名無し

알약의 개인정보 수집 관련 답변입니다.

알약의 목적은 분명히 개인 대상 애드웨어가 되겠지만, ALBNCollector.exe에 대한 헛발질에 이어 이제는 지금 수집하는 자료를 가지고 뻘소리를 써놨길래 간단히 한마디만 더 덧붙입니다.

광고를 위한 정보수집 방법에는 여러가지가 있으나, 그 사용자의 쿠키를 통한 분석이 대표적입니다. 쿠키를 사용하는 이유는 그것을 통하면 사용자(소비자)의 인터넷 습성이나 각종 빈도, 통계 추정에 유리하기 때문입니다. (eg. 자주 방문하는 포털, 사이트, 쇼핑몰, 인터넷을 사용하는 시간대 등...)그리고 이상의 사안들은 광고주에게는 반드시 필요한 정보입니다.
물론, 이스트소프트의 주장대로 쿠키 파일을 분석하는 것만으로 개인의 신상이나 정보가 100% 드러나지는 않습니다.
하지만, 쿠키 파일 안에는 사용자의 사이트 아이디, 로그인 기록, 방문시간대 등이 명시된다는 점에서, 쉽사리 "비 개인정보"다 라고 정의할 수 있는가에 대해서는 회의적입니다.
따라서 이스트소프트의 쿠키 파일 수집 여부에 관한 답변도 필요할 것 같습니다.

헛소리도 좀 정도껏..

사용권 동의서(EULA)에 수집하는 정보의 내용에 대해 일부 적혀있네요. 또한 추가 포스팅에 이렇게 적어놨는데

업데이트 통신 모듈은 알툴즈 서버에 접속하여 최신 버전 여부를 확인한 후 PC에 자동으로 최신 버전을 다운로드 받을 수 있는 편리한 기능을 제공하고 있으며,
이를 위해 서버와 통신 시 PC의 설치되어 있는 현재 알약 제품의 버전 정보, 엔진 및 데이타베이스 업데이트 정보를 보냅니다.

알약은 날로 진화하고 새로워지는 외부의 위협 요소들로부터 PC를 안전하게 보호하기 위해 항상 최신의 버전을 유지해야 하며, 이는 자동으로 지원됩니다.
에 러 리포팅 모듈은 프로그램 사용 중 예상치 못한 에러가 발생하였을 때 보다 적극적인 해결을 위해 제공되며 사용자가 전송 버튼을 누를 때에 한해서 사용자의 시스템 사양 및 오류 정보, 오류가 발생한 제품 정보를 에러 리포팅 서버로 보냅니다.
이렇게 보고된 에러 리포트는 고객지원 팀 및 개발자팀의 검토 후 빠르게 처리되도록 하고 있습니다.

즉 업데이트를 위해 프로그램의 버전 정보를 보내고, 프로그램이 죽었을 경우 어디서 죽었나, 시스템 기본 사양은 어떤가에 대해 보낸다는 내용인데, 이걸 어떻게 해석하면 쿠키 수집이 되는지 참으로 궁금합니다. 프로그램이 죽었을 때의 환경 정보를 수집하는 프로그램이 요새는 많은데, 모질라 파이어폭스도 그중 하나이고, 심지어 여러분이 쓰시는 윈도우 운영체제에도 오류 보고를 보내는 기능이 있습니다. 시스템 등록정보 - 고급 - 오류 보고를 눌러보세요 :) 또한 요새 온라인 게임에도 상당수 들어가 있는 기능입니다. (물론 사용자한테 확인받지 않고 조용히 보고하는 것은 논란의 여지가 있습니다만)

그렇게 수집되는 정보는 보통 시스템 사양, 프로그램 버전, 프로그램이 사망한 지점 등입니다. 보통은 이것만 가지고 '특정 개인을 지정할 수 있는 정보'가 될 수 없는 것은 당연하고요. 파이어폭스(Mozilla Quality Feedback Agent)는 심지어 같이 떠있던 프로세스 목록까지 수집하기도 하는데, 이쯤이면 '어떤 프로그램이 얼마나 쓰이는가'에 대한 정보는 수집할 수 있을지도? 와 불여우는 악성 프로그램이었잖아? 이거 무서워서 어떻게 쓴담.

전에는 UDP 53으로 나가는 DNS Query를 가지고 봐라 개인정보가 빠져나가지 않느냐 하더니, 이젠 자동 업데이트와 오류 보고를 가지고 시비를 거네요.

자, 파이어폭스도, 윈도우도 애드웨어라고 할 건가요?


어느 병맛나는 블로그 덕분에 그렇게 싫어하던 이스트를 옹호하고 있으니 나도 참 시간 많군...

반쪽짜리 무료백신을 내세워서 또 한번 시장을 어지럽히는 이슷소프트의 알약을 쵸쵸유명하신 블로거님이 까주셔서 감사해야할 판인데도!

