㈜소프트이천

최근 안랩이 해외 소프트웨어 배포 웹사이트에서 프록시웨어(Proxyware)가 정상 파일과 함께 다운로드되는 사례를 포착했다. 사용자가 검색 엔진을 통해 마이크로소프트 팀즈(Microsoft Teams) 설치 파일을 찾다가 비공식 배포 사이트의 ‘무료 다운로드’ 버튼을 클릭하면 정상 설치 페이지로 이동하기 전에 프록시웨어가 자동으로 저장돼 시스템에 설치된다. 겉보기엔 정상 과정처럼 보이지만, 사용자 동의 없이 네트워크 자원을 외부에 공유하는 위험한 동작이 뒤따를 수 있다. 이번 사례를 통해 비공식 소프트웨어 설치 과정에 숨은 보안 위협을 함께 살펴보자.

사용자가 비공식 배포 사이트에 접속해 팀즈 '무료 다운로드’ 버튼을 클릭할 경우, DeskRest_n.exe 파일이 시스템에 다운로드되고, 정상 팀즈 페이지로 연결된다.

이후 정상 팀즈 설치는 별다른 문제없이 진행되지만, 사용자가 인지하지 못한 채 DeskRest_n.exe를실행하면 프록시웨어가 추가로 설치돼 백그라운드에서 동작한다.

이 프로그램은 악성 행위를 직접 수행하지는 않지만, 사용자 동의 없이 네트워크 대역폭과 IP를 외부에 공유함으로써 비자발적인 자원 사용(네트워크 대역폭 탈취)을 일으킨다.

일반적으로 프록시웨어는 ‘인터넷 자원 공유를 통한 수익 창출 프로그램’으로 위장하지만, 이 경우 사용자의 동의 없이 설치돼 불법 트래픽 전송, 봇넷 통신 중계, 암호화폐 채굴 등에 악용될 가능성이 있다. 특히 조직 내 PC가 감염될 경우, 기업 네트워크 자원이 외부로 무단 공유될 위험도 존재한다.

프록시웨어 설치가 보안에 미치는 영향과 함께, 피해를 막기 위한 대응 가이드를 정리하면 다음과 같다.

보안 영향

• 사용자 네트워크 대역폭 및 IP 주소 외부 노출 가능성
• 불법 트래픽 전송 및 암호화폐 채굴 등에 악용 위험
• 기업 내부 PC 감염 시 네트워크 자원 무단 공유 우려

대응 가이드

프로그램 제거

제어판 → 프로그램 및 기능 → “DeskRest version” 항목 선택 후 제거

사전 예방

공식 웹사이트나 마이크로소프트 공식 배포 페이지에서만 소프트웨어 다운로드
검색 광고나 써드파티 다운로드 사이트 이용 자제

비공식 소프트웨어 배포 경로는 겉보기에는 편리해 보이지만, 의도치 않은 보안 위협을 동반할 수 있다. 이번 프록시웨어 사례를 통해, ‘무료 다운로드’라는 문구 뒤에 숨은 보안 위험성과 안전한 설치 습관의 중요성을 다시 한번 살펴보자.

출처 : AhnLab