온라인 IT미디어 pcBee입니다.
내 PC안의 찌꺼기 애드웨어를 박멸하자

 

내 PC안의 찌꺼기 애드웨어를 박멸하자

Written by S.U.P.E.R.E.X

 

최근에 Adfree, 다잡아 등의 프로그램이 뜨고 있습니다. 유료화가 진행되면서 상당히 큰 시장으로까지 발전하여 백신 시장을 위협하는 존재로까지 성장한 애드웨어 박멸 프로그램.. 그것의 원리와 최대한 무료로 사용자가치료할 수 있는 팁을 모아봤습니다.

 

이 글은 아래의 순서로 진행됩니다.

1. 차이점은?

2. 걸리는 이유?

3. 예방책

4. 치료 원리

5. 치료 방법

원하는 메뉴를 선택하면 바로 이동합니다. 아는 내용이라면 치료 방법만 확인하셔도 됩니다.

 

1. 애드웨어, 스파이웨어, 웜의 차이는 뭔가요?

먼저 이 강좌를 시작함에 있어 위 내용의 차이를 모른다면 안 되겠죠? 간단히 정리해 보겠습니다.

⑴ 애드웨어(Adware)

애드웨어는 주로 광고를 팝업을 통해 띄우는 등의 단순한 역할밖에 하지 않는 프로그램입니다. 이 프로그램 자체로는 시스템에 해를 주거나 정보를 유출해 가지는 않습니다. 다만, 최근에는 스파이웨어로 발전하는 경향이 많고, 시작 페이지 가로채기, 특정 툴바 강제 설치.. 등의 경우 대부분 애드웨어일 경우가 많습니다.

⑵ 스파이웨어(Spyware)

이것이 최근 이슈가 되고 있는 정보 유출 프로그램입니다. 사용자의 PC 정보, IP, 성향 등이 담긴 쿠키 파일 등을 몰래 전송하여 정보를 수집하는 등 개인 사생활을 침해하는 프로그램으로 제거가 까다로운 편입니다. 대표적인 예로 Real Networks의 Real Jukebox 등이 있습니다. 그밖에도 자동 업데이트 기능이 있는 프로그램 중에 이런 스파이웨어툴이 포함된 경우가 많기 때문에 주의를 요합니다. 다른 의미로 트랙웨어라고도 하며, 애드웨어와 같이 취급하는 경우도 있습니다.

⑶ 웜(Worm)

이것은 일종의 바이러스로 주로 운영체제의 결함을 파고들어 감염시킵니다. 예전 바이러스처럼 파일을 지우거나 손상시키는 경우는 드물고 시스템의 특정 포트를 열어 트래픽을 가중시킴으로써 시스템을 불안정하게 하거나 느리게 만들고, 심한 경우 XP/2000/2003/NT 운영체제의 RPC/DCOM의 중요한 시스템 부분을 건드려서 강제 종료 시키는 등 최근에 문제가 많이 되고 있습니다. 이것은 사용자의 의지와 상관없이 인터넷 회선을 타고 오는 경우가 많기 때문에 보안 업데이트를 철저히 하고 상황에 따라 방화벽 등을 작동하는게 좋습니다.

 

기타 내용은 백신 제작업체나 스파이웨어 제작업체에서 제공하는 FAQ를 보시면 자세히 알 수 있습니다. 여기서는 위 세 가지 내용만 간단히 정리하겠습니다.

 

2. 어떤 경로로 걸리는 것일까?

앞서 말씀드린 웜은 보안 업데이트와 방화벽을 통해 어느 정도 예방이 가능합니다. 하지만 애드웨어/스파이웨어는 다릅니다. 이것들의 경우는 사용자의 실수로 특정 ActiveX를 설치하거나 프로그램에 더해져서 설치되는 경우가 대부분입니다. 더불어 시작 페이지 변경을 요구하는 사이트에서 "예"를 눌렀을 때도 설치되는 경우가 많습니다.

 

① ActiveX를 통해 설치되는 경우

대부분 60~70%의 애드웨어/스파이웨어가 이 경로를 통해 설치가 됩니다. 가령 예를 보겠습니다.

