국내에서 많이 설치되는 제큐어(Xecure) 보안 솔루션의 이름을 합성해 마치 정상적인 프로그램처럼 사용자를 속이는 ‘XecureCrossWeb’ 검색 도우미 프로그램에 대해 사용자의 주의가 요구된다.
 
보안블로그 ‘울지않는 벌새’(hummingbird.tistory.com)는 지난 27일, “해당 프로그램은 XecureWeb Control, XecureExpressⅠ, XecureExpressⅡ, XecureWeb UnifiedPlugin, CrossCertWeb v2.0 등과 같은 정상적인 보안 솔루션 프로그램과 이름을 매우 유사하게 등록해 사용자가 광고 프로그램으로 쉽게 인지하지 못하도록 제작되어 있다”며 “특히 프로그램 설치시 사용자 PC 환경을 체크해 WinPcap, Wireshark, Network Analyzer, Sysinternal 분석 도구가 설치되어 있는 경우 설치되지 않도록 분석을 방해하는 것으로 확인되었다”고 주의를 당부했다.
 
더불어 “기존에 다양한 변종 프로그램을 통해 백그라운드 방식으로 인터넷 검색을 통한 수익 활동을 했던 것으로 파악된다”고 밝혔다.
 
블로그에 따르면, 프로그램 설치가 진행되면 홍콩에 위치한 특정 서버에 사용자 맥 어드레스(Mac Address) 값을 기반으로 한 설치 정보를 전송한다.
 
해당 프로그램은 "C:Program FilesXecureCrossWeb" 폴더에 파일을 생성하며, Windows 시작시 ["C:Program FilesXecureCrossWebXecureCrossWeb.exe" -start] 파일(SHA-1 : 31721cf4bc587b1394364553c474b27e85d94f57)을 시작 프로그램으로 등록해 자동 실행되도록 구성되어 있다.
 
자동 실행된 파일(XecureCrossWeb.exe)은 홍콩에 위치한 서버에서 검색 관련 구성값을 체크한다.
 
이후 2분이 경과하면 검색 키워드 값 정보를 받아오며 해당 키워드 값은 대부분 네이버 검색과 연관성이 깊은 것으로 파악된다.
 
이렇게 설정된 환경에 추가적으로 4분이 경과하면 메모리에 상주하는 XecureCrossWeb.exe 파일이 인터넷 검색을 백그라운드 방식으로 진행을 할 수 있으며, 검색 키워드 값은 윈도우 부팅시마다 변경될 수 있다. 한편 아래 인터넷 검색 활동은 화면 상으로는 표시되지 않는 동작이다.

 
앞서 체크된 검색 키워드 값을 통해 포털 네이버 검색을 통해 "서든" 키워드 값으로 검색이 진행되며, 이를 통해 PC게임 일간 검색어에 영향을 줄 수 있다.
 
이후 또 다른 검색 키워드인 "암흑삼국"으로 검색이 이루어지며, 해당 검색 키워드 값 역시 네이버 PC게임 일간 검색어에 영향을 줄 수 있다.
 
"암흑삼국"으로 검색된 경과 중 카페 게시글 상단에 노출된 최근 24시간 이내에 작성된 특정 네이버 카페의 암흑삼국 리뷰글로 연결이 이루어지고 있다. 이 글은 마케팅 목적으로 작성된 것으로 추정된다.
 
울지않는 벌새는 “전체적인 검색 흐름이 마치 사람이 네이버 검색을 통해 특정 게시글에 접근하는 과정을 구현한 것과 유사하다”며 “이를 통해 마케팅 목적으로 이루어진 검색어 및 게시글 상위 노출을 노린 것”으로 추정하고 있다.

 
더불어 “해당 광고 동작은 메모리에 상주하는 XecureCrossWeb.exe 프로세스를 통해 이루어지기 때문에, 광고 동작 중지 및 프로그램 삭제시에는 윈도우 작업 관리자를 실행해 XecureCrossWeb.exe 프로세스를 찾아 종료해야 한다”고 권고했다.
 
또 프로그램 삭제는 제어판에 등록된 "XecureCrossWeb" 삭제 항목을 이용하여 삭제할 수 있어, 프로그램 삭제 후에는 추가적으로 다음의 폴더를 찾아 삭제해야 한다.
-C:Program FilesXecureCrossWeb
-C:Program FilesXecureCrossWebUnInstall.exe
 
울지않는 벌새는 마지막으로 “과거부터 지속적으로 유사 변종 프로그램을 통해 사용자 PC에 설치되어 사용자가 인지하지 못하는 과정에서 불필요한 인터넷 검색을 통한 트래픽을 유발하는 해당 광고 솔루션을 차단하기 위해서는 AhnLab V3 365 Clinic 환경 설정의 "네트워크 보안→웹 보안" 메뉴에서 "*.pnsweb.net" 도메인 주소를 차단값으로 추가하면 도움이 된다”고 설명했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com