원치 않는 소프트웨어로부터 사용자를 보호하는 차원에서 최근 구글에서는 사기성 소프트웨어 설치 유도 수법 및 원치 않는 소프트웨어 제공과 관련된 비즈니스를 규명하는 데 최선의 노력을 쏟고 있습니다. 웹페이지에 의도하지 않은 광고를 삽입하는 광고 인젝터, 사용자 동의 없이 새로운 탭 페이지 및 검색 설정을 변경하는 브라우저 하이재커 등이 이런 원치 않는 소프트웨어에 해당합니다.
매주 구글 세이프 브라우징에서는 6천만 개 이상의 경고를 발령해 사용자가 원치 않는 소프트웨어를 설치하지 않도록 돕습니다. 이는 구글에서 ‘멀웨어’에 표시하는 경고수의 3배가 넘는 수치입니다. 이러한 경고 중 다수는 사용자가 여러 개의 추가 옵션이 포함된 소프트웨어 번들(이른바 설치당 과금이라고 알려진 비즈니스 모델, PPI)을 무심코 다운로드하려 할 때 표시됩니다. PPI 모델은 수익을 대가로 사용자를 속이는 공격적인 설치 수법을 조장하는 경향이 있습니다. 최근 구글에서는 뉴욕대학교와 1년 동안 진행했던 PPI 비즈니스 및 소프트웨어 번들 구매 설치에 대한 공동 연구를 마쳤습니다. 전체 보고서(여기서 읽기)는 이번 주 USENIX 보안 심포지엄에서 공개될 예정입니다.
이번 연구 결과를 통해 알 수 있는 점은 원치 않는 소프트웨어 문제는 잘못된 소프트웨어 번들링 관행으로 계속 발생한다는 것이었습니다. 이런 번들은 사기성 소프트웨어 업데이트, 가짜 콘텐츠 잠금장치, 허위 브랜드 등 기만적인 프로모션 도구를 통해 푸시되어 사용자를 속여 설치 조건에 동의하게 만듭니다. 특히 심각한 것은 웹 광고, PPI 비즈니스, 번들 소프트웨어로 연결되는 이 고리에서는 단 한 개의 속임수만 있어도 피해는 발생한다는 데 있습니다.
원치 않는 소프트웨어 배포 뒤 숨겨진 이야기
소프트웨어 번들 설치 대화 상자. 빠른 설치 옵션에 동의하면 개별 프로그램 기능에 대한 별도의 설명 없이 8개의 프로그램이 한꺼번에 설치됨.
위와 같은 설치 대화 상자를 본 적이 있다면 이미 PPI 배포 모델에 대해 알고 있을 것입니다. 이 이면에는 다음과 같은 관련 주체들이 있습니다.
- 광고주: PPI 모델에서 광고주는 번들링을 통해 이루어지는 설치에 대해 비용을 지불하는 소프트웨어 개발자(원치 않는 소프트웨어 개발자 포함)를 말합니다. 상기와 같은 예에서 보면 광고주에 Plus-HD와 Vuupc가 이에 해당합니다. 설치당 비용은 남아메리카에서는 보통 $0.10에서부터, 미국에서는 $1.50에서부터 시작합니다. 원치 않는 소프트웨어 개발자는 광고 인젝션, 검색 트래픽 매매 혹은 구독료 징수 등을 통해 이러한 손해를 보전합니다. 구글 조사 결과 1,211개의 광고주를 확인할 수 있었습니다.
- 제휴 네트워크: 제휴 네트워크는 설치에 대해 지불을 하고자 하는 광고주와 수수료를 받고 추가 애플리케이션을 번들링하려는 인기 소프트웨어 패키지 간에 중개인 역할을 합니다. 이러한 제휴 네트워크는 성공적인 설치를 추적하여 비용을 청구하는 핵심 기술을 제공합니다. 이에 더해 세이프 브라우징 또는 안티바이러스 탐지 기능 등을 무력화시키는 도구도 제공합니다. 구글에서는 이번 연구를 통해 PPI 비즈니스를 지속시키는 제휴 네트워크를 최소 50개 확인했습니다.