01.jpg

과자 사이트(?)에 가면 많이 나타나는 악성 툴 중 하나입니다. SlotchBar라는 이 툴은 Internet Explorer에 상주하면서 시작 페이지를 갉아먹고 xx한 사진을 보여주는 상당히 민망한 악성 코드입니다.기서 예를 누르거나 항상 신뢰 버튼을 누르고 예를 누르면 걸리게 됩니다.(항상 신뢰를 눌렀다면 인터넷 옵션 - 보안탭에서 기본 수준을 눌러 원상 복귀시키기 바랍니다. 그렇지 않으면 그 ActiveX는 방문할 때마다 자동으로 설치되게 됩니다.)

 

02.jpg

자, 더 황당한 것은 사용자가 일단 안 설치할 듯 하니까 한번 더 설치를 권장하는 멘트까지 등장하는 사이트도 있습니다. 절대 속지 마시기 바랍니다.

 

보통의 경우 외국의 사이트가 ActiveX를 통해 감염되는 경우가 많습니다. 국내 은행권이나 신뢰할 수 있는 포털 사이트에서 제공하는 ActiveX 외에는 가능하면 설치하지 않는게 좋습니다.

② 특정 프로그램을 설치하면 자동으로 시작 페이지가 변경되는 경우

이런 프로그램들은 시작 페이지와의 제휴를 하거나 스폰서로 지원을 받는 조건으로 심는 경우가 많습니다. 예를들어 예전 PC 최적화툴로 괜찮은 평가를 받았던 Easy Win Cleaner나 치킨코덱 등이 대표적인 예입니다. 이 프로그램들은 초창기 프리웨어로 출발하였다가 유료화에 대한 반발로 시작 프로그램 변경의 방법을 사용하여 스폰서에게 지원받는 형식으로 바뀐 프로그램들입니다. 프로그램을 삭제하지 않는 한 동작할 때마다 시작 프로그램이 변경되어 원성이 많았던 프로그램입니다.

 

이런 류의 프로그램은 보통 프로그램 제거만으로 회복되는 경우가 있고, 제거 후 몇 가지 찌꺼기 파일을 모두 제거해야 돌아오는 경우도 있습니다. 그러므로 이런 류의 프로그램은 아예 설치를 하지 말고 시작 페이지를 잡지 않는 대체 프로그램을 사용하는게 좋겠습니다.(Click Tweak Fusion, K-Lite Codec.. 등)

 

③ 악성코드 제거툴이나 유용한 툴바 등으로 위장하고 설치된 경우

이 경우는 악성코드 제거툴로 삭제되지 않는 경우가 많습니다. 1차로 프로그램에 등록되고, 2차로 레지스트리에 등록되며, 3차로 프로세스에 등록되고 이중삼중으로 실행되기 때문입니다. 그렇기 때문에 이럴 때는 프로그램 추가/제거에서 제거가 가능한지 살펴본 후 제거하고, 시작 페이지로 뜨는 홈페이지 하단에 "시작 페이지 변경"에 관련된 링크를 찾아 제거 방법을 찾아봐야 합니다.
 

03.jpg

대부분의 시작 페이지는 하단에 시작 페이지 변경에 대한 안내를 제공하고 있으며 상황에 따라 제거를 위한 툴을 제공하거나 제거하는 방법을 명시하는 경우가 많습니다.

 

대부분의 애드웨어/스파이웨어는 위 세 가지 경우 중 하나의 경로로 설치되는 경우가 많습니다. 그러나 그밖에도 교묘하게 설치되는 경우가 많으므로 정기적으로 악성코드 제거툴로 청소해주는게 좋습니다.

 

3. 그럼 어떻게 예방할 수 있죠?

① 신뢰하지 않는 사이트의 ActiveX는 설치하지 않는다.

은행 공인 인증서, 유명 포털 사이트의 로그인, 게시판, 툴바 프로그램, Flash Player.. 외에는 가능하면 설치하지 않는게 좋습니다. 특히, 외국계 사이트의 대부분의 ActiveX는 xx한 사진을 담은 악성툴이 대부분이므로 절대 절대! 예나 YES를 무조건 누르지 말기 바랍니다!

