[보안] 레노버, 노트북에 악성 SW 깔아 팔다 덜미

중국 PC 제조회사 레노버가 노트북에 애드웨어를 깔아 판 사실이 드러났다. 레노버는 뒤늦게 잘못을 인정하고 애드웨어 제거법을 내놓았다.

<아스테크니카>는 레노버가 사용자에게 PC를 팔기 전에 ‘슈퍼피시'(Superfish)라는 애드웨어를 미리 설치해뒀다고 2월19일(현지시각) 보도했다. PC 제조회사가 수익을 얻으려고 소프트웨어(SW) 회사와 계약을 맺고 프로그램을 미리 깔아두는 경우는 드물지 않다. PC를 처음 사서 켰는데 윈도우뿐 아니라 바이러스 백신 등 몇 가지 프로그램이 깔려 있는 걸 본 적 있을 게다. 이런 계약 때문에 PC 제조회사가 미리 깔아둔 선탑재 SW다. 하지만 이런 점을 감안해도 레노버가 저지른 잘못은 덮어주기 힘들다. 일부러 제품에 악성 SW를 몰래 깐 탓에 사용자를 심각한 보안허점에 노출시켰기 때문이다.

SSL 트래픽 가로채 광고 띄우는 악성 애드웨어 선탑재

첫 번째, 레노버가 노트북에 미리 설치한 SW는 단순한 SW가 아니다. 애드웨어다. 애드웨어란 사용자 몰래 컴퓨터에 광고를 띄우는 일종의 악성코드다. 레노버는 자사 제품을 산 고객이 인터넷을 쓸 때 광고를 띄우려고 슈퍼피시를 설치했다.

2014년 9월부터 레노버 사용자 포럼에서 PC에 광고가 뜬다는 제보가 잇따랐다. 한 사용자는 올해 1월21일 슈퍼피시라는 루트 인증서가 컴퓨터에 설치돼 있다는 게시물을 올렸다. 이 덕분에 슈퍼피시의 정체가 드러났다. 에라타시큐리티 등 보안 전문가가 조사에 뛰어들어 슈퍼피시의 위험성을 밝혀냈다.

▲출처 : 레노버 사용자 포럼

▲출처 : 레노버 사용자 포럼

두 번째, 슈퍼피시는 그냥 광고나 띄우는 애드웨어가 아니다. 사용자가 인터넷에서 주고받는 데이터를 중간에 훔쳐보는 질 나쁜 애드웨어다. 사용자가 웹사이트에 접속하면 슈퍼피시는 그 사이에 끼어들어 웹사이트에 광고를 띄운다. 문제는 슈퍼피시가 광고를 띄우려고 쓴 수법이 매우 위험한 일이었다는 점이다.

SSL이란 인터넷에서 주고받는 데이터를 남들이 함부로 들여다볼 수 없게 암호화하는 기술이다. SSL 암호화 기술을 쓰는 웹사이트는 주소가 ‘http://’ 대신 ‘https://’ 로 시작한다. 웹브라우저에는 믿을 만한 인증기관이 발급한 루트 인증서가 들어있다. 루트 인증서는 사용자 컴퓨터가 그 인증서를 발급한 회사 웹사이트에 접속했을 때 그 웹사이트가 진짜인지 확인하는 데 쓴다. 또 그 웹사이트에 보내는 데이터를 암호화하고 돌려받은 데이터에 걸린 암호를 풀어 읽어들이는 자물쇠∙열쇠 역할도 한다.

인터넷뱅킹 사이트이나 구글, 페이스북 같은 서비스는 SSL 방식으로 주고받는 정보를 암호화한다. 사용자 정보를 보호하려는 조치다. 하지만 슈퍼피시가 깔려있다면 이런 노력은 물거품이 되고 만다.

슈퍼피시는 SSL 루트 인증서 형태로 레노버 노트북 PC에 깔렸다. 사용자가 ‘https://’로 시작하는 은행 웹사이트에 접속하면 슈퍼피시는 가짜 SSL 인증서를 만들어 은행 웹사이트에 신호를 보낸다. 아무 것도 모르는 은행 웹사이트는 사용자 PC에 설치된 루트 인증서를 통해 SSL 연결이 제대로 이뤄진 것으로 여기고 의심 없이 사용자 PC와 중요한 정보를 주고받았다. 크리스 팔머 구글 크롬 보안 개발자는 뱅크오브아메리카(BOA) 웹사이트에 접속할 때 슈퍼피시가 가짜 SSL 인증서를 꾸며냈다고 트위터에 밝혔다.