병맛이 느껴지는 이유.

병맛 1.
ALBNConnector.exe라는 수상한 프로그램을 깐 것은 좋은데, 어 이거 개인정보 유출은 아니지 않나요? 하는 글에 졸라 병맛나게 응대하셨음.

당연하죠.. 의혹이라는 것 자체가 원래 추측입니다..
문제는 그 추측이 얼마나 신빙성이 있느냐 입니다..
신빙성 여부를 따지는 것이 중요하지, 추측을 추측이라 하며 논지를 흐리는 일은 싸우자는 것 밖에 되지 않죠..

그렇다면 왜 제 추측이 신빙성이 있는가를 말씀드리죠..
ALBNCollector에 대한 위 스샷을 잘 보세요..
"protocol : UDP Out"
남의 글에 대고 추측이니, 난무니 하며 단정할 수 있는 정도의 지식과 수준이라면 UDP가 어떤 프로토콜인지, Out이 뭔지 정도는 알겠죠?

UDP 53번 포트는 DNS 질의가 맞거든염?
의심가시면 포트 스니핑 프로그램 띄워놓고 몇번 포트로 아웃 나가나 보시면 되거든염?
웹브라우저에 사이트 주소를 입력하면 UDP 53번 포트로 DNS Query가 나갈테니 웹브라우저도 수상한 프로그램으로 판단하시면 되겠습니다 ㄳ

의혹을 제기할 때는 '확실한' 증거와 함께 제기하는 좋은 습관을 꼭 들이시도록.

병맛 2.
젭알 루트킷에 대한 개념탑재부터 일단 했으면 하네효.

보안업계에 종사하시는 분이 친절하게 설명을 적어놓았는데도 아군 적군 구별도 못하고 (알약은 자기도 본문에서 깠잖아?) 일단 자기 글을 지적하는 것 같으니 아래와 같이 써놓는데,

정상세포를 hooking한 암세포도, 해당 부분만을 삭제하고, 원세포를 복구하면 치료가 가능합니다..
그런식의 이론적인 논법이라면 세상에 안 되는 일이 없죠..
그리고 어감을 듣자하니 대부분의 루트킷은 치료가 가능하고, 일부만이 불가하다는 투로 들리는데, 제가 아는 바와 전혀 다르군요..
한 번 사례나 치료법이 실린 백신 사이트, 보안 사이트 등을 제시해 주세요..
루트킷에 감염된 것을 말 그대로 "치료"하고(삭제가 아니라), 그 소프트웨어 본연의 기능을 100% 그대로 사용할 수 있는 소프트웨어나 사례가 있으면..
흥미 있게 참고하겠습니다..

시스템이 루트킷에 감염되었다는건 프로그램이 자신을 숨겨놓고 있는 것이니 당연히 그 프로그램을 '삭제'하면, 그게 '치료'이지 거기에 말꼬리 잡는 꼬락서니 하며..

일단 말하는 싸가지는 좀 제쳐놓고.. 우선 본문을 인용해봅니다. 여기도 정말 병맛이 제대로 느껴지는데,

그런데 의아한 것은 루트킷을 치료했다는 바로 저 문구입니다..
루트킷의 침투는 본질적으로 Hooking에 의한 기법을 사용합니다.. 함수, 프로세스, 커널 등에 침투하여 스스로를 은닉시킨 후 최고 관리자 권한을 얻거나, 프로세스와 동시에 활동합니다.. 그래서 뿌리(Root)라는 단어가 들어갑니다..
따라서 루트킷의 삭제는 거의 불가합니다.. 현재 전 세계 어느 백신도 완벽하게 루트킷을 치료하지 못합니다..
일부에서 의미하는 치료는 통상적으로 알려진 그 치료가 아닙니다.. 조류독감에 걸린 오리를 폐사시키듯, Hooking된 프로세스까지 함께 파괴시켜버리는 것을 말합니다.. 결국, PC가 어제 그 상태 그대로 복구되지 못합니다..
요는, 분명히 작동하지 않거나 문제를 일으키는 프로그램이 존재해야 한다는 것입니다..
하지만 필자가 테스트한 PC는 말짱합니다..
알약의 의미 그대로 받아들이면 너무너무 완벽하게 루트킷이 치료되었습니다..
알약 개발자는 MS의 빌 게이츠에게 이메일을 보내야 할지도 모릅니다.. 노벨상까지는 좀 오바고, 당장에 MS 수석 프로그래머로 채용될 수 있을 것 같습니다..
루트킷을 최초로 발견한 Mark Russinovich가 경탄을 금치 못할 겁니다..

