허위백신은 절대 통과 못한다.
  • VB100 인증 - 전세계 2지역 이상 발견된 국제적인 바이러스를 단 한개도 놓치지 않고 오진 없이 잡아야 되는 어려운 인증이다.^[9]
  • CC인증 - 정보보호 제품에 대한 국제공통평가기준이다. 공공기관에 납품하려면 반드시 받아야 하는 인증으로 국내에서는 국정원에서 인증한다.
  • Check Mark - 영국의 West Coast Labs 에서 악성코드를 100% 진단하고 치료하는지 테스트하여 해당 인증마크를 부여한다.
  • AV-Comparatives - Anti-Malware Test Lab에서 주최하는 테스트로 역시 엄격한 테스트를 거친다.
  • ICSA labs
  • 인증은 아니지만 바이러스 토탈에 등록되어 있는 백신은 허위백신이 아니다. 다만 여기 등록되어 있다고 다 보장된 성능이라는 의미는 아니다.(현재 등록되어 있는 백신으로는 노턴, AVG, 어베스트, V3, nProtect, 바이로봇, avira 등등)

이것 이외에도 여러 인증이 있으나 가장 유명하고 대부분의 보안회사(안랩, 어베스트 기타 등등)에서 기본적으로 획득한 인증을 넣었다. 이 인증이 없다고 허위백신이라고 말할 수는 없지만, 인증이 있다면 진짜 백신이다.

뭐, 가장 간단한 방법은 이거다. 무언가를 설치할 때^[10] 기본 설치 항목을 빼고 다 체크를 푸는 것이다. 이것만 해놔도 웬만한 건 막는다. 웹하드 및 파일 다운로더의 경우 자세히 보면 본 설치항목 외에 부가 서비스 등의 이름으로 뭔가 여러 개 체크되어 있다. 덧붙이자면, 본 설치항목은 체크를 해제할 경우 "프로그램의 정상적인 실행이 안 될 수도 있습니다. 그래도 설치하시겠습니까?"라고 물어보거나 해제 자체가 안 되는 경우가 많다.

2.2.1 허위백신을 이미 설치한 상태라면?

한국인터넷진흥원이 배포한 (해당 사이트 삭제됨)를 참조하자. 여기에 나오는 허위백신 대처법을 정리하면 다음과 같다.

• 사용하지 않던, 듣도보도 못한 백신이 ‘바이러스’ 또는 ‘악성 코드’를 진단한 뒤 결제를 요구할 경우에는 삭제한다.
  • 백신이 제대로 삭제되지 않는다면 한국인터넷진흥원(국번없이 118) 원격점검 서비스를 신청한다.^[11]
• 유료 결제를 요구하는 백신이라면 이용약관을 확인하여 ‘자동연장결제’^[12]와 같은 내용이 있는지 확인한다. 또, 매달 청구서를 확인하여 휴대폰 소액결제 등으로 빠져나가는 돈이 있는지 확인한다.^[13]
  • 만약 업체에서 서비스 해지 또는 환불을 거부하거나, 업체와 연락이 끊긴 경우에는 공정거래위원회 소비자상담센터(국번없이 1372)로 민원을 넣는다.
  • 휴대폰 소액결제로 돈이 계속 빠져나가고 있다면, 휴대폰/ARS결제중재센터에 온라인 중재를 요청한다.
  • 성능좋은 유료백신이었고 원한다면 계속 쓰지만, 성능도 엉망이고 허위백신이라면 삭제한다. 백신이 제대로 삭제되지 않는다면 본 항목 처음으로 돌아간다.
• 포맷이 싫다면, 시스템 복원을 시도해 본다. 복원지점이 기록되어 있지 않다면 포맷한다.

위에 서술된 허위백신의 특징과 예방법을 잘 기억해두자. 그러나 역시 가장 좋은 방법은 허위백신 자체를 아예 설치하지 않는 것이다. 호락호락 삭제되 주진 않을 것은 물론, 어렵게 어렵게 제거했다 하더라도, 악은 성실하므로 훗날 또 맞닥트릴 수 있다. 방심은 금물이다.

2.3 허위 백신 목록

• MacKeeper
• 나바쉴드
• 코드클린^[14]

추가바람

3 관련 기사

• 안랩 보고서
• 하우리 보고서
• 더욱 이해하기 쉬운 기사 1 2 3 4

이 기사에 따르면, 허위백신 업체측에서 소비자를 상대로 소송을 거는 일은 없다. 다만 허위백신은 멀쩡한 백신과 매우 비슷하게 위장하는 경우가 잦으므로, 멀쩡한 백신업체가 엉뚱하게 이미지에 피해를 입을 수 있기 때문에 이 문서에 절대로 허위백신 업체의 예시를 추가하지 말 것!^[15] 어차피 구글링하면 어떤 것이 있는지 알 수 있으니 찾고 싶으면 알아서 찾으세요.

