1. 개요
허위 백신 프로그램의 예시들. | 허위 백신으로 악명이 높았던 코드클린의 삭제 장면.[1][2] |
최적화 프로그램 같은 다른 유틸리티 소프트웨어도 허위가 많이 존재한다. 유틸리티의 특성상 시스템 접근이 수월하고 컴퓨터에 이상이 생긴 것 처럼 속이기도 쉽기 때문이다. 이때문에 유틸리티 소프트웨어를 고를 때에는 다소 신중하게 선택해야 한다. 유틸리티 소프트웨어에 스파이웨어나 트로이목마, 백도어 등을 내장하고 있을 가능성도 무시할 수 없다.
영어로는 로그(Rogue) 혹은 Fake Antivirus라고 부른다.
2. 정의
안랩과 하우리에서 정의하는 허위 백신의 개념은 다음과 같다.- 허위 백신의 특징 - 안랩 (출처: 안랩 뉴스)
- 사용자 동의 없이 몰래 프로그램을 설치한다(또는 사용자가 인식하지 못하는 방법으로 동의할 수 밖에 없는 경우도 많다). 주로 웹하드 같은 곳에서 덤으로 달라붙은 경우도 있다.[3]
- 허위로 바이러스 또는 스파이웨어 등을 진단했다고 알린다. 이것이 가장 전형적인 수법이고 사용자 입장에서는 도저히 알아낼 수가 없다.[4]
- 사용자가 가짜 바이러스를 치료할 때 매월 자동결제를 유도해서 사용자의 돈을 계속 또는 몰래 빼낸다.
- 사용자가 제거를 하지 못하도록 한다. 언인스톨러에 퀴즈를 내는 것은 양반이고, 시늉만 하고 제거되지 않는 경우가 태반이다. 이 경우 전문가가 아니면 제거를 하기가 정말로 어렵다. 보통 피해자가 한둘이 아니므로 구글링을 하면 블로그에 해결책이 있는 경우가 많다.
- 허위 백신의 특징 - 하우리(출처: 해당 사이트 삭제됨)
- 딱봐도 붕어빵처럼 닮은 디자인(UI: User Interface)을 갖고 있다. 특정 허위백신 제작 업체에서 허위백신을 제작하여 분양(?)하거나 운영하기 때문에 유사한 디자인의 허위 백신 프로그램들이 많이 나오고 있다.
- 동일한 진단결과나 허위/과장된 진단결과를 출력하고, 반복적으로 진단 결과창을 출력하여 결제를 유도하는 행위를 한다. 악성코드에 대해서 잘 모르는 사용자들은 해당 허위백신에서 진단하는 진단결과 값을 제대로 확인하기 어렵기 때문에 동일한 진단결과나 허위/과장된 결과를 지속적으로 출력하여 결제를 유도하는 행위가 빈번하게 이루어지고 있는 것이다. 또한 그것들은 쉽게 닫기도 어렵게 설계된 경우가 많다.
- 자동결제를 유도하는 행위를 한다. 사용자가 해당 허위 백신의 결제 시스템을 제대로 파악하지 못한 상태에서 결제 시 자동 결제로 설정되어 있게 하는 방법 등으로 자동으로 돈을 빼내 간다.
- 매우 쓸데없고 초보적인 방식으로 검출 가능한 파일 이용기록 등을 바이러스로 검출하고는 돈을 요구하기도 한다.
요약하면, 왠지 깔려있고, 왠지 검사가 시작되고, 왠지 결제하라고 뜬다.
당연히 사용자에게는 전혀 좋을 것 없이 해만 되는 물건이니 주의가 필요하다. 확실하지 않으면 설치하지 않는 것이 좋다.(유명한 업체의 것으로 설치하는 게 여러 모로 편하다) 만약 설치되어 있는 백신이 유명한 백신의 짝퉁으로 보인다면 허위백신일 확률이 높다.
