▶ 보안 관련 정보 및 팁

자동 압축 해제(SFX 압축)은 보안을 위해 7집을 통해 해제합시다.

물여우 2011. 12. 10. 08:30
반응형


최근에 모 연예인 동영상이 유출되면서 또 시끄러웠던 것들을 기억하실 겁니다. 이런 사회적인 이슈들은 악성코드를 유포하는 자들에게는 좋은 기회입니다.


위 악성코드 유포는 아주 전형적인 유포 패턴인데, 악성코드 설치를 더 유용하게 하기 위해 낚시용 이미지 파일을 사용하며 연예인 유출 동영상을 SFX(Self-extracting archive - 자동 압축 해제)를 이용해서 악성코드와 함께 압축, 압축 해제시에 자동으로 악성코드가 생성, 실행되게 하고 있다고 합니다.


사실 이 SFX 압축은 혹시라도 압축 프로그램이 없는 환경을 사용 중인 사용자를 위한 배려나 간단한 포터블 제작 등에 많이 사용하는 아주 유용한 기능입니다.

하지만 토렌트 및 웹하드에서 저작권 검색을 피하기 위해서 'exe' 포맷으로 압축하는 등 음성적인 유통을 위해서 사용하기도 하고 위와같이 악성코드를 유포하기 위해서도 사용하기도 합니다.

위 사례말고 다른 사례를 살펴볼까요? 아래는 며칠 전에 바제 카페에서 신고되었던 불법 유통되고 있는 게임의 하나입니다.


보아하나 RAR을 이용해서 SFX압축을 한 파일입니다. 굳이 다른 압축 프로그램을 이용해서 압축을 해제할 필요없이 저 파일을 더블클릭해서 실행하면 자동으로 압축이 풀립니다.
 


그런데 상당히 빨리 지나가기 때문에 대부분 알 수 없겠지만, 사운드 트랙 폴더에 'Keygen.exe'파일이 존재합니다. 분명히 업로드한 사람은 따로 크랙이나 패치가 필요없다 했는데 저 파일이 왜 필요한 걸까요?
 


파일 속성을 보면 게다가 숨겨져 있습니다. 뭔가 애매하죠? 게다가 게임은 실행도 안 했는데, 활성화된 프로세스 모임에 뭔가가 하나 추가되었습니다.

실제로 Keygen.exe를 실행되면, 아래와 같이 사용자 폴더에 두 파일을 생성시키고 시작 프로그램에 등록 시킵니다. 즉 사용자는 게임을 위해 설치(압축 해제)를 했을 뿐인데, 실제로는 악성코드가 생성, 실행된 것입니다.

 

바이러스 토탈로 검색을 해보면 안랩에서 Adware(MD5 : 79bed993063b1e7bbaa67b25a7edd1a2)로 판단하는 것을 확인할 수 있습니다. 이 경우 배너 광고 등의 수입을 노린 것으로 PUP 종류의 악성코드라 할 수 있겠습니다.



다행히 위 사례는 PUP 종류로 시스템에 큰 영향을 미치는 것은 아니지만 언제든지 요즘 이슈화되고 있는 ddos 공격 용 악성코드나 웜 및 봇 등으로 변경되어 유포될 수 있습니다. 즉 상당한 위험성을 내포하고 있다는 것을 의미합니다. 외국 토렌트 등에서 실제로 웜 등의 악성코드가 담긴 파일들을 종종 만나 볼 수 있습니다.


이와 같이 SFX 압축된 파일을 함부로 실행시키는 것은 상당히 위험한 일임을 알 수 있습니다. 그렇다면 이런 위험성을 어떻게 없앨 수 있을까요? 사실 간단합니다.

1. 정상적인 경로로 파일을 다운 또는 구입한다
2. 자동 압축 해제(SFX 압축)는 7집 등의 압축 프로그램을 이용해서 압축을 해제한다.
3. 포터블화 등 자동 압축 해제를 반드시 해야하는 경우, 임시로 SandboxIE같은 프로그램을 이용한다.
4. 안티 바이러스를 항상 가동한다.

1번은 더이상 설명이 필요 없겠지요? 4번도 설명이 필요없지만, 크랙이나 키젠을 진단한다고 안티 바이러스를 비활성화하는 경우가 매우 많아 문제입니다. 3번은 나중에 샌드박스 IE 프로그램을 살펴볼 기회가 있으면 설명하도록 하겠습니다. 

여기서는 2번만 설명해 보도록 하겠습니다. 앞서 언급한 불법 유통 게임을 예로 들면 비록 압축 파일이지만 파일의 확장자가 'exe'이기 때문에, 일반적인 우클릭 메뉴(Context menu)의 압축 해제 항목이 나타나지 않습니다.  그러나 7집을 이용하면 우클릭 메뉴의 압축 해제 항목이 나타납니다.

좌측처럼 특정 제품의 경우 우클릭 메뉴가 확장자가 압축 포맷일 때에만 나타날 때가 있지만 우측처럼 exe 파일 포맷에서도 7집은 우클릭 메뉴가 나타나는 것을 확인할 수 있습니다. 실제로 압축을 해제하면 SFX 압축 해제와 동일합니다. (※ 알집에서도 이와 같은 우클릭 메뉴가 나타나는 것을 확인했습니다.)

다만, 포터블화해서 특정 스크립트 실행이 반드시 필요한 경우는 어쩔 수 없이 자동 실행 해제를 사용해야합니다. 이 경우 SandBoxIE 등을 사용해서 임시로 풀어보고 확인해 보는 과정이 반드시 필요하겠지요.

아주 간단한 방법이지만 아무래도 찜찜한, 불법적인 것들을 접할 때에는 상당히 유용한 방법입니다. 위와 같이 7집으로 해제를 하면 정상적으로 압축이 해제되기 때문에 게임은 게임대로 즐길 수 있고, 악성코드 실행은 안전하게 막을 수 있습니다. 왜 자동 압축 해제를 7집으로 해제하자고 이야기 하는지 이해가 가시는지요?


혹시라도 다른 압축 프로그램을 이용하고 있기 때문에 7집의 메뉴 항목이 불편하시다면 저처럼 계단식 메뉴 생성에 체크하면 딱 한 줄만 나타나니 크게 불편하지는 않습니다. 또 못생긴 7딥의 아이콘이 맘에 들지 않는다면 파일 연결을 모두 해제하셔서 사용하면 됩니다. 파일 연결과 상관없이 우클릭 메뉴는 나타납니다.  

               계단식 우클릭 메뉴 생성                                             파일 연결 해제




모 연예인 덕분에 이슈가 되서 간단한 팁이지만 작성해봤습니다.

사실 직접 압축 해제 프로그램을 실행시켜, 자동 해제 압축 파일을 불러와서 압축을 해제할 수도 있습니다. 하지만 7집 등을 이용하면 그냥 우클릭 메뉴에서 간단히 해제가 되니 훨씬 편합니다. rar에서도 가능하지만 유료 제품이라 일단 제외시켰습니다.

불법적인 경로를 아예 사용하지 않는 것이 좋지만, 어쩔 수 없이 사용하는 경우 최소한의 방비는 하는 것이 자신의 PC를 지킬 수 있는 길이 아닐까 싶습니다.

토렌트나 웹하드에서 exe 형태로 압축되어 제공되는 파일은 어떤 파일이든지, 그대로 실행시키지 말고 반드시 7집등으로 해제하도록 합시다..


- 이상입니다.

반응형