지난 1월 17일 국내 대형 포털사이트를 대상으로 검색어 조회 수와 블로그 방문자 수를 늘려 순위를 조작한 조직이 적발되었다는 뉴스가 보도되었다. 해당 조직은 특정 프로그램을 제작하여 고가의 유료 프로그램으로 판매하였다.

안랩은 이와 같은 유형의 프로그램, 일명 ‘조작기’나 ‘매크로 프로그램’을 악성 파일로 분류하고 진단하고 있다. 하지만 정보 유출 목적의 파일이나 랜섬웨어처럼 불특정 다수를 대상으로 악의적으로 공격하는 것이 아닌 상업적인 이득을 목적으로 거래되는 파일이라는 점을 고려하여, 그 유형을 달리 분류한다. 이러한 악성 파일은 수년 전부터 확인되었으며, 유포 경로를 확인해본 결과 회원제 전용 유료 자료실 또는 개인 간의 1:1 거래로 주로 거래된다.

아래는 국내 대형 포털사이트의 카페에 자동으로 글을 올리거나 블로그 조회 수를 조작하는 유해 프로그램에 대한 대표 예시와 동작 방식 일부를 설명한다. 

[1] 카페 자동 글 작성

다음은 네이버 포털사이트 카페에 자동으로 글을 작성하는 프로그램이다. 기본적으로 웹 기반으로 컨텐츠를 주고 받으며 프로그램은 GUI 모드로 동작한다. 아래는 주요 기능과 특징이다.

  • 로그인 한 계정으로 가입한 카페 정보 출력: 카페 목록, 게시판 목록 등
  • 글을 올릴 때 작성자로 이용될 네이버 계정 선택 가능
  • 에디터를 이용하여 카페에 올릴 게시글 미리 작성
  • 선택된 정보를 바탕으로 게시글 자동 작성
  • 최소 30 초~ 주기로 글 작성 시작/예약/정지 가능

카페 자동 글 작성을 목적으로 하는 예시 프로그램 기본 화면

카페 자동 글 작성을 목적으로 하는 예시 프로그램의 실행 화면 일부

로그램 실행 시 기본 화면은 위와 같다. 자동 글 작성 기능을 수행하기 전에 먼저 작업할 정보를 생성한다. 본인이(글 작성자) 가입한 카페 정보를 확인하기 위해 로그인을 하고 각 카페의 게시판 목록을 웹에 쿼리함으로서 얻어온다. 프로그램 내 포함된 코드를 보면 네이버 카페의 웹 페이지 소스에 사용된 카페ID 값 등을 이용하여 게시판 목록 등을 얻어오는 것을 확인할 수 있다. 

네이버 카페 웹 페이지 소스 일부

작성할 글은 HTML 웹 에디터와 동일한 화면으로 이 부분에 내용을 작성한다. 이후 업로드 대상 카페와 게시판, 글 내용을 선택한 뒤에 일정 시간 주기(사용자 선택 가능)를 바탕으로 스레드를 생성한다. 


특징적으로 글 컨텐츠 전송은 정상적으로 PC나 모바일 웹 브라우저를 거치지 않기 때문에 프로그램 내 하드코딩 되어 있는 임의의 User-Agent 정보를 포함하여 전송되어야 한다. 이 프로그램은 iPad 의 User-Agent 를 이용하였으며 이외에도 iOS 등 모바일 브라우저에서 작성된 것으로 위장하여 데이터를 서버에 전송한다. 

프로그램 내 코드 - 글 작성 시 접속하는 주소와 전송되는 정보 일부
 
실제로 프로그램을 이용하여 현재 운영되고 있는 카페에 다음과 같이 짧은 시간 내에 다수 개의 글이 작성되는 것을 확인하였다. 이러한 유해 프로그램은 주로 상업적인 목적으로 동일한 내용의 광고성 글을 남기기 위해 이용될 수 있다. 

프로그램 실행 후 자동으로 글이 업로드 된 카페 게시판 예시

[2] 블로그 조회 수 조작

다음은 카카오의 티스토리 블로그 조회 수를 조작할 수 있는 프로그램이다. 조회 수는 블로그 게시글 주소에 직접 접속하거나 검색 등 다른 유입 경로(키워드 유입)를 거쳐서 올리게 되는데 이 프로그램은 이 두 가지 방식을 모두 이용한다. 조회 수 조작이나 유입 경로 조작 등을 포함한 어뷰징은 저품질/광고성 블로그가 검색 상위에 랭크되게 할 수 있다. 또한, 경쟁 블로그를 대상으로 어뷰징을 하게 될 경우 엉뚱한 검색 키워드로 유입 경로와 조회 수를 조작 (Ex. ‘신제품 리뷰’ 관련 글이 ‘여행’ 키워드로 다수 유입된 것으로 조작) 할 수 있기 때문에 블로그 운영자와 다른 사용자에게 피해를 줄 수 있다.
 
이러한 블로그 조회 수 조작 프로그램의 상당수는 비교적 단순하게 HTTP Request 접속을 반복적으로 실행하게 하는 것으로 동작한다. 따라서 동일 IP에 대해서는 1건의 접속으로 처리하는 블로그 서비스의 경우 정상적으로 기능하지 않는다. 또한, 접속자 정보를 계속 변경하기 위해 다른 유사 프로그램에서는 별도의 VPN, 혹은 프록시 프로그램을 이용하는 프로그램도 확인되었다. 아래는 예시 프로그램의 주요 기능과 특징이다. 

  • 일정 주기 간격으로 특정 URL 반복 접속 – HTTP, User-Agent 고정
  • 프록시를 이용하여 접속 IP 변경 가능
  • 계정을 이용하여 특정 계정으로 접속 가능

블로그 조회 수 조작을 목적으로 하는 예시 프로그램 실행 화면 일부

파일 내에는 수십 개의 다른 User-Agent 정보를 포함하여 HTTP 클라이언트 요청을 하는데 이를 통해 실제 웹 브라우저에서 접속하는 것으로 위장해 블로그 서비스 서버에 전송된다. 아래 패킷 데이터를 보면 1초 간격으로 블로그에 접속하는 것을 확인할 수 있다.

프로그램 동작 중일 때 웹 쿼리 패킷

실제로 프로그램을 이용하여 단시간 동작했을 때 아래와 같이 특정일 방문자 수가 급격하게 올라간 것을 확인하였다. 

조회 수 조작 결과

위에서 살펴본 바와 같이 개인의 목적에 따라 ‘조작기’ ‘매크로 프로그램’이 실제로 유포, 거래, 이용되고 있다. 이는 비정상적인 경로를 이용하여 서비스를 어뷰징해서 서비스 제공 업체와 일반 사용자에게 피해를 줄 수 있다. 

안랩에서는 이러한 유해 가능 프로그램류에 대해 아래와 같이 Unwanted 혹은 Hacktool 류로 진단하고 있다. 이 진단은 V3 제품(기업용 제품 또는 개인용 V3 유료 제품) 옵션에서 ‘유해 가능 프로그램’을 검사 대상으로 설정했을 때 탐지할 수 있다.

- Hacktool/Win32.AutoMacro
- Unwatned/Win32.AutoMacro


Posted by 분석팀