• KBS 뉴스 9 2013년 1월 15일 돈만 꿀꺽…백신 프로그램 절반 ‘무용지물’

4 관련 사건/사고

• 엘키소프트 제룩스 사건 아마 이 문서와 매우 밀접한 관계가 있을 수도 있다.

1. ↑ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제50조의5(영리목적의 광고성 프로그램 등의 설치) 정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.
   제76조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다. <개정 2011.3.29, 2012.2.17>
   (중략)7. 제50조제1항부터 제3항까지의 규정을 위반하여 영리 목적의 광고성 정보를 전송한 자
   8. 제50조제4항 또는 제5항을 위반하여 광고성 정보를 전송할 때 밝혀야 하는 사항을 밝히지 아니하거나 거짓으로 밝힌 자
   9. 제50조제7항을 위반하여 비용을 수신자에게 부담하도록 한 자
   10. 제50조의5를 위반하여 이용자의 동의를 받지 아니하고 프로그램을 설치한 자11. 제50조의7제1항을 위반하여 인터넷 홈페이지에 영리목적의 광고성 정보를 게시한 자.(후략)
2. ↑ 회사가 그렇듯 그회사도 허위백신사실을 부정한다. 저 화면은 제작진들이 이스터에그나 장난으로 넣은게 아니다. 참고로 이 적분인 [math]{\int_{0}^{\frac{1}{3}} \frac{{e}^{-{x}^{2}}}{\sqrt{1-{x}^{2}}} dx}[/math]는 아는 사람들은 알겠지만 저 함수는 초등함수(다항, 로그, 지수, 삼각 함수 등으로 구성된 함수)로 적분이 불가능하다. 수치해석적인 방법을 동원했더니 약 0.327471이 나왔다고 한다. 답 아니 애초에 그나마 간단해보이는 [math]\displaystyle \int {x}^{x} dx[/math]조차도 울프럼알파도 부정적분 못구해준다... 근데 카시오의 일반형(...) 공학용 계산기인 fx-570EX에 넣으면 잘만 풀어준다(...). 570EX가 내놓은 답은 0.327471144이다.
3. ↑ 대표적으로 V3 Lite 등
4. ↑ 안랩 엔진 일부만 포함되어있으나 보안 관련 기능 다 포함되지않아 보안문제가 있다. 또 랜섬웨어 방어기능이 없다.
5. ↑ 알약은 비트디펜더 이외에 소포스, 자체 테라 엔진을 사용한다. 하지만 주 엔진은 역시 비트디펜더.
6. ↑ 해외에는 팝업창에 GIF를 넣어서 바이러스 검색되었으니 결제해서 치료하라는 사기 광고를 달아두는 방식도 있다. 즉 프로그램도 깔지 않고 검색도 안해놓고 돈부터 내놓으라는 것
7. ↑ 가끔 일부 프로그램은 컴퓨터의 모든 것을 악성프로그램으로 진단하고 강제로 종료시킨다. 심지어 explorer.exe(윈도우 탐색기, 폴더 창을 띄우는 프로세스다)도.
8. ↑ 가장 악랄한 경우는 Ctrl+Alt+Delete(작업 관리자 단축키)로 해당 백신을 강제종료시키려 했을 때, 작업관리자인 taskmgr.exe마저 바이러스로 판단하여 차단하는 상황이다. 이쯤되면 허위백신이 아니라 랜섬웨어로 분류하는 것이 보다 더 정확하다.
9. ↑ 노턴, 카스퍼스키, 어베스트, V3, 엔프로텍트뭐라고?, 바이로봇, avira, 비트디펜더, AVG, 맥아피, 알약, 에프시큐어, 소포스, BullGuard, 닥터웹, 이카루스, 코모도, 마이크로소프트 등등 이 목록에 나열되어 있는 테스트 중 가장 많은 보안 업체가 거치는 테스트이다.
10. ↑ 예를 들어 XX파일 다운로드 Active X라든가
11. ↑ 이 서비스는 개인 이용자에게만 제공되는 무료 서비스이다. 기업이나 공공기관, 학교 등이라면 전산 담당자에게 문의하자.
12. ↑ 이것 때문에, 허위백신을 삭제해도 돈이 계속 빠져나가는 경우가 있을 수 있다.
13. ↑ 개인에게는 진단도 치료도 무료이면서 성능 또한 좋은 백신이 많다. 굳이 치료할 때마다 돈을 내어야 하는 듣보잡 백신을 쓸 이유가 없다. 무료백신 문서를 참조하자.
14. ↑ 클릭하면 허위백신으로 리다이렉트 됨.
15. ↑ 즉, 소송방지바람은 맞는데 고소인이 허위백신 업체가 아니라 정식 안티바이러스 업체라는 것이다.