 

② 시작 프로그램을 잡는 프로그램은 가급적 설치하지 않는다.

실행만으로 시작 프로그램을 잡는 프로그램 대부분은 대체 프로그램이 있기 마련입니다. 그런 프로그램을 찾아 사용하는게 좋습니다. 만약 확실한 프로그램을 쓰고 싶다면 정품 프로그램을 구매하여 사용하는 것도 한 방법입니다.

 

③ 정기적으로 애드웨어/스파이웨어를 검색/삭제한다.

사용자가 의도하지 않더라도 어느 순간에 설치될 수가 있으므로 정기적으로 검사해 줍니다. 무료 프로그램인 Adfree의 경우는 마지막 업데이트 버전인 9. 6일자 기준으로 1898개의 유명한 악성코드를 검출/삭제가 가능합니다. 이것만 돌려도 왠만한 것들은 검출하여 삭제할 수 있습니다.

 

더불어 애드웨어/스파이웨어는 여러 개가 합쳐져서 시스템 자체의 동작을 둔하게 만드는 상승 효과(?)가 있으므로 미리미리 잡아두는게 좋다는 점 기억하시기 바랍니다.

 

④ 팝업창 차단툴을 설치하거나 XP는 서비스팩2의 팝업 차단 기능을 사용한다.

팝업창 차단툴로 많은 포털 사이트에서 내놓는데 이런 툴을 설치하면 대부분의 팝업창을 차단하기 때문에 불편한 점도 있지만 악성코드의 30~40%를 예방할 수 있는 효과가 있습니다.(구글툴바, MSN툴바, EMPAS 툴바, 네이버 툴바, 야후 툴바.. 등등) 따로 설치하기 곤란하다면 XP 서비스팩 2를 설치하면 기본적으로 활성화가 됩니다.

 

신뢰할 수 있는 사이트는 팝업 항상 허용으로 해놓고, 그렇지 않은 사이트는 차단 모드로 사용하는게 좋겠습니다.

 

⑤ 방화벽 기능을 사용한다.

방화벽 기능은 악성코드보다는 웜이나 해킹툴을 예방하는데 더 효과가 있습니다. 인터넷 공유기를 사용한다면 기본적으로 방화벽 기능을 하기 때문에 어느 정도 안심할 수 있습니다. 그렇지 않는 경우라면 XP 자체 방화벽이나 BlackICE 등의 방화벽툴을 사용하면 좋습니다. 단, 방화벽을 사용하여 일부 포트가 막히면 동작하지 않는 프로그램도 있으므로 잘 확인하여 그 포트만 허용토록 변경하는 작업이 필요합니다.

 

⑥ 신뢰할 수 있는 백신을 선택하고 시스템 감시를 항상 하도록 한다.

최근에 국산 백신은 많은 한계에 있습니다. 최근에는 그런 점에서 외산 백신이 인기가 있는데 이 백신들은 일부 악성코드까지 검출하는 기능도 가지고 있어 상당히 유용합니다. 대표적인 프로그램이 F-Prot, Kaspersky Anti-Virus 같은 것들이죠. 시스템 감시를 해놓는다면 악성코드외에도 웜이나 바이러스를 미리 예방하는데 도움이 됩니다. 만약, 시스템 과부하가 심해진다면 실행 파일만 검색토록 하면 되겠습니다.

 

그밖에 최적화로 설치한 운영체제를 통째로 백업해주는 Ghost, TrueImage 같은 프로그램을 통해 백업해 두었다가 복원하는 방법도 유용합니다.

 

4. 그럼 악성코드 제거툴은 어떤 원리로 치료하나요?

백신 루틴을 기억하고 검색중 찾아내어 관련 파일을 치료하거나 삭제하는 백신 프로그램과 달리 악성코드 치료툴은 조금 간단한 원리로 되어 있습니다. 그 예로 Adfree 라는 프로그램의 치료 원리를 잠깐 살펴보겠습니다.

