어느 악성코드 제작자의 욕심과 허술함

 

(미디어다음에 웬 금융감독원 팝업???)

 

 

[전혀 창조적이지 못했던 금융감독원 팝업창 파밍 악성 코드]

 

상당한 노력을 기울인 흔적은 돋보였다.

 

6월의 마지막 주말, 싱크탱커의 컴퓨터는 정상적인 기능을 상실했다. <창조의 재료탱크> 접속이 힘들 정도였다.

 

이 악성코드의 제작자(이하 그 작자)에게 박수를 보내고 싶었다.

 

일단 수많은 은행 사이트의 정교한 이미지 작업이 필요했을 것이다. 속기 쉬운 동일한 디자인이었다. 노력이 가상했다. 그리고 과감하고 멋졌다. 국내 최대포털인 네이버, 미디어다음에 금융감독원 팝업창을 띄어놓았다. 이 정도면 우루사가 필요할 정도로 간이 부었다고 볼 수도 있지만, 그만큼 다수의 공신력을 이용한 나쁘지 않은 전략이었다. 동시에 새로웠다. 외견상 창조적이었다.

 

금전 사기꾼들의 주요한 특징은 절대로 남의 돈에 욕심을 섣불리 드러내지 않는다. 최대한 본심을 감춘다. 그러다 결정적인 순간이 오면 남의 돈을 낚는다. 그런데 그 작자의 최대 실수는 돈 욕심이 너무 앞섰다는 것에 있었다. 그러다보니 창조 작업의 ‘디테일’에서 허술함이 대단했다. 듬성듬성 구멍이 났다.

 

우선적으로 가증스럽게 파밍 사기 소비자 피해 예방 알림 문구까지 가짜 은행 사이트 상단에 박아놓았다. 이것이 첫 번째 실수였다.

 

그 팝업창을 클릭 했을 때 그럴싸한 파밍 사기 안내 문구에 정교한 이미지 작업을 한 것처럼 조금만 더 노력을 기울였다면 나는 높은 평점을 줄 수 있었다. 하지만 그 팝업창을 클릭하자 갑자기 개인정보 입력창으로 전이됐다. 여기서 하수의 그릇된 돈 욕심이 발각됐다. 조금 더 본심을 감춰야 했다.

 

마찬가지로 금융감독원 팝업창을 전혀 지울 수도, 움직일 수 없게 한 것도 패착이었다. 사태의 심각성을 부각시키기 위함이었음을 짐작할 수는 있어도 그것이 오히려 역으로 컴퓨터 사용자의 답답함을 먼저 유발시켜 팝업창 제거 정보를 먼저 찾게 되는...그래서 이것이 악성코드임을 먼저 알아차리게 해 그 작자에게는 역으로 악수가 됐다.

 

팝업창의 문구, “최근 옥션 정보 유출 사건 때문에...”라는 문구도 시사성을 상실한 낡은 언어였다. 조금 더 사람들의 뇌를 환기시킬 만한 자극적인 문구가 필요했다.

 

여기에 금융감독원의 타이틀을 걸었다면 국내 금융정보를 다루는 거의 모든 기관을 수록하는 것이 나았다. 국내에 금융기관이 15개만 있는 것이 아니다. 15개 은행 이외의 사람들은 그럼 어디서 보안인증절차를 진행하라는 것인가.

 

신한은행을 클릭했더니 신한은행 사이트가 나오는데 주소창의 정확한 도메인명도 다르다. 정확한 사이트명은 http://www.shinhan.com/이 되어야 맞다. 그런데 난데없이 http://www.shinhan.com.jr/ 이다. 누가 봐도 토끼 머리의 뿔인 ‘jr’이라는 파밍 사이트의 추가적인 주소를 모든 은행 사이트에 심어 놓았다. “나 가짜 사이트요” 하고 광고하고 있다.

 

그 가짜 사이트가 외로울 것 같아 나는 정보를 호기심 삼아 입력했다. 그 작자가 실명을 쓰라고 하는데 애석하게도 그럴 수는 없었다. 그래서 ‘김똘똘’, 주민등록번호 1900101-1234567, 은행 계좌번호와 비밀번호도 유사하게 적어 넣었다. 더 웃긴 건 이것이 정상적인 정보로 인식을 한다.

 

 

 

외모는 다소 떨어져도 성격적으로 제대로 된 악성 코드임은 인정할 수 있었다. 그 작자의 바이러스는 V3의 방법으로는 완치가 안됐다. 보호나라 (http://www.boho.or.kr/)-다운로드-맞춤형 전용백신으로 들어가 감염PC 맞춤형 전용백신 (1~301차 누적 통합본)을 통해 치료할 수 있다.

 

백신을 돌리니 트로이안 계열의 바이러스 2개가 잡혔다. 치료가 됐고 팝업창은 사라졌다.

 

그런데 이럴 수가...나는 그 작자를 과소평가했다.

 

10분 지나니 또 금융감독원 팝업창이 다시 떴다. window-system32-drivers-etc폴더의 hosts가 변조됐다. 이 파일을 메모장으로 열어보면 자신의 아이피 주소가 강제적으로 가짜 은행사이트로 연결돼 있다.

 

이럴 때 필요한 것이 네이버와 미디어다음의 위대한 블로거들이다. 추가적인 정보를 얻은 끝에 cafe.naver.com/malzero에 올려진 Malware Zero Kit를 쓰게 됐다. (보호나라의 백신으로 치료가 되신 분들은 불요)

 

(http://cafe.naver.com/malzero/94376)

 

이 바이러스 툴은 놀라웠다. 윈도우가 아니라 도스 툴을 사용하고 있었다. 설치도 간단하고 시간도 많이 걸리지 않았음에도 보호나라가 완치하지 못했던 그 작자의 악성 코드를 완벽하게 잠재웠다.

 

더구나 과거 내 컴퓨터에 깔려있었던 좋지 않았던 악성 코드 50여개까지 깡그리 청소를 해줬다. 레지스트리까지 스케일링을 해준다. 덕분에 컴퓨터가 몰라보게 빨라졌고 쾌적해졌다. 금융감독원 팝업창 코드에 감염되지 않은 분들도 컴퓨터 최적화 차원에서 해볼 만한 좋은 툴이다.

 

(사진 출처 및 권리: cafe.naver.com/malzero)

 

이런 분이야 말로 진정한 크리에이터이자 박수를 받을 분이다. 어설픈 범죄적 사기 행각을 수준 높은 컴퓨터 지식을 통해 자체 제작한 바이러스 툴을 이용해 격퇴시켰다. 그것도 무료로 모든 사람들에게 공개해 놓았다. 이런 것이 선행이다. 다시 한 번 감사드린다는 말을 전하고 싶다.

 

혹시나 컴퓨터 사용 환경에 따라 Malware Zero Kit의 적용이 다를 수 있으니, 제작자 분이 올리신 사용방법을 먼저 읽어보기를 권한다. 나의 경우는 Window7이었고 따로 안전모드 부팅을 하지 않고도 잘 치료됐다. 아울러 공유기를 쓰는 분은 공유기 초기화와 비밀번호 재설정을 해야 재발을 막을 수 있다.

 

마지막으로 그 작자에게 짧은 한마디를 전한다.

 

김똘똘로 입력된 정보에 광분해 돈 찾는 일은 없도록~

 

By ThinkTanker (Copyrightⓒ. <창조의 재료탱크> All Rights Reserved)