단순히 바이러스의 진단률이 떨어지거나 오진이 잦다고 해서 허위백신은 아니다. 또한 검사는 무료이지만 치료는 유료인 경우에도 무조건 허위백신인 것은 아니다. 최근 무료백신이 널리 퍼지기 전에는 이런 식으로 치료만 유료로 하는 서비스가 꽤 많았다. 하지만 결제 유도 창을 쉽게 닫지 못하게 설계된 것 중에 제대로 된 백신은 없다.
한국 백신의 경우 허위 백신을 눈앞에 두고도 잡지 못하는 경우가 있다. 그 이유는 한국 허위 백신의 경우 스파이웨어 기준안을 교묘히 피해서 배포되고 있기 때문이다. 유사한 UI, 동일한 진단결과, 자동결제 여부 등의 정보들을 보면 어느 정도 허위 백신인 것을 알고 있지만 현행법상 악성코드로 진단하기 매우 까다롭다. 게다가 허위 백신으로 진단해 삭제하면 고소가 들어온다. 근데 허위 백신은 UI가 간단해보인다.
울지않는벌새 블로그 - 지워도 잘 지워지지 않는 백신 삭제법을 정리해놓은 블로그. 자료가 가장 많다.
3. 백신 프로그램으로 위장한 바이러스
위에서는 돈과 관련된 문제를 다뤘지만, 허위백신의 또 다른 경우로는 무료백신을 가장하여 검사가 진행되는 동안 점점 바이러스를 심는 경우, 또는 백신 프로그램 그 자체가 바이러스인 경우가 있다. 이 케이스는 국내보다는 외국에서 만들어진 프로그램에 많다. 허위백신과 관련해서는 이쪽이 더 역사가 깊다. DOS 시절부터 있었기 때문이다.보통 개념 잡힌 백신의 경우 이런 것을 잡아 주지만 이런 것을 대놓고 깔아도 전혀 검출이 안 되는 경우를 만난다면 모든 파일을 포기하고 그냥 깨끗하게 포맷하는 수밖에는 방법이 없다. 이 경우는 위의 경우와 다르게 백신 프로그램의 능력이 된다면 싹 잡아버린다.
가장 좋은 예로 Personal Shield Pro와 Security Shield가 있다. Personal Shield Pro와 Security Shield의 증상 동영상이다. 외국에서는 이미 바이러스로 분류된 반면, 우리나라에서는 외국 쪽의 유입에 대해 조사를 안 하는 건지 차단이 허술하다. 그런 고로 혹 걸렸다면 무턱대고 백신만 믿지 말고, 검색을 하는 것이 우선이다.
드라마 유령의 최종보스가 계획한 것도 백신 회사를 합병한 다음, 이 회사에서 만든 백신으로 위장한 바이러스를 인터넷망에 퍼트려 위장 백신이 설치된 모든 컴퓨터를 해킹함으로써 정보를 장악하는 것이 목적이었다. 즉, 정상 백신을 남들 모르게 허위백신으로 만들려는 것이다.
4. 예방법
- 백신의 설치파일을 보안회사로 보내 바이러스 신고를 해보자. 백신으로 위장한 바이러스는 구별할 수 있다.
- 구글 같은 곳에서 백신의 이름을 검색해 보자. 허위백신이라면 피해자의 글을 볼 수 있다.
- 신뢰할 수 있는 기관의 인증을 받은 제품을 쓰자. 아래에 있는 테스트는 허위백신은 절대 통과 못한다. 하지만 허위백신은 이들 인증로고를 도용하는 경우도 있으니 완전히 신뢰하지 말자.
- VB100 인증 - 전세계 2지역 이상 발견된 국제적인 바이러스를 단 한개도 놓치지 않고 오진 없이 잡아야 되는 어려운 인증이다.[5]
- CC인증 - 정보보호 제품에 대한 국제공통평가기준이다. 공공기관에 납품하려면 반드시 받아야 하는 인증으로 국내에서는 국정원에서 인증한다.
- Check Mark - 영국의 West Coast Labs 에서 악성코드를 100% 진단하고 치료하는지 테스트하여 해당 인증마크를 부여한다.
