페이스북 스팸 메시지를 통해서 감염된 악성 코드 퇴치기

지난 주 금요일이나 토요일이었을 거다. 미국에 사는 페이스북 친구(페친)로부터 빨간색 네모 모양의 goo.le 메시지를 받았다. 내 영상을 유튜브 영상으로 볼 수 있다는 그럴 듯한 속임수로 위장한 악성 코드였다. 메시지를 보낸 사람을 믿고 무심코 클릭했더니 내 뉴스피드에 그 사람 명의로 엄청난 양의 스팸이 쏟아지기 시작했다. 

문제는 또 있었다. 내 명의로 불특정 다수의 페친들에게 또 엄청난 트래픽으로 스팸 메시지가 보내지고 있었던 것이다. 뉴스피드와 메시지를 아무리 삭제해도 스팸을 막을 수가 없었다. 무슨 일이냐고 페친들로부터 문의가 오기 시작했다. 전후사정을 잘 모르는 사람들은 스팸을 보내지 말라고 항의를 하기도 했다.   

안철수컴퓨터바이러스연구소의 후신 안랩(Ahn Lab)에서 무료로 배포한 V3 백신을 돌렸으나 아무 소용이 없었다. 안랩의 V3 백신이 용량만 잡아먹고 바이러스를 제대로 잡지 못한다는 소문이 사실로 증명되었다. 물론 페이스북 회사에도 스팸을 통한 악성 코드를 신고했다. 그러나 페이스북측의 답변을 듣지 못한 채 주말을 맞았다.            

오늘 출근하자 페이스북에서 악성 코드를 잡는 ESET online Scanner를 보내왔다. 악전고투를 벌이다가 천군만마의 지원군을 얻은 심정이었다. 즉시 ESET online Scanner를 다운로드해서 검사 및 치료를 실행했다. 초기에는 ESET online Scanner가 매우 느렸다. 혹시나 악성 코드를 잡지 못하는 것이나 아닌지 걱정이 되기도 했다.   

그러나 페이스북측에서 보내온 'ESET online Scanner에서 컴퓨터를 확인하고 발견된 악성 코드를 삭제하는 중입니다. Facebook에 로그인할 수 있습니다. 검사는 계속 실행됩니다. 검사가 완료되면 Facebook 알림 메시지를 보내 드립니다.'라는 메시지를 보고서야 다소 안심할 수 있었다. 30~40분 가까이 지났을까? 드디어 ESET online Scanner 실행이 끝났다.

ESET online Scanner 실행이 끝나자 'ESET online Scanner에서 악성 파일 8개를 발견하여 8개를 삭제했습니다: Win32/Adware.Kraddare application Win32/Adware.Kraddare application Win32/Adware.Kraddare application a variant of Win32/Adware.Nieguide.AD application a variant of Win32/Adware.Nieguide.AD application Win32/Adware.Kraddare application INF/Autorun.gen worm a variant of Win32/AdWare.Kraddare.JZ application'라는 메시지가 떴다. 악성 파일 8개를 찾아서 삭제했다는 것이다. 

이후 내 명의로 스팸 메시지는 더 이상 보내지지는 않는 것 같다. 하지만 12월 8일 다른 사람 명의로 내 뉴스피드에 goo.le에서 보내는 스팸이 세 건이나 게시되었다. 내 컴퓨터의 악성 코드가 삭제되지 않고 아직도 남아 있는 것인지, 아니면 악성 코드에 감염된 다른 페이스북 이용자로부터 스팸이 내게 날아오는 것인지 몰랐다.  

보안을 더 강화하기로 했다. 크롬 브라우저에서 페이스북 상단의 역삼각형 클릭->'문제 신고' 클릭->'악성 콘텐츠' 클릭->데스크 톱 도움말에서 '보안' 클릭->'스팸 및 기타 보안 위협' 클릭->'악성 코드' 클릭->'컴퓨터에 악성 코드가 있는 것 같습니다. 어떻게 해야 하나요?'를 클릭하자 '악성 코드는 사용자가 의도하지 않은 작업을 사용자 대신 실행하도록 설계된 소프트웨어입니다. 이 소프트웨어는 계정에서 정보를 수집하고, 회원님이 작성한 것처럼 가정하여 상태 업데이트나 메시지를 보내며, 컴퓨터의 고장을 일으키는 광고로 계정을 위협합니다. 컴퓨터에 악성 코드가 있다고 생각되는 경우, Facebook에서 악성 코드를 제거하도록 도와드리겠습니다. 데스크톱 컴퓨터에서 다음 4단계를 따르세요.'라는 안내문이 보였다. 

1. '페이스북 비밀번호 번경' 

즉시 비밀번호를 변경했다. 

2. '컴퓨터를 검사합니다. 간혹 한 가지 바이러스 백신 소프트웨어만으로는 문제가 해결되지 않는 경우가 있어서 Facebook은 F-Secure, Trend Micro 및 Microsoft와 제휴하여 도움을 드리고 있습니다. 따라서 컴퓨터에 이미 바이러스 백신 소프트웨어가 설치되어 있더라도 Facebook에서 제공하는 무료 백신 소프트웨어도 함께 사용하는 것이 좋습니다.' 