좋아요. 요새 백신들이 루트킷 제대로 못잡아서 나도 가끔 룻킷땜시 고생할 때면 백신 업체들이 원망스러운게 사실이긴 하지. 그런데 기본적인 팩트는 좀 확인하고 까야될 것 아녀.. rootkit이 시스템의 뿌리를 뒤흔든다고 해서 rootkit이라고 하신 것부터, 자신의 무지를 감추려 목청을 오히려 높이는 모습에서 감칠맛나는 병맛이 느껴집니다.

마크 루시노비치씨가 NT 루트킷을 '최초로 발견' 했다는 곳에 이르면 눈에서 땀이 다 나네효. 마크 루시노비치씨는 밥맛이 풍기는 소니 DRM을 보고서 최초로 NT 루트킷을 발견했다고 하신거군효? 그 양반은 그런 적이 없을텐데 어찌 그리 당당히 써놓지.

바이러스가 다른 프로그램을 감염시킬 때 원래 파일을 파괴하면 당연히 복구시키지 못하지요. 그런데 룻킷은 보통 감염시키는게 아니라 프로그램 하나가 시스템을 '후킹'하여 설치되는 것이라고 자기도 말해놓고? 따라서 룻킷 본체를 떨어뜨리고, 파일을 지우면 보통 복구됩니다. 왜냐면 애초에 후킹을 안하면 원래대로 돌아가는 거거등.. 물론 개중엔 레지스트리에 이상한 장난을 쳐놔서 복구해줘야 하는 경우도 있지만. 이걸 가지고 '어제 그 상태 그대로 복구되지 못하는거 아니냐'라고 하면 참..

그럼 스파이웨어나 팝업 띄우는 악성 코드등은 어떻게 '완벽'하게 치료하는 건가효?

혹시 rootkit unhooker나 gmer라는 프로그램은 아시나효?
후킹된거 찾아내서 다 풀고 숨겨진 프로그램을 찾아냅니다. 모르면 찾아서 써보등가.
이번에 루트킷에 대해 나온 책이 에이콘 출판사에서 나왔거든효. 찾아서 읽어보등가.
'내가 왜 해야 하냐'고? 당신이 뭘 좀 알아야 팩트를 제대로 전달할 것 아닙니까.

딴지는 아니지만, 느닷없이 튀어 나온 API 예는 재미있습니다..
소프트웨어의 제작이나 규약을 논하는 것이 아니라, 그것을 파괴하거나 침투하는 멀웨어 이야기를 하는데 갑자기 API가 나오는군요..
예가 틀렸다는 말은 아닙니다.. 오해 마시길.. API에도 전염은 가능하겠죠..
다만, API에 루트킷이 침투한 것도 모르고 사용하는 개념없는 프로그래머를 상상하니 조금 우스웠고,
API, IoControl code, 모듈 등등의 전문적인 용어를 차용해가며 애써 글을 쓰시는 모습이 재미있었습니다.. 이거 뭐 무서워서 저같은 범인들이 대항이나 하겠습니까? ㅋ

모르면 제발 모른다고 해요. 병맛나게 좀 그만 깐죽대고. 당신 도우려는 사람한테 그게 뭡니까?
개념없는 프로그래머? 루트킷이 제대로 숨어들면 보통 뭘 해도 안드러나요. 님하가 리뷰하신 F-PROT BlackLight 가지고도 못찾는거 존내 많다고효. 안티룻킷 스캐너들도 제대로 찾는거 얼마 없는 마당인데 '개념없는 프로그래머'라.

특정 포트를 여는게 보이지 않느냐고 하신다면.. 로컬 컴퓨터에서는 뭘 해도 안찾아지고, 요새는 외부 컴퓨터에서 포트 스캐닝을 하는 것도 회피하려고 온갖 꼼수 다쓰는 놈이 많은데 뭇슨..

진짜 쓰다가 '뭔가 이상하다' 하고 감이 느껴져서 이거저거 다 뒤져보니 있는 경우는 있었지..

알툴즈는 존내 싫어하지만 저런 식으로 아집에 똘똘 뭉쳐서 자기 도우려던 사람까지 적으로 만들면 좀 곤란하지.. 알약이 뻥치는 것을 까는 것도 좋고, 소비자 입장에 서는 건 좋다 이겁니다. 근데 하지도 않은 짓을 했다고는 하지 말아야지. 프로그램이 뻥을 친다고 자기까지 뻥을 치면 좀 곤란하지.

지금까지 열심히 리뷰하고 가이드쓰고 독자적인 영역을 구축하느라 애쓴거 뻔히 아는데, 가끔씩 보이는 병맛나는 포스팅이라든지, 나 혼자 다 안다는 독선은 눈살이 찌푸려지는 것을 넘어서 안쓰럽게 보이게 합니다. 포스팅 하나 올리면 항상 인기글에 뜨는 양반이면 좀 책임감있는 글을 적어야 하지 않겠습니까?

이 글에서 까는 원본 글은 무료 백신 알약에 대한 의혹과 아쉬움. 입니다 :)