- AV-Comparatives - Anti-Malware Test Lab에서 주최하는 테스트로 역시 엄격한 테스트를 거친다.
- ICSA labs - 미국 Verizon Business의 독립기관으로, 보안제품에 대한 중립적이고 객관적인 테스트 및 인증을 제공해 세계 유수의 보안 기업들이 ICSA Labs의 인증 획득을 위해 제품 테스팅을 진행하고 있다.
- OPSWAT - 미국의 보안기술 인증 단체로서, 보안어플리케이션의 품질수준 및 호환성을 평가진행하며 품질 및 호환성 수준에 따라 금, 은, 동으로 인증을 부여한다.
이것 이외에도 여러 인증이 있으나 가장 유명하고 대부분의 보안회사( 안랩, 어베스트 기타 등등)에서 기본적으로 획득한 인증을 넣었다. 이 인증이 없다고 허위백신이라고 말할 수는 없지만, 인증이 있다면 진짜 백신이다.
가장 간단한 방법은 무언가를 설치할 때[6] 기본 설치 항목을 빼고 다 체크를 푸는 것이다. 이것만 해놔도 웬만한 건 막는다. 웹하드 및 파일 다운로더의 경우 자세히 보면 본 설치항목 외에 부가 서비스 등의 이름으로 뭔가 여러 개 체크되어 있다. 덧붙이자면, 본 설치항목은 체크를 해제할 경우 "프로그램의 정상적인 실행이 안 될 수도 있습니다. 그래도 설치하시겠습니까?"라고 물어보거나 해제 자체가 안 되는 경우가 많다. 심지어는 "프로그램의 실행을 위해 기본 파일만 다운로드됩니다" 라는 문구와 함께 닫기 창을 눌러도 다운로드가 돼버리는(....) 경우도 있다.
또한 허위백신들은 윈도우의 보안 센터(XP/Vista), 관리 센터(7/8/8.1), Windows 보안(10/11)에서 인식하지 않는다. 이를 이용하여 허위백신을 구별하는 방법도 있다.
5. 이미 설치되었을 때 대처법
한국인터넷진흥원이 배포한 허위백신 대처법을 정리하면 다음과 같다.- 사용하지 않던, 듣도보도 못한 백신이 ‘바이러스’ 또는 ‘악성 코드’를 진단한 뒤 결제를 요구할 경우에는 삭제한다.
- 백신이 제대로 삭제되지 않는다면 한국인터넷진흥원(국번없이 118) 원격점검 서비스를 신청한다.[7]
- 유료 결제를 요구하는 백신이라면 이용약관을 확인하여 ‘자동연장결제’[8]와 같은 내용이 있는지 확인한다. 또, 매달 청구서를 확인하여 휴대폰 소액결제 등으로 빠져나가는 돈이 있는지 확인한다.[9]
- 만약 업체에서 서비스 해지 또는 환불을 거부하거나, 업체와 연락이 끊긴 경우에는 공정거래위원회 소비자상담센터(국번없이 1372)로 민원을 넣는다.
- 휴대폰 소액결제로 돈이 계속 빠져나가고 있다면, 휴대폰/ARS결제중재센터에 온라인 중재를 요청한다.
- 성능 좋은 유료백신이었고 원한다면 계속 쓰지만[10], 성능도 엉망이고 허위백신이라면 삭제한다. 백신이 제대로 삭제되지 않는다면 본 항목 처음으로 돌아간다.
위에 서술된 허위백신의 특징과 예방법을 잘 기억해두자. 물론 가장 좋은 방법은 허위백신 자체를 아예 설치하지 않는 것이다. 호락호락하게 삭제되지 않을 것은 물론, 제거했다 하더라도, 악은 성실하므로 훗날 또 맞닥트릴 수 있으니 방심은 금물이다.
