허위백신

 


1. 개요
2. 허위 백신의 정의
2.1. 백신으로 위장한 바이러스
2.2. 허위백신 예방법
3. 허위 백신 목록
4. 허위 백신이 아닌 것들
4.1. 정식 인증받은 국내 백신 소프트웨어 목록
4.2. 치료 능력이 있는 해외 백신 소프트웨어
5. 관련 기사


1. 개요

[image]
허위백신의 예시들.
[image]
허위백신으로 악명이 높았던 코드클린의 삭제 장면. 단 두 번째 스크린샷은 비꼴 목적으로 첫 번째 스크린샷에 합성한 것이다. [1]
'''허위백신'''은 실제 안티 바이러스 백신 프로그램처럼 위장하여 사용자에게 악의적으로 금전을 수취하는 등의 불법 백신을 말한다. 실제로 이 같은 백신들은 악성코드를 발견하고 치료하는 능력은 없으며 악성코드가 없더라도 억지로 조작하여 사용자에게 결제를 요구한다. 컴맹 등 관련 지식이 전무할 경우 쉽게 피해를 입기 쉬워 더욱 경계가 요구된다. 2011년 한국인터넷진흥원에서 조사한 결과 백신으로서의 모든 조건을 충족하는 백신은 겨우 12개라고 한다.
매년 발표하는데 선정되는 업체는 매년 똑같다. 외국에서는 로그#s-2.9(Rogue) 혹은 Fake Antivirus라고 부른다.

2. 허위 백신의 정의

안랩하우리에서 정의하는 허위 백신의 개념은 다음과 같다.
  • 허위백신의 특징 - 안랩 (출처: 안랩 뉴스)
    • 사용자 동의 없이 몰래 프로그램을 설치한다(또는 사용자가 인식하지 못하는 방법으로 동의할 수 밖에 없는 경우도 많다). 주로 웹하드 같은 곳에서 으로 달라붙은 경우도 있다.[2][3]
    • 허위로 바이러스 또는 스파이웨어 등을 진단했다고 알린다. 이것이 가장 전형적인 수법이고 사용자 입장에서는 도저히 알아낼 수가 없다.[4][5]
    • 사용자가 가짜 바이러스를 치료할 때 매월 자동결제를 유도해서 사용자의 돈을 계속 또는 몰래 빼낸다.
    • 사용자가 제거를 하지 못하도록 한다. 언인스톨러에 퀴즈를 내는 것은 양반이고, 시늉만 하고 안 지워지는 경우가 태반이다. 이 경우 전문가가 아니면 제거를 하기가 정말로 어렵다. 보통 피해자가 한둘이 아니므로 구글링 좀만 하면 블로그에 해결책이 있는 경우가 많다.
  • 허위백신의 특징 - 하우리(출처 : 해당 사이트 삭제됨)
    • 딱봐도 붕어빵처럼 닮은 디자인(UI: User Interface)을 갖고 있다. 특정 허위백신 제작 업체에서 허위백신을 제작하여 분양(?)하거나 운영하기 때문에 유사한 디자인의 허위 백신 프로그램들이 많이 나오고 있다.
    • 동일한 진단결과나 허위/과장된 진단결과를 출력하고, 반복적으로 진단 결과창을 출력하여 결제를 유도하는 행위를 한다. 악성코드에 대해서 잘 모르는 사용자들은 해당 허위백신에서 진단하는 진단결과 값을 제대로 확인하기 어렵기 때문에 동일한 진단결과나 허위/과장된 결과를 지속적으로 출력하여 결제를 유도하는 행위가 빈번하게 이루어지고 있는 것이다. 또한 그것들은 쉽게 닫기도 어렵게 설계된 경우가 많다.
    • 자동결제를 유도하는 행위를 한다. 사용자가 해당 허위 백신의 결제 시스템을 제대로 파악하지 못한 상태에서 결제 시 자동 결제로 설정되어 있게 하는 방법 등으로 자동으로 돈을 빼내 간다.
    • 매우 쓸데없고 초보적인 방식으로 검출 가능한 파일 이용기록 등을 바이러스로 검출하고는 돈을 요구하기도 한다.
요약하면, '''왠지 깔려있고, 왠지 검사가 시작되고, 왠지 결제하라고 뜬다.'''
당연히 사용자에게는 전혀 좋을 것 없이 해만 되는 물건이니 주의가 필요하다. 확실하지 않으면 설치하지 않는 것이 좋다.(유명한 업체의 것으로 설치하는 게 여러 모로 편하다) 만약 설치되어 있는 백신이 유명한 백신의 짝퉁으로 보인다면 허위백신일 확률이 높다.
물론 단순히 바이러스의 진단률이 떨어지거나 오진이 잦다고 해서(...) 허위백신은 아니다. 또한 검사는 무료이지만 치료는 유료인 경우에도 무조건 허위백신인 것은 아니다. 최근 무료백신이 널리 퍼지기 전에는 이런 식으로 치료만 유료로 하는 서비스가 꽤 많았다. 하지만 결제 유도 창을 쉽게 닫지 못하게 설계된 것 중에 제대로 된 백신은 없다.
국내 백신의 경우 허위 백신을 눈앞에 두고도 잡지 못하는 경우가 있다. 그 이유는 국내 허위 백신의 경우 스파이웨어 기준안을 교묘히 피해서 배포되고 있기 때문이다. 유사한 UI, 동일한 진단결과, 자동결제 여부 등의 정보들을 보면 어느 정도 허위 백신인 것을 알고 있지만 현행법상 악성코드로 진단하기 매우 까다롭다. 게다가 허위 백신으로 진단해 삭제하면 고소가 들어온다. 근데 허위백신은 UI가 간단해보인다.
울지않는 벌새의 블로그 - 지워도 잘 지워지지 않는 백신 삭제법을 정리해놓은 블로그. 자료가 가장 많다.