04.jpg

① 제 PC에서 검출을 끝낸 장면입니다. 5개의 비교적 유명한 애드웨어, 스파이웨어를 검출했습니다.

05.jpg

동그라미 쳐진 부분을 눌러보면 그 이름에 대한 정보가 나옵니다.

06.jpg

② 원래는 위에 처럼 파일 정보가 나타납니다만 제가 미처 관련 그림을 준비하지 못해 동일한 기능의 SpyZero 프로그램을 통해 정보를 확인하게 되겠습니다. SpyZero 전신이 Adfree이므로 나타나는 정보는 거의 동일합니다.

SpyZero는 Adfree를 기반으로 만든 프로그램으로 이것을 제작하신 분이 안철수연구소에 취직하여 유료화한 이후 계속 업데이트를 해오고 있습니다. 무료 프로그램이었던 Adfree는 9월 6일자로 지원이 중단된 상태이고, 관련 홈페이지인 http://ietoy.co.kr은 현재 폐쇄된 상태입니다.

 

07.jpg

③ 박스 친 부분이 관련 애드웨어의 정보입니다. 이 정보를 추적하여 발견되면 검출한 것으로 판단합니다. 치료 버튼을 누르게 되면 관련 레지스트리키를 제거하거나 파일을 삭제하는 기능으로 치료를 완료합니다.

 

결국 이 프로그램은 바이러스 치료 루틴을 찾아 직접 치료하는 복잡한 형태의 프로그램이 아니라 업데이트된 정보를 토대로 레지스트리에 기록되는 스파이웨어의 특정키와 파일명을 대부분 ROOT 폴더와 Windows 폴더내에서 찾아 삭제하는 단순한 형태의 프로그램입니다. 이제 이해가 되셨겠죠?

 

5. 악성코드에 감염된 PC는 어떻게 치료하나요?

치료 방법은 크게 4가지로 나뉩니다. 대부분 첫 번째 방법으로 70~80% 치료됩니다. 그러나 그렇지 않다면 상당히 복잡한 수순이 남아 있습니다..-_-;;

1) 무료 악성코드 프로그램을 1차 치료를 한다.

04.jpg

Adfree나 현재 무료인 다른 툴을 통해 1차 치료를 합니다. 대부분 70~80%는 치료가 됩니다. 이것으로 해결되지 않는다면 2)로 넘어갑니다.

2) 유료지만 검사는 무료인 툴을 다시 한번 돌려 2차 치료를 한다.

07.jpg

다잡아나 SpyZero 등의 유료툴은 지속적인 업데이트로 최신 악성코드를 검출하는 능력이 우수합니다. 치료할 때만 유료이므로 검사만 해 봅니다. 여기서 검출된 박스의 정보를 토대로 사용자가 직접 수동으로 제거해 줍니다.

 

① 레지스트리키는 손쉽게 제거가 가능합니다. 가령 위의 정보에서 HKLM은 H_KEY_LOCAL_MACHINE의 약자입니다. 레지스트리 편집기를 실행 후 경로를 CTRL+F 등의 검색 명령을 통해 찾아서 삭제하면 됩니다.

② 파일명은 탐색기를 통해 찾아서 제거합니다. 만약, 제거가 되지 않는다면 작업 관리자 - 프로세스에서 실행중인지 확인하고 종료 후에 삭제합니다.

③ 끝으로 msconfig에서 System.ini, Win.ini, 시작 프로그램을 확인하여 그 파일에 관련된 실행키가 있는지 확인 후 체크 해지합니다.

 

만약 이 과정이 복잡하고 힘들다면, 유료 결재를 이용해 치료하셔도 됩니다. 재부팅 후에 다시 한번 돌려서 이상없이 삭제되었는지 확인하면 됩니다. 계속 검출된다면 3)으로 가시기 바랍니다.

3) ActiveX를 확인하고 필요없는 것은 삭제한다.

위의 작업을 했음에도 제거되지 않는 것들이 있습니다. 이 프로그램들은 Windows 폴더 안의 Downloaded Program files 폴더 안에 ActiveX 형태로 설치되어 있는 경우가 대부분입니다.

