[악성 코드] '스파이웨어' 파헤쳐보기 (개념/유형/제거 방법 등)

---

Contents

 1. 스파이웨어란?
 2. 스파이웨어의 유형
 3. 스파이웨어 설치 경로
 4. 스파이웨어 제거 방법
 5. 스파이웨어 예방 방법
 6. 최근 스파이웨어 피해 사례
 7. 참고 문헌

---

1. 스파이웨어란?

스파이웨어(Spyware)는 중요 정보를 몰래 훔치는 임무를 수행하는 '스파이(spy)와 '소프트웨어(software)'의 합성어로 컴퓨터에 저장된 중요 정보를 수집하려는 목적으로 만들어진 프로그램을 의미한다.
 
스파이웨어는 사용자 몰래 컴퓨터에 설치되어 개인정보와 신용정보 수집 및 전송, 사용자의 행동 감시, 파일 삭제 및 변조, 악성코드 설치 등의 행동을 수행한다. 기존에는 광고와 마케팅의 목적으로 활용되었지만, 최근에는 해킹을 통해 각종 정보를 빼가는 프로그램으로 인식되고 있다.
 
다음과 같은 증상이 있다면 스파이웨어 감염을 의심해볼 필요가 있다.

- 바이러스 또는 기기 감염에 대한 경고가 자주 표시됨   - 원하지 않는 광고가 계속해서 표시됨   - 백신 소프트웨어가 중단되거나 실행되지 않음   - 기기의 작동 속도가 크게 느려지거나 저장 공간이 크게 줄어듦   - CPU 사용량이 급증함   - 처음에 설정한 브라우저 시작 페이지와 다른 페이지가 열림

2. 스파이웨어의 유형

애드웨어(Adware)	광고(Advertisement)와 소프트웨어(software)의 합성어 '광고를 표시하는 소프트웨어'라는 의미이나 사용자가 원하지 않는 광고를 계속해서 보여주거나 사용자의 기록을 동의 없이 수집하는 스파이웨어들 때문에 문제가 되고 있다. 이런 프로그램을 'PUP(Potentially Unwanted Program' 또는 'PUA(Potentially Unwanted Aplication'(잠재적으로 원치 않는 프로그램)라고 한다. 대부분이 PUP(PUA)로 구분된다. 이들은 광고 수익을 목적으로 개발되어 다른 소프트웨어 기능의 작동을 방해하거나 지속적으로 동의 없이 광고 팝업을 노출하고 사용자에게 특정 웹사이트의 방문을 강요한다. 이들은 Microsoft나 Windows와 같은 공신력 있는 이름을 붙여 정상적인 프로그램으로 위장한다. 이후 주로 블로그 등지에서 파일을 내려받을 때 전용 다운로드 프로그램을 통해 몰래 같이 설치된다. 몇몇은 미친 듯이 증폭해 초당 1~2개씩 실행되어 컴퓨터를 마비시키는 경우도 있다.
키로거(Keylogger)	키보드로 입력한 데이터를 중간에 가로채는 해킹 공격. 이에 따라 사용자가 키보드로 입력하는 모든 내용이 여과 없이 모두 해커에게 전달되는 것을 말한다. 개인정보나 금융 정보, 계정 정보, 메일 내용 등이 모두 탈취당할 수 있다. 운영체제에서 처리하는 이벤트나 프로그램 사이에서 전달되는 메시지들을 중간에 가로채거나 바꾸는 포괄적인 행위도 포함한다. '정보 가로채기' 공격으로 요약할 수 있다. - 키로깅 소프트웨어나 하드웨어를 통해 사용자의 키보드 입력을 추적 및 기록하는 스파이웨어  - 키로거 소프트웨어나 하드웨어를 통해 컴퓨터의 모든 키스트로크(컴퓨터 키보드에서 어떤 기능을 수행하거나 해제하기 위해 키를 두드리거나 눌러서 작동시키는 행위)를 캡처하도록 설계된 프로그램 < 하드웨어 기반 공격 방식 >  물리적인 신호를 추출해 기록으로 남긴 후 해커에게 전달한다. - 키보드 하드웨어  키보드 USB 단자와 본체 USB 포트 사이에 설치해 사용자의 입력값을 가져옴. 정상적인 USB와 생김새가 비슷해 분간이 어려울 수 있음. 최근엔 모니터나 마우스 단자를 위장한 하드웨어 키로거까지 등장함. - 스니퍼 하드웨어 무선 키보드와 마우스에서 전송되는 데이터 패킷을 가져옴 - 오버레이 공격 키보드 위에 덮어씌우는 템플릿을 이용 - 전자기 방출 공격 유선 키보드가 방출하는 전자기를 감지해 킷값을 알아냄 < 소프트웨어 기반 공격 방식 > 후킹 프로그램과 같은 악성 프로그램을 소프트웨어 형태로 만드는 방법이다. OS에서 사용하는 API로 연결해 발생하는 키보드의 입력을 메시지로 만들어 해커에게 전달한다. 기술에 따라 하이퍼바이저 기반, 커널 기반, API 기반, 폼 그래빙 기반, 자바스크립트 기반, 메모리 인젝션 기반 등으로 나누어진다.
트로이목마(Trojan horse)	사용자가 설치하도록 유인하기 위해 합법적인 프로그램으로 위장하는 스파이웨어로 램에 상주하며 시스템 내부 정보를 해커에게 전달하는 프로그램이다. 내부 정보 유출뿐만 아니라 제까지 가능한 종류가 있으며, 대부분이 불법 파일이나 프로그램 등을 설할 때 전파된다. 랜섬웨어의 대부분이 트로이 목마로 분류된다.
백도어(Backdoor)	하드웨어나 소프트웨어 등의 개발과정이나 유통과정 중에 몰래 탑재되어 정상적인 인증 과정을 거치지 않고 보안을 해제할 수 있도록 만드는 장치 설계자나 관리자에 의해 남겨진 시스템의 보안 허점을 이용해 시스템에 비 인가된 접근을 가능하게 하는 일종의 'Trap Door(시스템 보안이 제거된 비밀 통로)이다. 백도어를 악용하면 원격 접속이나 정보 탈취 등이 가능하다. 보안 관리 체계를 우회하여 로그(흔적)를 남기지 않고 동작한다. 보안 관리자가 수시로 관리를 하더라도 언제든 빠르게 침투가 가능하다는 특징이 있다. < 백도어의 종류 > - 로컬 백도어 서버의 셸을 얻어 관리자로 권한 상승 - 원격 백도어 직접 관리자 계정에 패스워드를 입력해 로그인 한 것처럼 원격으로 관리자 권한 획득 - 시스템 설정 변경 백도어 시스템 설정을 공격자 마음대로 변경 - 패스워드 크래킹 백도어(키로거) 인증에 필요한 비밀번호를 공격자에게 전송