2.1. 백신으로 위장한 바이러스

위에서는 돈과 관련된 문제를 다뤘지만, 허위백신의 또 다른 케이스로는 무료백신을 가장하여 검사가 진행되는 동안 점점 바이러스를 심는 경우, 또는 백신 프로그램 그 자체가 바이러스인 경우가 있다. 이 케이스는 국내보다는 외국에서 만들어진 프로그램에 많다. 사실 허위백신과 관련해서는 이쪽이 더 역사가 깊다. 이쪽은 DOS 시절부터 있었으니...
보통 개념 잡힌 백신의 경우 이런 것을 잡아 주지만 이런 것을 대놓고 깔아도 전혀 검출이 안 되는 경우를 만난다면 모든 파일을 포기하고 그냥 깨끗하게 포맷하는 수밖에는 방법이 없다.
이 경우는 위의 경우와 다르게 백신 프로그램의 능력이 된다면 싹 잡아버린다. 만약 프로그램 능력이 안 돼서 그런 것을 못 잡는다면... 그저 묵념.
(외국의) 가장 좋은 예로 Personal Shield Pro와 Security Shield가 있겠다. Personal Shield ProSecurity Shield의 증상 동영상이다. 외국에서는 이미 바이러스로 분류된 반면, 우리나라에서는 외국 쪽의 유입에 대해 조사를 안 하는 건지 차단이 허술하다. 그런 고로 혹 걸렸다면 무턱대고 백신만 믿지 말고, '''검색을 하자.''' 그나마 우리나라에서도 몇몇 사람들이 제거법을 올려서 다행.
드라마 유령최종보스가 계획한 것도 백신 회사를 합병한 다음, 이 회사에서 만든 백신으로 위장한 바이러스를 인터넷망에 퍼트려 위장 백신이 설치된 모든 컴퓨터를 해킹함으로써 정보를 장악하는 것이 목적이었다.