*일회성 'F-Secure 검사'를 시작합니다. 

*일회성 'Trend Micro 검사'를 시작합니다.

*'Microsoft 보안 소프트웨어'를 설치합니다.

*Google Chrome에서만 문제가 나타나는 경우, '브라우저 전용 검사'를 수행합니다.

순서에 따라 먼저 페이스북에서 제공하는 일회성 'F-Secure 검사'를 클릭했다. 악성 코드 삭제 소프트웨어인 F-Secure online Scanner를 다운받아 실행했다. 검사 결과 악성 코드는 발견되지 않았다. 다음 일회성 'Trend Micro 검사'를 클릭했다. Trend Micro HouseCall을 다운받아 실행했다. 검사가 끝나자 'Trend Micro HouseCall에서 악성 파일 2개를 발견하여 1개를 삭제했습니다: BREX_SAL_RANK'라는 메시지가 떴다. 아직도 악성 코드 하나가 남아 있었다.  

이어 'Microsoft 보안 소프트웨어'를 클릭했다. '이 컴퓨터에 이미 Microsoft Security Essentials이 설치되어 있는 경우 '다운로드 건너뛰기' 버튼을 클릭하고 바이러스 스캔 프로그램을 수동으로 가동하세요.'라는 메시지가 떴다. 그러나 Microsoft Security Essentials가 이미 설치되어 있는지 알 수 없었다. 그래서 '다운로드 후 스캔시작'을 클릭하고 Microsoft Security Essentials를 다운받아 실행하자 곧 '바이러스가 발견되었나요?'라는 메시지가 떴다. '아니요, 바이라스를 감지하지 못했습니다'를 클릭하자 '회원님의 계정이 복구되었습니다'라는 메시지가 뜨면서 끝났다. Microsoft Security Essentials가 나머지 악성 파일 하나를 해결했는지는 알 수 없었다. 

다음 'Google Chrome에서만 문제가 나타나는 경우, 브라우저 전용 검사를 수행합니다.' 항목이 있었다. 클릭하자 백지 화면이 나타나면서 더 이상 진행이 안되었다. 이유는 알 수 없었다. 

3. '컴퓨터의 브라우저를 업그레이드합니다. 최신 버전의 브라우저에는 보안 보호 기능이 내장되어 있습니다. Facebook은 다음과 같은 브라우저를 지원합니다.'

*Mozilla Firefox

*Safari

*Google Chrome

*Internet Explorer   

Mozilla Firefox와 Safari는 해당 사항이 없었다. 세 번째 크롬 브라우저에서 Google Chrome을 클릭하자 이미 설치되어 있다는 것이었다. 인터넷 익스플로러 브라우저에서 'Internet Explorer'를 클릭하자 새 창에 'Time to upgrade? You're using Internet Explorer 8, the latest browser for Windows XP. Support for Windows XP and Internet Explorer 8 on Windows XP has ended.'라는 멘트가 나타났다. 

4. '의심스러운 브라우저 애드온을 삭제합니다. 악성 코드에 감염된 계정은 Facebook에서 여러 페이지에 좋아요를 누르고 많은 사용자를 팔로우하는 데 사용되는 경우가 많습니다. 활동 로그에서 최근의 계정 활동을 검토하는 것이 좋습니다. 활동 로그에서는 게시할 의도가 없었던 항목을 삭제하고 원하지 않는 사람이나 페이지에 대해 팔로우를 취소할 수 있습니다.'

먼저 인터넷 익스플로러 브라우저에서 '의심스러운 브라우저 애드온'을 클릭했더니 '브라우저 애드온을 삭제하려면? 최근 브라우저 애드온(예: 플러그인, 확장 프로그램)을 설치한 후 계정이 스팸을 발송하는 경우 삭제하는 방법에 대해 알아보세요.'란 안내문이 나타났다. 'Internet Explorer 8'을 클릭하자 'Windows XP support has ended. Keep your PC protected.'란 메시지가 떴다. 크롬 브라우저는 '플러그 인'과 '확장 프로그램 삭제' 두 항목이 있었다. 차례로 클릭했더니 영어로 되어 있어서 포기했다. 

12월 9일 현재 스팸 메시지가 더 이상 날아오지는 않는다. 하지만 내 명의로 스팸 메시지는 아직도 불특정다수에게 날아가고 있는 것 같다. 아직 삭제하지 못한 악성 파일도 하나 남아 있다. 이 문제를 어떻게 해결해야 할지 모르겠다.   

악성 코드는 사실 컴퓨터에 익숙치 않은 개인이 대처하기가 매우 어렵다. 메시지를 통해서 유포되는 악성 파일에 대하여 페이스북의 발빠른 대처를 바란다. 내 명의로 보내진 스팸 메시지로 인해 본의 아니게 피해를 준 모든 페친 여러분들에게 진심으로 사과를 드린다.    

2014. 12. 9.