- 게시자: 마지막 주체는 인기 소프트웨어 애플리케이션으로 자사 콘텐츠를 여러 개의 광고주 제품을 포함하여 재구성합니다. 이 게시자는 또한 가능한 모든 수단(기만적인 광고, 다운로드 포털, 자연 페이지 트래픽)을 동원하여 사용자로 하여금 해당 소프트웨어 번들을 다운로드하여 설치하게 만드는 역할을 담당합니다. 구글 연구 결과 2,518개의 게시자가 191,372개의 웹페이지를 통해 원치 않는 소프트웨어를 포함하는 번들을 배포하고 있음을 확인했습니다.
이렇게 분업화된 모델로 인해 광고주는 전적으로 설치 후 사용자 수익 창출, 게시자는 전환 최대화(최종 사용자 경험은 차치하고)에만 전적으로 매진할 수 있게 됩니다. 이런 구조 때문에 배포 과정 어느 지점에서 한 명의 사기꾼만 있으면 원치 않는 소프트웨어 설치가 가능해집니다.
번들링되는 소프트웨어
1년이라는 기간 동안 구글에서는 대규모 PPI 제휴 네트워크 4개로부터 번들링된 옵션들을 모니터링했습니다. 그 결과 843개의 소프트웨어 패키지와 관련된 총 446,000개의 옵션을 수집하였습니다. 사용자가 원치 않는 광고 인젝터, 브라우저 설정 하이재커, 30~40달러를 지불하면 사용자 기기의 긴급한 문제를 고쳐 준다고 속이는 스케어웨어가 가장 흔한 유형이었습니다. 아래 그림은 안티 바이러스 경고 프로그램으로 위장한 광고 인젝터의 예로, 사용자의 시스템에 존재하지도 않는 문제를 해결해 준다고 속이고 있습니다.
사기성 행위
전체적으로 보았을 때, PPI 제휴 네트워크에서 매주 번들링되는 옵션의 59%가 한 개 이상의 안티 바이러스 엔진에 의해 잠재적으로 원치 않는 옵션으로 표시되는 것으로 나타났습니다. 이에 따라 소프트웨어 번들은 설치 전에 사용자의 기기를 인식하여 안티 바이러스 엔진이 있는지 확인합니다. 게다가 세이프 브라우징이 이러한 소프트웨어로부터 사용자를 보호하는 기능을 제공함에 따라, 게시자들은 사기성 소프트웨어 감지를 피하기 위해 점점 더 복잡한 수법을 사용하고 있습니다. 예를 들어 아래 그림과 같이 비밀번호로 보호하는 압축 바이너리를 사용하는 수법을 들 수 있습니다.
이와 같이 현재 소프트웨어 번들링에 다양한 방식의 사기성 행위가 만연하고 있으며, 허위 동영상 코덱, 소프트웨어 업데이트, 허구 브랜드와 같은 사기성 프로모션 도구도 함께 사용되고 있습니다.
구글의 노력
구글은 원치 않는 소프트웨어 설치로부터 사용자를 보호하기 위해 세이프 브라우징 기능과 크롬 정리도구를 지속적으로 개선하고 있습니다. 또한 사용자에게 제대로 설명하지 않은 채 다운로드를 유도하거나 소프트웨어를 번들링하는 광고주를 차단하고 방지하기 위해 구글 광고 정책을 통한 신속한 대응을 하고 있습니다.
이외에도 구글은 PPI 마켓의 기업들이 일부 구성원의 사기성 행위를 해결할 수 있도록 변화를 촉구하고 있습니다. 이러한 노력의 일환으로, 구글은 최근 안티 바이러스 업계, 번들링 플랫폼, 클린 소프트웨어 연합이 한데 모인 클린 소프트웨어 서밋(Clean Software Summit)을 주최했습니다. 이 서밋에서는 소프트웨어 번들 설치 시 사용자에게 분명한 선택권을 주고, 원치 않는 설치를 유도하는 사기성 기업들을 차단하기 위한 업계 전반의 이니셔티브에 대해 논의했습니다. 구글은 앞으로도 사용자들이 온라인 소프트웨어를 다운로드할 때 보안을 유지할 수 있도록 지속적으로 노력할 계획입니다.
작성자: Kurt Thomas (연구원), Juan A. Elices Crespo (소프트웨어 엔지니어)