2.2. 허위백신 예방법

  • 백신의 설치파일을 보안회사로 보내 바이러스 신고를 해보자. 백신으로 위장한 바이러스는 구별할 수 있다.
  • 구글 같은 곳에서 백신의 이름을 검색해 보자. 허위백신이라면 피해자의 글을 볼 수 있다.
  • 신뢰할 수 있는 기관의 인증을 받은 제품을 쓰자. 아래에 있는 테스트는 허위백신은 절대 통과 못한다.
    • VB100 인증 - 전세계 2지역 이상 발견된 국제적인 바이러스를 단 한개도 놓치지 않고 오진 없이 잡아야 되는 어려운 인증이다.[6]
    • CC인증 - 정보보호 제품에 대한 국제공통평가기준이다. 공공기관에 납품하려면 반드시 받아야 하는 인증으로 국내에서는 국정원에서 인증한다.
    • Check Mark - 영국의 West Coast Labs 에서 악성코드를 100% 진단하고 치료하는지 테스트하여 해당 인증마크를 부여한다.
    • AV-Comparatives - Anti-Malware Test Lab에서 주최하는 테스트로 역시 엄격한 테스트를 거친다.
    • ICSA labs - 미국 Verizon Business의 독립기관으로, 보안제품에 대한 중립적이고 객관적인 테스트 및 인증을 제공해 세계 유수의 보안 기업들이 ICSA Labs의 인증 획득을 위해 제품 테스팅을 진행하고 있습니다.
  • OPSWAT - 미국의 보안기술 인증 단체로서, 보안어플리케이션의 품질수준 및 호환성을 평가진행하며 품질 및 호환성 수준에 따라 금, 은,동으로 인증을 부여한다.
이것 이외에도 여러 인증이 있으나 가장 유명하고 대부분의 보안회사(안랩, 어베스트 기타 등등)에서 기본적으로 획득한 인증을 넣었다. 이 인증이 없다고 허위백신이라고 말할 수는 없지만, 인증이 있다면 진짜 백신이다.
가장 간단한 방법은 무언가를 설치할 때[7] 기본 설치 항목을 빼고 다 체크를 푸는 것이다. 이것만 해놔도 웬만한 건 막는다. 웹하드 및 파일 다운로더의 경우 자세히 보면 본 설치항목 외에 '''부가 서비스''' 등의 이름으로 뭔가 여러 개 체크되어 있다. 덧붙이자면, 본 설치항목은 체크를 해제할 경우 "프로그램의 정상적인 실행이 안 될 수도 있습니다. 그래도 설치하시겠습니까?"라고 물어보거나 해제 자체가 안 되는 경우가 많다. 심지어는 "프로그램의 실행을 위해 기본 파일만 다운로드됩니다" 라는 문구와 함께 닫기 창을 눌러도 다운로드가 되버리는(....) 경우도 있다.
또한 허위백신들은 윈도우의 보안 센터(XP/Vista), 관리 센터(7/8/8.1), Windows 보안(10)에서 인식하지 않는다. 이를 이용하여 허위백신을 구별하는 방법도 있다.

2.3. 허위백신을 이미 설치한 상태라면?

