삼성 새 노트북서 '해킹SW' 발견...파문

삼성전자가 새로 출시한 노트북에 사용자 키 입력 값을 가로채 저장하는 '키로깅' 소프트웨어(SW)가 설치된 사실이 밝혀져 파문이 일고 있다.

30일(현지시간) 미국 씨넷은 삼성 노트북에 설치된 이 SW가 원격으로 모든 사용자 활동을 감시하는데 쓰인다는 사실이 드러났다고 보도했다. 해당 노트북 모델은 국내에서도 시판중이지만, 국가별 스펙이 달라 똑같은 사례가 적용됐는지는 즉각 확인되지 않았다.

씨넷에 따르면 키로거는 정기적으로 컴퓨터 정보를 수집해 미리 지정된 주소로 이메일을 발송한다. 이 때 스크린 캡쳐를 통해 화면 이미지까지 보낸다는 설명이다.

씨넷은 유사 사례로 지난 2005년 소니BMG가 자사 모델 내부에 루트 권한을 심어놓은 사실을 숨기기 위한 해킹SW의 일종인 '루트킷'을 설치해 복사방지 디스크를 숨긴 일이 있다고 전했다.

씨넷은 특히 사용자 개인이 이같은 키로거(스타로거)를 발견하고 삭제할 수 있는 프로그램 및 방법을 안내하는 기사도 함께 실었다.

삼성 노트북 '해킹SW'는 컨설팅 전문업체 '넷섹 컨설팅' 설립자 모하메드 핫산이 IT매체 네트워크월드에 기고하면서 처음으로 공식화한 것으로 알려졌다.

▲ 키로깅SW가 설치됐다고 알려진 삼성전자 R540모델

그는 "삼성 노트북 R525와 R540 모델에서 시스템 보안 분석 기능을 수행하는 키로거가 발견됐다"며 "컴퓨터를 실행하면 윈도에서 '스타로거'라는 키로깅SW가 실행돼 모든 키입력을 감시하고 저장한다"고 설명했다.

지난 1일 핫산은 기고에 앞서 이같은 내용을 삼성전자측에 알렸다. 삼성전자는 씨넷을 통해 현재 문제점을 조사중이라는 공식 입장을 내놨다. 이어 관련 분야 전문가를 투입해 자사 노트북에서 키로깅SW가 동작하지 않도록 조치를 시작했고, 마이크로소프트(MS)에도 상황을 통보했다고 밝혔다.

당시 삼성전자 관계자는 "핫산이 제기한 문제를 심각하게 받아들이고 있다"며 "내부 조사를 통해 가능한한 빨리 추가 정보를 제공하겠다"고 답했다.

핫산은 "일반 사용자들이 이런 문제를 알아차리긴 어렵다"고 지적하며 "사실상 삼성이 노트북 사용자 동의없이 퍼포먼스 데이터를 모으고자 했던 것 같다"고 추정했다.

그러나 삼성전자 한국 본사는 이같은 사실을 부인했다. 삼성전자 본사 관계자는 “문제를 진단한 프로그램은 ‘Vipre’인데 이 툴이 MS의 라이브 애플리케이션에서 생성한 다국어 지원 폴더를 키로거로 오인해 생겨난 해프닝”이라고 말했다.

이어 "국내 출시한 동일 모델명의 제품을 확인해 보니 모델명은 같지만 국가마다 세부 사양이 달라 같은 문제가 있을지는 확인 불가능하다"고 설명했다.

 

 

 

삼성전자 노트북에 해킹 소프트웨어(SW)가 들었다는 보도에 이어 해당 프로그램을 탐지·삭제하는 방법이 공개됐다.

씨넷은 30일(현지시간) 삼성전자가 출시한 노트북 모델 'R525'와 'R540'에서 사용자 키입력값을 저장하는 키로거 프로그램이 발견됐다고 보도한데 이어 이를 제거하는 절차에 대해 소개했다. 삼성노트북 키로거 프로그램 '스타로거'는 PC 사용자 활동 정보를 수집하고 스크린 캡쳐 이미지를 첨부한 메일을 지정된 주소로 보내는 것으로 알려졌다

우선 노트북에 스타로거 프로그램이 설치돼 있는지 확인하려면 윈도를 시작 프로그램이 등록되는 레지스트리 키를 찾아야 한다.