3. 스파이웨어 설치 경로

스파이웨어는 주로 인터넷을 통해 검증되지 않은 프로그램을 무작위로 설치할 때 감염되기 쉽다. 과거에는 주로 Active X와 같은 툴이 설치될 때 함께 전파되는 경우가 많았으나, 최근에는 Acive X의 설치가 줄어들어 무료로 배포하는 공개 소프트웨어에 내장되어있거나, 설치된 프로그램의 업데이트를 통해 추가로 유입되기도 한다. 특정 레지스트리를 변조하여 다른 사이트에 강제로 접속시켜 스파이웨어 설치 대상으로 삼기도 한다.

4. 스파이웨어 제거 방법

백신 프로그램을 돌려 제거하면 된다. 필자는 '멀웨어 제로' 라는 프로그램을 추천한다.
대중적으로 잘 알려져 있는 백신 프로그램으로도 제거되지 않았던 악성코드들이 멀웨어 제로를 이용했을 때 완벽하게 제거되는 모습을 볼 수 있었다. 검사하는 시간이 꽤 오래 걸리는데, 다운로드 후 사용 방법을 꼭 읽어본 뒤에 프로그램을 실행시키길 바란다.
https://malzero.xyz/

Malware Zero - 무료 악성코드 제거 도구

5. 스파이웨어 예방 방법

- 방화벽 사용 등 네트워크 보안 강화
- 출처를 알 수 없는 의심스러운 링크 클릭 X
- 신뢰할 수 있는 공식 홈페이지에서만 프로그램 다운
- 보안 업데이트는 항상 최신 상태로 유지
- 사용하는 브라우저나 앱이 불필요한 추가 기능을 요구하는지 확인 (ex : 다이어리 에서 메시지 전송 권한 요구)
- 백신 프로그램을 활용하더라도 신규 스파이웨어는 잡지 못할 수도 있다는 점 인지
- 중요한 데이터는 정기적으로 백업, 이중 안전장치 마련
 

6. 최근 스파이웨어 피해 사례 (2023.09.26 기준)

- 텔레그램(유명 메신저 프로그램)의 정상적인 '모드'들로 위장한 스파이웨어가 구글 플레이 스토어에 나타나 수만 대의 장비를 감염시킨 사건 (2023.09.11 보안뉴스)
'모드'란 오리지널 앱을 사용하기 좋거나 보기 좋게 커스터마이징 한 것으로 인기 높은 게임이나 앱의 사용자들은 자기들끼리 괜찮은 모드를 개발해 공유하곤 한다. '이블텔레그램' 은 자기 나라말로 텔레그램을 사용할 수 있으면서, 오리지널 텔레그램보다 빠르다고 광고했다. 이 앱은 완벽한 텔레그램의 모드로 보이며 모든 기능이 거의 오리지널 버전과 똑같이 동작했는데, '조금의 추가' 요소에 악성 모듈로 강력한 스파이웨어가 섞여 있었다. 해당 스파이웨어는 사용자의 연락처와 주고받은 메시지, 파일, 채널 이름, 전화번호 등을 해커에게 가져다 줬다. 이블텔레그램은 6만 번이 넘게 다운로드됐으며, 피해자가 앱을 제거하지 않는 이상 피해자의 장비에 남아 지속적으로 정보를 빼돌릴 것으로 예상된다.
 
- 러시아의 기자인 팀첸코의 아이폰에 스파이웨어인 '페가수스'가 설치돼 비밀번호, 광고주 연락처, 파트너사 등의 정보를 모두 탈취당한 사례 (2023.09.16 보안뉴스)
이는 이스라엘 감시 회사인 NSO 그룹이 제로클릭 제로데이 익스플로잇을 사용해 내 아이폰 찾기 기능과 iMessage 기능을 타깃으로 한 것으로 드러났다.

---

7. 참고 문헌

https://www.boannews.com/media/view.asp?idx=121557&kind=5&search=title&find=%BD%BA%C6%C4%C0%CC%BF%FE%BE%EE 
https://namu.wiki/w/%EC%95%A0%EB%93%9C%EC%9B%A8%EC%96%B4 
 https://m.boannews.com/html/detail.html?idx=120041 
 https://www.boannews.com/media/view.asp?idx=111259&page=3&kind=5 
 https://www.boannews.com/media/view.asp?idx=121557&kind=5&search=title&find=%BD%BA%C6%C4%C0%CC%BF%FE%BE%EE 
 https://www.dailysecu.com/news/articleView.html?idxno=145377 
 https://www.boannews.com/media/view.asp?idx=121821&kind=1&search=title&find=%BD%BA%C6%C4%C0%CC%BF%FE%BE%EE