한국인터넷진흥원이 배포한 허위백신 대처법을 정리하면 다음과 같다.
  • 사용하지 않던, 듣도보도 못한 백신이 ‘바이러스’ 또는 ‘악성 코드’를 진단한 뒤 결제를 요구할 경우에는 삭제한다.
    • 백신이 제대로 삭제되지 않는다면 한국인터넷진흥원(국번없이 118) 원격점검 서비스를 신청한다.[8]
    • 메모장에 taskkill /f /im (바이러스 프로그램 이름) 적어놓고 저장 타입을 .bat로 바꾸어 저장한 다음 계속 연타한 다음에 Delete 키를 입력하면 어느 순간 삭제된다. 리소스 종료를 계속 시켜 백신 파일이 따라올 수 없는 원리를 이용한 방법이다. 이런 꼼수(?)를 사용할 수도 있다.
  • 유료 결제를 요구하는 백신이라면 이용약관을 확인하여 ‘자동연장결제’[10]와 같은 내용이 있는지 확인한다. 또, 매달 청구서를 확인하여 휴대폰 소액결제 등으로 빠져나가는 돈이 있는지 확인한다.[11]
    • 만약 업체에서 서비스 해지 또는 환불을 거부하거나, 업체와 연락이 끊긴 경우에는 공정거래위원회 소비자상담센터(국번없이 1372)로 민원을 넣는다.
    • 휴대폰 소액결제로 돈이 계속 빠져나가고 있다면, 휴대폰/ARS결제중재센터에 온라인 중재를 요청한다.
    • 성능좋은 유료백신이었고 원한다면 계속 쓰지만[9], 성능도 엉망이고 허위백신이라면 삭제한다. 백신이 제대로 삭제되지 않는다면 본 항목 처음으로 돌아간다.
  • 포맷이 싫다면, 시스템 복원을 시도해 보며 복원지점이 기록되어 있지 않다면 어쩔 수 없이 포맷해야 한다.
  • 그 허위 백신의 설치경로에 대한 것을 알고 있다면 안전모드로 부팅해서 수동으로 지워주면 된다.
위에 서술된 허위백신의 특징과 예방법을 잘 기억해두자. 물론 가장 좋은 방법은 허위백신 자체를 아예 설치하지 않는 것이다. 호락호락하게 삭제되지 않을 것은 물론, 제거했다 하더라도, 악은 성실하므로 훗날 또 맞닥트릴 수 있으니 방심은 금물이다.

3. 허위 백신 목록

  • MacKeeper
  • 나바쉴드
  • 코드클린
  • PC Optimizer Pro
  • 바이아웃
  • 바이닥터
  • 제룩스
  • Win 8 Security System
  • uninstall.exe[12]

  • Live Security Platinum
  • Fake AdwCleaner (AdwCleaner의 가짜 버전) #[13][14]
  • iszone
  • Segurazo
  • Bytefence Antimalware
  • Smart Guard Protection

4. 허위 백신이 아닌 것들


4.1. 정식 인증받은 국내 백신 소프트웨어 목록

본 문단은 보호나라에서 정식으로 치료 능력이 있다고 간주되는 국내 안티 바이러스 소프트웨어 목록을 기술한다.
  • 안랩 V3 엔진을 사용하는 모든 백신
    • V3 시리즈[15]
    • 네이버 백신[16]
  • 하우리 바이로봇
  • 알약[17]
  • 바이러스체이서
  • nProtect

4.2. 치료 능력이 있는 해외 백신 소프트웨어

본 문단은 국내에서 정식 인증은 받지 않았지만 저명성이 있으며 VB100 / AV-Test 등에서 어느 정도의 성적을 받은 해외 백신 프로그램만 기술한다.

5. 관련 기사

허위가 아닌 효율이 떨어지는 백신 항목을 만들어 넣는다면 무난할 듯하다. 문제 발생이나 훼손 사례 시 오히려 정부기관에 중재 요청을 하는 방법이 있을 수 있다.