08.jpg

마우스 우측 메뉴로 파일을 선택하면, 속성이 있습니다. 이를 통해 어디에서 제공된 ActiveX 툴인지 확인한 후에 제거 버튼으로 없애면 됩니다. (그냥 삭제 안 됩니다!) 만약 사용중이라 삭제가 불가능하다면 안전 모드로 재부팅 후에 제거해 주시면 됩니다.

 

※ 실수로 필요한 파일을 삭제하더라도 관련 홈페이지를 재방문하면 ActiveX 설치 여부를 물어오기 때문에 걱정하지 않아도 됩니다.

 

4) 프로그램 추가/제거에 있다면 제거버튼으로 삭제한다.

일부 악성코드는 프로그램 형태로 설치(Installer)되므로 제어판 - 프로그램 추가/제거란에 있는 지 확인합니다. 제거 버튼을 누르면 Installer 형식으로 제거되거나 제거에 관련된 홈페이지로 연결됩니다. 홈페이지에서 안내에 따라 제거하면 됩니다.

5) 시작페이지 자체의 제거 방법을 참조한다.

그래도 안??해야 합니다.

03.jpg

사이트의 최하단쯤에 있는 시작페이지 변경 문구를 클릭합니다.

09.jpg

안내에 따라 제거 방법을 확인하고 작업하면 됩니다.

- 제거툴을 다운로드 받아 설치하여 제거하는 방법

- ActiveX를 제거하여 회복하는 방법

- 프로그램 제거를 통해 회복하는 방법

- 특정 패치를 통해 원래대로 돌리는 방법

보통은 위 네가지 방법들을 사용합니다. 적용 후에는 보통 재부팅 과정을 한번 요구하게 됩니다.

6) 윈도우 재설치 혹은 복원..

정말 위 5가지 방법을 모두 사용해도 치료가 안 되는 경우가 있습니다. 아래의 예시를 보시기 바랍니다.

10.jpg

위 경우는 어느 가정집 PC에서 검출된 악성코드들입니다. 정상 부팅시 치료가 되지 않아 안전모드에서 치료했는데도 불구하고 다시 부팅하면 PC를 제어할 수 없을 정도로 오염되어 있었습니다. 드물지만 이렇게 검출이 가능한 환경에서도 모두 치료가 불가능한 경우가 발생합니다. 위 방법대로 하나하나 찾아 장시간에 걸쳐 치료해야 겨우 고쳐지는 경우라면 차라리 시스템 백업을 하고 운영체제를 새로 설치하거나 기존에 백업해 놓은 운영체제로 복원하는게 더 빠를 수도 있습니다. 특히, 이중 삼중으로 걸리는 악성코드라면 수동으로도 잡기 힘든 경우가 많습니다.

 

6. 강좌를 마치며..

상당히 오랜만에 악성코드 걸린 집들을 치료해보면서 느낀 점이 많아 이 강좌를 계획하게 되었습니다. 더불어 웜으로 인하여 보안 업데이트 의식이 높아지고 바이러스에 대한 것은 널리 알려졌지만, 악성코드에 대한 의식은 그보다 떨어지는 현실을 보면서 그 중요성을 누군가 알려야 하지 않겠느냐는 사명감을 가지고 임하게 되었습니다. 초보자들이 보기에 이 강좌는 쉽지 않는 것이고 귀찮은 일임은 분명합니다. 그렇지만 사용자가 조금만 신경쓰면 빠르고 쾌적한 인터넷환경에서 작업을 할 수 있다는 점과 개인의 사생활 침해를 막기 위해서는 짚고 넘어가야 하는 일임을 분명히 전달하고 싶었습니다.

 

대한민국 모든 PC가 시작 페이지와 애드웨어의 악몽에서 벗어나기를 소망하며 긴 글을 마칩니다. 끝까지 읽어주신 분들께 감사드립니다. 만약 이 글을 퍼가신다면 출처를 밝혀주시고 옮겨주시기 바랍니다.

 

Fin!