이를 위해 명령줄 입력창을 열어 'Regedit'를 입력한다. 레지스트리 편집기 프로그램이 실행된다. 프로그램 메뉴에서 '편집'을 선택하고 '찾기'를 눌러 여기서 'winsl'이라는 문자열을 검색하면 된다. 해당 레지스트리 키 위치는 다음과 같다.

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winsl

▲ 레지스트리 편집기에서 `winsl`를 찾는다. 해당 프로그램이 없다면 목록에 안 보인다.

레지스트리에서 해당 결과를 찾을 수 있다면 키로거가 윈도를 시작할 때 자동으로 실행된다는 뜻이다.

키로거 프로그램 파일은 '숨김' 속성으로 설정돼 있다. 이를 나타나게 하려면 윈도 탐색기 창에서 메뉴의 '도구' 항목을 열어 '폴더 옵션'을 바꿔야 한다. 폴더 옵션을 열어 나타나는 '고급 설정' 상자 안에서 '숨김 파일 및 폴더' 항목을 기본값인 '숨김 파일, 폴더 또는 드라이브 표시 안 함'에서 '숨김 파일, 폴더 또는 드라이브 표시'로 바꿔 준다. '적용'이나 '확인'을 눌러 설정을 저장한다.

이후 스타로거가 설치된 PC에서는 해당 프로그램 파일이 윈도 부트 경로의 ‘SL’이라는 하위 폴더에 들어 있는 것을 볼 수 있다. 해당 경로에 들어 있는 파일목록은 다음과 같다.

?iv.ini
?WinSL.dat
?WinSL.exe
?WinSLH.dll
?ImgView.exe
?SL-Test.txt
?unins000.dat
?unins000.exe
?StarLogger.url
?WinSLManager.exe
?StarLogger.url
?Uninstall StarLogger.lnk
?StarLogger.lnk
?StarLogger on the Web.lnk
?WinSLManager.exe
?WinSLH.dll
?WinSL

윈도 레지스트리에서 'winsl'를 발견했다면 현재 실행중인 프로그램 목록에 포함돼 있을 수도 있다. 메모리에서 작동중인 프로그램을 보여주는 작업관리자를 통해 ‘WinSLManager.exe’라는 파일이 실행돼 있는지 확인해 봐야 한다.

■해킹SW 삭제하는 방법은?

먼저 사용중인 백신 프로그램을 최신 버전으로 업데이트한다. 안티바이러스 프로그램이 제공하는 자동감시 기능으로 해당 프로그램을 차단할 수 있다.

여의치 않다면 작업관리자를 실행해 해당 소프트웨어 실행 프로세스를 강제로 종료해야 한다. CTRL ALT DEL 키를 동시에 누르거나 작업 표시줄에서 마우스 오른쪽을 눌러 나타나는 메뉴에서 '작업 관리자'를 실행한다. 보기를 '프로세스' 탭으로 바꾼 뒤 나타나는 목록에서 'WinSLManager.exe' 파일을 찾아, 마우스 오른쪽 메뉴나 창 오른쪽 아래 있는 '프로세스 끝내기'를 누른다.

위 과정이 수행되지 않을 경우 안전모드로 부팅해 이 파일이 자동 실행되지 않도록 만든 다음 파일을 지운다. 이에 앞서 시스템 레지스트리에 등록된 스타로거 DLL파일을 해제해야 한다.

'시작'메뉴에서 '실행'을 눌러 'CMD'를 입력하거나 보조프로그램 그룹의 '명령 프롬프트'를 찾아 실행하면 윈도의 명령줄 입력창이 나온다. 위에서 언급한 프로그램 경로로 이동해 메모리에 올라간 WinSLH.dll 파일 작동을 해제해야 한다. 명령줄에 ‘regsvr32 /u WinSLH.dll’을 입력하면 성공적으로 레지스트리 등록이 해제됐다는 팝업창을 볼 수 있다.

이상을 거친 뒤 프로그램 파일과 앞서 레지스트리 편집기에서 찾아낸 레지스트리 키를 지워야 한다. 해당 키 항목에서 오른쪽 마우스 단추를 눌러 삭제를 선택한다. 이와 함께 SL 폴더와 그에 포함된 파일을 모두 지우면 된다.