6. 허위 백신 목록
아래의 목록은 일부에 불과하며 넷상에는 이보다 훨씬 많이 존재한다.- 다간다 (No-Ad) - 아래 다잡아와 병림픽을 벌였던 전적이 있다. #, 심지어 이들의 병림픽은 주요 일간지에 언급된적도 있다. (중앙일보)'다간다'와 '다잡아'가 싸우는 속사정은? (c.2004)
- 다잡아 (AdSpider) - 2000년대 한국 웹에서 악명높았던 허위 백신 프로그램. 설치하고 나면 시작페이지를 강제로 '오 코리아( 아카이브)'라는 조잡한 포탈 사이트로 리다이렉트시키는걸로 악명높았다. 아카이브된 오코리아 사이트를 보면 알겠지만, 사실상 이지윈클리너라고 다잡아 못지않게 악명을 떨친 허위 최적화 프로그램 만든곳에서 만든 곳이다. 놀랍게도 비트디펜더 SDK를 가져와서 2019~2021년 VB100 인증을 통과했다. 따라서 허위 백신이라는 과거의 오명을 벗게 되었다. 하지만 비트디펜더 등 타 백신 대비 뚜렷한 이점이 없는 데다가 과거의 악명 때문에 소비자들의 시선은 차갑기만 하다.
- MacKeeper
- 나바쉴드
- 코드클린
- PC Optimizer Pro
- 바이아웃
- 바이닥터
- 제룩스
- Win 8 Security System
- 매직케어[11]
- Live Security Platinum
- Fake AdwCleaner (AdwCleaner의 가짜 버전) #[12][13]
- iszone
- Segurazo
- Bytefence Antimalware
- Smart Guard Protection
- ReImage PC Repair Online
- PC Accelerate Pro
- Protegent Antivirus
7. 허위 백신이 아닌 것들
7.1. 정식 인증받은 대한민국의 백신 소프트웨어 목록
본 문단은 보호나라에서 정식으로 치료 능력이 있다고 간주되는, 대한민국 국내 안티 바이러스 소프트웨어 목록을 기술한다.7.2. 치료 능력이 있는 대한민국 외 국가의 백신 소프트웨어 목록
본 문단은 한국에서 정식 인증은 받지 않았지만 저명성이 있으며 VB100 / AV-Test 등에서 어느 정도의 성적을 받은 해외 백신 프로그램만 기술한다.- 어베스트[3A]
- AVG[3A]
- Avira[3A]
- 비트디펜더
- ESET
- 카스퍼스키
- 멀웨어바이트
- McAfee
- Microsoft Defender (구 Windows Defender)
- 노턴 시큐리티
- Panda Security
- 트렌드마이크로
8. 관련 기사
- 더욱 이해하기 쉬운 기사 1 2 3 4
- KBS뉴스 9 2013년 1월 15일 돈만 꿀꺽…백신 프로그램 절반 ‘무용지물’
[1]
첫 번째 스크린샷의 정답은 “162”다. 2010년대 후반에 들어서는
V3,
알약을 비롯한 일부 보안 프로그램들은 악성 프로그램에 의한 자동 삭제를 막기 위해 위의 사칙연산 문제를
CAPTCHA 처리해서 내는 경우도 보이고 있다.
[2]
두 번째 스크린샷은 사실 비꼴 목적으로 첫 번째 스크린샷에 합성한 것이다. 주어진 함수는 정의역 내에서 연속이므로 부정적분이 가능하지만
초등함수의 유한한 결합으로 표현이 불가능하다. 게다가 그 적분으로 정의되는 특수함수도 아직은 정의되지 않아,
WolframAlpha도 “no result found in terms of standard mathematical functions.(표준 수학 함수 측면에서 결과를 찾을 수 없습니다.)”를 출력하고 테일러 전개 등 수치해석적인 툴을 이용해 근삿값만을 구할 뿐이다.
소수점 30번째 자리까지 표기한 근사값은 대략 이 정도이다. 그래도 정의역 전체에 대한 이상적분 값은 [math(\frac{\pi}{\sqrt{e}} I_0(\frac{1}{2}))]이라는 닫힌 꼴로 표기 가능하기는 하다. [math(I_n(x))]는
제1종 수정 베셀 함수이다.