[1] 두 번째 문제에 주어진 함수는 부정적분이 가능하다.다만 초등함수의 유한한 결합으로 표현이 불가능하다. 다만 '''그 적분으로 정의되는 특수함수가 아직은 정의되지 않았고''', WolframAlpha도 (no result found in terms of standard mathematical functions)가 출력된다. 소수점 30번째 자리까지 표기한 근사값은 대략 이정도이다. 2010년대 후반에 들어서는 V3, 알약을 비롯한 일부 보안 프로그램들은 악성 프로그램에 의한 자동 삭제를 막기 위해 위의 사칙연산 문제를 CAPTCHA 처리해서 내는 경우도 보이고 있다.[2] 어떤 사이트에서 파일을 다운로드 받으려고 하면 직접 받아지는게 아니라 사용자에게 다운로더를 설치하게 한 다음 다운로더에 허위백신에 대한 약관 동의를 끼워넣는 경우도 있다. 불법 논란을 피하려고 동의 체크를 해제하면 진짜 설치가 되지 않긴 하는데, 구석에 박아놓은데다 동의할 설치 약관이 여러개임에도 스크롤바도 안보이는 수준으로 만들어놔서 잘 보이지도 않는다.[3] 해외에는 팝업창에 GIF를 넣어서 바이러스 검색되었으니 결제해서 치료하라는 사기 광고를 달아두는 방식도 있다. 즉 프로그램도 깔지 않고 검색도 안해놓고 돈부터 내놓으라는 것[4] 가끔 일부 프로그램은 컴퓨터의 모든 것을 악성프로그램으로 진단하고 강제로 종료시킨다. 심지어 explorer.exe(윈도우 탐색기, 폴더 창을 띄우는 프로세스다)도.[5] 가장 악랄한 경우는 Ctrl+Shift+Esc(작업 관리자 단축키)로 해당 백신을 강제종료시키려 했을 때, 작업관리자인 taskmgr.exe마저 바이러스로 판단하여 차단하는 상황이다. 이쯤되면 허위백신이 아니라 랜섬웨어로 분류하는 것이 보다 더 정확하다.[6] 노턴, 카스퍼스키, 어베스트, V3, 엔프로텍트, 바이로봇, avira, 비트디펜더, AVG, 맥아피, 알약, 에프시큐어, 소포스, BullGuard, 트렌드마이크로, 닥터웹, 이카루스, 코모도, 마이크로소프트 등등 이 목록에 나열되어 있는 테스트 중 가장 많은 보안 업체가 거치는 테스트이다.[7] 예를 들어 XX파일 다운로드 Active X라든가[8] 이 서비스는 개인 이용자에게만 제공되는 무료 서비스이다. 기업이나 공공기관, 학교 등이라면 전산 담당자에게 문의하자.[9] 자동 설치되는 백신 중에 성능 좋은 유료백신이 있는가에 대한 의문을 가질 수도 있는데, AvastMcAfee의 경우 어떤 프로그램을 설치 시 체크 해제를 하지 않을 경우 자동으로 설치되는 경우가 있다. 둘 다 성능 좋은 백신이다. 물론 무료백신 버전도 있다.[10] 이것 때문에, 허위백신을 삭제해도 돈이 계속 빠져나가는 경우가 있을 수 있다.[11] 개인에게는 진단도 치료도 무료이면서 성능 또한 좋은 백신이 많다. 굳이 치료할 때마다 돈을 내어야 하는 듣보잡 백신을 쓸 이유가 없다. 무료백신 문서를 참조하자.[12] 바이러스 백신인척 하면서 바이러스가 삭제가 안된다. 배포는 여기서 하고 있다.심지어 영상 안내까지 있다.[13] AdwCleaner는 Malwarebytes에서 무료로 배포되는 프로그램이다.[14] Fake AdwCleaner의 경우 GUI도 똑같지만(다만 현재 AdwCleaner의 GUI가 변경되었다) 좀 대충 만들었는지 사용자가 창을 늘리거나 줄일 수 있고 .NET로 만들어졌다. 이것 말고는 일반 허위백신과 똑같다.[15] V3 Lite 등.[16] 안랩 엔진 일부만 포함되어 있으나 보안 관련 기능 다 포함되지 않아 보안문제가 있다. 또, 랜섬웨어 방어기능이 없다.[17] 알약은 비트디펜더 이외에 소포스, 자체 테라 엔진을 사용한다. 하지만 주 엔진은 역시 비트디펜더.[18] 이 셋을 묶어서 3A라고 많이 일컫는다.

분류