만약 나쁜 마음을 품은 해커가 슈퍼피시를 악용하면 레노버 노트북 사용자가 인터넷으로 무슨 일을 하는지 빤히 들여다볼 수도 있다. 로버트 그레이엄 에라타시큐리티 최고경영자(CEO)는 슈 퍼피시 인증서를 보호하는 암호를 10초만에 풀어냈다고 밝혔다. 슈퍼피시 인증서를 뚫으면 슈퍼피시가 깔린 레노버 노트북 PC가 HTTPS 연결을 통해 주고받는 모든 데이터를 훔쳐보는 게 가능하다. 이런 해킹 수법을 중간자 공격(MITM∙Man In The Middle attack)이라고 부른다. 해커가 마음만 먹는다면 인터넷뱅킹에 쓰는 공인인증서를 털고 암호까지 알아내 사용자를 사칭해 돈을 빼돌릴 수 있다는 뜻이다. 구글이나 페이스북 계정을 터는 일은 이보다 쉬운 작업이다. 레노버는 노트북에 슈퍼피시를 선탑재해 고객을 해킹 위험에 노출시킨 셈이다. 피터 호르텐시우스 레노버 최고기술책임자(CTO)는 이 점을 인정했다. 그는 <리코드>에 “우리가 일을 그르쳤다”라고 털어놓았다.

레노버, 3달 만에 자동 삭제 도구 내놔

슈퍼피시의 정체와 위험성을 폭로하는 보도가 나오자 레노버는 뒤늦게 잘못을 시인하는 성명을 발표하고 슈퍼피시를 자동으로 삭제하는 프로그램을 내놓았다.

레노버는 2월19일 발표한 성명에 서 슈퍼피시를 설치한 이유가 “사용자의 쇼핑 경험을 개선하기 위해서”였다며 “고객에게서 불만이 나오자 재빨리 대책을 내놓았다”라고 해명했다. 레노버는 2014년 10월부터 12월 사이에 출하한 노트북에 슈퍼피시를 설치했으며, 2015년 1월부터 슈퍼피시 선탑재를 멈추고 슈퍼피시가 데이터를 수집하는 서버 연결을 끊었다고 밝혔다. “어떤 이유로든 사용자에게 불안감을 준 점은 사과한다”라며 “경험에서 더 많은 것을 배워 우리 서비스를 개선하려고 노력하겠다”라고 레노버는 말했다.

레노버가 슈퍼피시를 실었을지도 모르는 제품 목록은 아래와 같다. 사용하는 레노버 노트북 모델이 목록에 있다면 이 웹사이트에 서 슈퍼피시 설치 여부를 확인하자. 예전에 ‘심장출혈(Heartbleed)’ 버그를 확인하는 웹페이지를 만들었던 개발자가 만든 곳이다. 싱크패드 노트북을 쓴다면 안심해도 된다. 레노버는 일반 소비자용 노트북에만 슈퍼피시를 선탑재했다고 밝혔다. 싱크패드 모델과 태블릿PC, 데스크톱PC, 스마트폰, 엔터프라이즈 서버와 스토리지에는 슈퍼피시를 깔아두지 않았다고 레노버는 설명했다.

• G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
• U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
• Y Series: Y430P, Y40-70, Y50-70
• Z Series: Z40-75, Z50-75, Z40-70, Z50-70
• S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
• Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
• MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
• YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
• E Series: E10-30

슈퍼피시에 감염됐다고 나온다면 레노버가 내놓은 제거 도구를 사용해 슈퍼피시 애드웨어를 지우자. 레노버의 그간 행적 때문에 제거 프로그램도 믿을 수 없다고 할지 모르겠지만 안심해도 된다. 이런 우려를 알았는지 레노버는 슈퍼피시 자동 제거 프로그램 소스코드를 깃허브에 공개해뒀다. 지우고 나면 위 사이트에서 다시 한번 확인해 완전히 삭제됐는지 확인해도 된다.

• 슈퍼피시 설치 여부를 확인하는 웹사이트
• 레노버가 내놓은 슈퍼피시 자동 제거 도구 내려받기

http://www.bloter.net/archives/220886