[3]
어떤 사이트에서 파일을 다운로드 받으려고 하면 직접 받아지는게 아니라 사용자에게 다운로더를 설치하게 한 다음 다운로더에 허위백신에 대한 약관 동의를 끼워넣는 경우도 있다. 불법 논란을 피하려고 동의 체크를 해제하면 진짜 설치가 되지 않긴 하는데, 구석에 박아놓은데다 동의할 설치 약관이 여러개임에도 스크롤바도 보이지 않는 수준으로 만들어놔서 잘 보이지도 않는다. 해외에는 팝업창에 GIF를 넣어서 바이러스 검색되었으니 결제해서 치료하라는 사기 광고를 달아두는 방식도 있다.
즉 프로그램도 깔지 않고 검색도 안해놓고 돈부터 내놓으라는 것.
[4]
가끔 일부 프로그램은 컴퓨터의 모든 것을 악성프로그램으로 진단하고 강제로 종료시킨다. 심지어 explorer.exe(윈도우 탐색기, 폴더 창을 띄우는 프로세스다)도. 가장 악랄한 경우는 Ctrl+Shift+Esc(작업 관리자 단축키)로 해당 백신을 강제종료시키려 했을 때, 작업관리자인 taskmgr.exe마저 바이러스로 판단하여 차단하는 상황이다. 이쯤되면 허위백신이 아니라
랜섬웨어로 분류하는 것이 보다 더 정확하다.
[5]
노턴 시큐리티,
카스퍼스키,
어베스트,
V3,
엔프로텍트,
바이로봇,
Avira,
비트디펜더,
AVG,
맥아피,
알약, 에프시큐어, 소포스, BullGuard,
트렌드마이크로, 닥터웹,
이카루스,
코모도,
마이크로소프트 등등 이 목록에 나열되어 있는 테스트 중 가장 많은 보안 업체가 거치는 테스트이다.
[6]
예를 들어 XX파일 다운로드
ActiveX라든가
[7]
이 서비스는 개인 이용자에게만 제공되는 무료 서비스이다. 기업이나 공공기관, 학교 등이라면 전산 담당자에게 문의하자.
[8]
이것 때문에, 허위백신을 삭제해도 돈이 계속 빠져나가는 경우가 있을 수 있다.
[9]
개인에게는 진단도 치료도 무료이면서 성능 또한 좋은 백신이 많다. 굳이 치료할 때마다 돈을 내어야 하는 듣보잡 백신을 쓸 이유가 없다.
무료백신 문서를 참조하자.
[10]
자동 설치되는 백신 중에 성능 좋은 유료백신이 있는가에 대한 의문을 가질 수도 있는데,
어베스트나
McAfee의 경우 어떤 프로그램을 설치 시 체크 해제를 하지 않을 경우 자동으로 설치되는 경우가 있다. 둘 다 성능 좋은 백신이다. 물론 무료백신 버전도 있다.
[11]
유해 사이트 차단 프로그램 탈을 쓴 악성코드로
삭제툴도 배포는 하고 심지어 영상 안내까지 있지만 실제로 제거가 안 되는 가짜 삭제툴이다.
[12]
AdwCleaner는
Malwarebytes에서 무료로 배포되는 프로그램이다.
[13]
Fake AdwCleaner의 경우 GUI도 똑같지만(다만 현재 AdwCleaner의 GUI가 변경되었다) 좀 대충 만들었는지 사용자가 창을 늘리거나 줄일 수 있고 .NET로 만들어졌다. 이것 말고는 일반 허위백신과 똑같다.
[14]
V3 Lite 등.
[15]
알약은 비트디펜더 이외에 자체 테라 엔진을 사용한다. 하지만 주 엔진은 역시 비트디펜더.
[3A]
이 셋을 묶어서
3A라고 많이 일컫는다.
[3A]
[3A]