중국의 유해 차단 소프트웨어 그린 댐 유스 에스코트 분석

2009년 6월 12일, 중국 정부에서는 자국내에서 판매되는 모든 컴퓨터 시스템에 유해 차단 소프트웨어인 그린 댐 유스 에스코트(Green Dam Youth Escort)를 의무적으로 설치하도록 하고 있다는 내외신 기사가 알려지면서 많은 의견들이 발표되고 이야기 되었다.

중국 필터링 SW, “반사상 사이트도 차단”

中 '유해사이트 차단 SW 의무화'에 비난 쏟아져

중국 웹 필터링 SW 반발 거세져

[외신] 美, 중국의 인터넷 필터링 의무화 철회 촉구

기사에 따르면 문제가 된 부분은 유해 차단 소프트웨어인 그린 댐 유스 에스코트는 설치된 시스템의 사용자를 온라인 상에 존재하는 성인물과 폭력물들로부터 보호 한다는 기본 취지외에도 중국 정부에서 반국가적 사상으로 금지한 법륜공과 같은 단어들을 차단어에 포함시키고 컴퓨터 시스템 사용자의 감시를 위한 목적으로 악용될 수 있다는 것이다.

이러한 문제가 존재하는 그린 댐 유스 에스코트 소프트웨어를 확보하여 테스트 및 분석을 통해 어떠한 부분이 문제가 되었는지 살펴 보았다.

 

그린 댐 유스 에스코트 소프트웨어의 설치 파일은 위 이미지와 같으며 크기는 9.63MB를 가지고 있다. 해당 프로그램을 설치하면 1번의 시스템 재부팅을 요구하며 재부팅이 완료되면 아래 이미지와 같은 아이콘에 바탕화면에 생성된다.

 

해당 아이콘을 클릭하면 아래 이미지와 같은 사용자 인터페이스 화면이 나타나며 중국내 각급 학교에 배포하여 설치하도록 하기 위해 상당히 직관적인 인터페이스를 가지고 있다. 그리고 설치된 시스템에서 사용자가 행하였던 모든 활동은 로그 형태로 기록이 되면 이는 최초 설치시 제공된 관리 암호를 알지 못하면 확인 할 수 없도록 되어 있다.

그린 댐 유스 에스코트는 컴퓨터 시스템의 부팅시 자동으로 실행 되도록 되어 있으며 실행 후에는 XNet2.exe 라는 프로세스가 생성 되어 있는 것을 알 수 있다.

그리고 해당 프로세스는 UDP 1234 포트를 오픈하여 대기 상태 인 것을 알 수가 있었다.

이렇게 실행되는 그랜 댐 유스 에스코트는 알려진 바와 같은 기본 기능인 유해 웹 사이트 차단 기능외에도 크게 다음과 같은 2가지의 추가적인 기능을 가지고 있다.


1. 컴퓨터 사용자가 접속하는 웹 사이트 주소에 대한 기록

그린 댐 유스 에스코트는 아래 이미지와 같이 컴퓨터 사용자가 웹 브라우저를 통해 접속하는 웹 사이트 주소들을 모두 별도의 로그로 모두 보관 하도록 되어 있다.

이러한 기능으로 인해 해당 컴퓨터 시스템의 사용자가 접속한 웹 사이트 주소를 모두 파악 할 수 있다.


2. 컴퓨터 사용자의 바탕화면을 3분 단위로 캡쳐하여 기록

해당 소프트웨어는 컴퓨터 사용자의 웹 방문 기록 뿐만이 아니라 아래 이미지와 같이 3분 단위로 시스템의 바탕화면을 캡쳐하여 보관하도록 되어 있다.

이를 통해 컴퓨터 사용자가 컴퓨터를 통해서 행하였던 모든 작업들을 확인 할 수 있도록 되어 있다.


3. 유해 웹 사이트 차단 기능

이러한 기능 외에 기본적인 기능인 유해 가능 사이트 차단 기능은 아래 이미지와 같이 5가지 종류의 웹 사이트들에 대한 접근을 차단하도록 되어 있다.

1) 성인/음란 웹 사이트

2) (엄중) 성인/음란 웹 사이트
3) 폭력적 온라인 게임
4) 동성애
5) 불법활동/독극물
해당 형태에 대한 웹 사이트 차단 기능은 아래 이미지와 같이 3개의 DAT 파일 내부에 존재하는 금지어와의 비교 검토를 통하여 유해한 웹 사이트 판단과 차단 기능을 수행하게 된다. 해당 3개의 DAT 파일은 모두 인코딩되어 일반 사용자가 쉽게 열어서 위/변조를 할 수 없도록 되어 있다.

해당 3개의 DAT 파일의 디코딩 하여 풀어보게 되면 아래 이미지와 같이“중국철혈당” 및 “법륜공제자”와 같이 중국 정부에서 지정한 반국가적인 단어들이 포함되어 있는 것을 알 수 있다.


그리고  아래 이미지와 같이 별도로 인코딩된  LIB 파일에 별도로 법륜공 관련 금지어들을 작성 해두어 관련 웹 사이트 접속을 차단하고자 하는 것을 알 수 있다.

앞서 살펴보았던 3가지 기능들을 정리 해보면 해당 소프트웨어는 유해 웹 사이트 차단이라는 기능을 수행함과 동시에 중국 정부에서 지정한 반국가적 웹 사이트 차단도 동시 이루어 지도록 되어 있다.

그리고 해당 소프트웨어가 설치된 컴퓨터 시스템에 대한 감시 기능은 원래 취지인 유해 웹 사이트 차단이라는 명목과는 일치하지 않는 부분이 존재함을 알 수가 있다.
이러한 부분들로 인해 많은 국내외 언론들에서 중국 정부의 정책에 대해 우려를 하였으며 미국의 보안 업체인 썬벨트(Sunbelt)는 그린 댐 유스 에스코트 소프트웨어를 스파이웨어로 규정하고 진단 하겠다는 글을 자사 블로그에 기재하기도 하였다.

그리고 일부 보안 업체에서는 해당 소프트웨어에 버퍼 오버플로우(Buffer Overflow) 취약점이 존재함으로 많은 컴퓨터 시스템에 설치 될 경우 해당 취약점이 악용당한다면 심각한 위협이 발생 할 수 있을 것이라고 한다.

결론적으로 6월 30일 시행 일시인 7월 1일 1시간 앞두고 중국 정부는 해당 소프트웨어로 인해 국제적인 관심이 집중된 점으로 인해 일시적으로 의무 설치 기간을 연기하였다.


당분간은 의무 설치가 적용되지 않겠지만 향후 중국 정부의 결정이 어떠한 방향으로 흐를지는 관심을 가지고 지켜 볼 필요가 있을 것이다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments