skip navigation
  • 메뉴
  • 본문
  • 하단 정보(링크)
  • 제품
    • AhnLab PLUS Platform
    • AhnLab Endpoint PLUS
      • 안티멀웨어
      • 엔드포인트 보호 플랫폼 (EPP)
      • 지능형 위협 대응
      • 엔드포인트 탐지 & 대응 (EDR)
      • 중소기업 보안
      • 모바일 보안
    • AhnLab Network PLUS
      • 차세대 방화벽 (ZTNA)
      • 차세대 방화벽
      • 디도스 방어
      • 네트워크 침입 방지 (IPS)
      • 지능형 위협 대응
      • 네트워크 위협 관리 (TMS)
    • AhnLab Cloud PLUS
      • 클라우드 워크로드 보안 (CWPP)
      • 클라우드 방화벽
      • 클라우드 IPS
      • 클라우드 네트워크 위협 관리
    • AhnLab Connect PLUS
      • 확장형 탐지 & 대응 (XDR)
      • 위협 인텔리전스 (TIP)
      • SOAR
    • AhnLab CPS PLUS
      • CPS 보안 통합 관리
      • OT 엔드포인트 보안
      • OT 가시성 및 위협 탐지
      • OT 휴대용 안티멀웨어
      • OT 방화벽
      • OT 일방향 데이터 전송
      • OT 지능형 위협 대응
      • IT 엔드포인트 보안
      • IT 안티멀웨어
      • CPS 위협 인텔리전스
    • AhnLab AI PLUS
    • 전체 제품 및 서비스
  • 서비스
    • AhnLab Service PLUS
      • 매니지드 탐지 & 대응 (MDR)
      • 보안관제
      • Professional Service
      • 디지털 포렌식
      • 클라우드 MSP
      • 정보보호컨설팅
      • 글로벌 파트너
    • 전체 제품 및 서비스
  • 솔루션
    • 랜섬웨어 보안
    • 하이브리드 클라우드 보안
    • 제로 트러스트
    • CPS 보안
    • SOC 고도화
    • 위협 탐지 & 대응 (TDR)
    • 디도스 방어
  • 구매
    • 견적 및 도입 문의
    • 스마트 파인더
    • 구매방식
    • 제품 정책
      • 소프트웨어
      • 네트워크
    • 전략 물자
    • 랜섬웨어 탐지 대응 통합 서비스 페이지 배너
  • 고객지원
    • 온라인 고객지원
      • 원격지원
      • 1:1상담
      • 전화상담 안내
      • FAQ
    • 기업 기술 교육
    • 위협정보 신고센터
    • 다운로드
    • 공지사항
  • 콘텐츠 센터
    • 콘텐츠 센터
      • 시큐리티 레터
      • 월간 安
    • ASEC
      • 위협정보
      • 위협 행위자 분류 체계
      • ASEC 보안권고문
      • ASEC 블로그
    • 하이라이트
      • 랜섬웨어 탐지·대응 통합 서비스
      • MITRE ATT&CK 평가 라운드 7
      • 안랩 창립 30주년
      • Frost Radar CPS 보안 리더
  • 파트너
my page
로그인회원가입
언어 선택

최근 검색어가 없습니다.

AhnLab

  • 회사소개
  • 투자정보
  • 채용정보
  • 사용권 약관
  • 개인정보처리방침
  • 이용약관
  • Contact Us
  • 사이트맵

기업정보

  • 대표이사 : 강석균
  • 사업자등록번호 : 214-81-83536
  • (우) 13493 경기도 성남시 분당구 판교역로 220
  • 통신판매신고번호 : 2012-경기성남-1189
  • 대표전화 : 031-722-8000
  • Fax : 031-722-8901
  • © AhnLab, Inc. All rights reserved.

News Letter

시큐리티 레터는 매주 놓쳐서는 안 될 보안 정보를,
월간 '安'은 매월 위협 분석과 보안 동향에 대한 깊이 있는 정보를 이메일로 보내드립니다.

뉴스레터 선택
뉴스레터
이용 동의
V3 엔진 버전OES : 2026.07.01.02SES : 2026.06.28.00
엔진 업데이트 바로가기
  • 카카오톡 채널 바로가기
  • 페이스북 바로가기
  • 링크드인 바로가기
  • 유튜브 바로가기
    • 스마트 파인더
    • Security Map
    • 견적 및 도입 문의
    • My Company
    • V3 Lite 다운로드
웹콘텐츠
위협 소식2015-07-29

악성코드만큼 악의적인 PUP

악성코드는 아니지만 PC를 느려지게 하거나 광고창을 반복적으로 노출하는 등 사용자들에게 불편을 초래하는 프로그램이 있다. 교묘하게 사용자의 동의를 받고 설치되는 ‘불필요한 프로그램’, 즉 PUP(Potentially Unwanted Program)가 그것이다. 대부분의 백신(Anti-Virus) 제품들은 악성 프로그램은 아니지만 잠재적으로 사용자가 불편을 느낄 수 있는 프로그램 등을 PUP로 분류하고 있다. 그런데 최근에는 수동으로 삭제할 수 없도록 방해하는 악의적인 PUP가 나타나 사용자들에게 피해를 끼치고 있다. 

 

악성코드는 PC 내에 오랫동안 존재하기 위해 사용자 몰래 실행되어 백그라운드로 동작하는 반면, PUP의 주된 목적은 더 많은 광고를 노출하거나 특정한 프로그램을 사용하도록 유도하는 것이 주목적이다. 대부분의 PUP는 [제어판 > 프로그램 제거]에서 해당 프로그램의 ‘제거 프로그램(Uninstaller)’을 이용해 삭제할 수 있다. 문제는 최근 제거 프로그램을 실행해도 제거되지 않는 PUP가 등장하고 있다는 점이다. 

 

최근 발견된 PUP인 ‘Search Protect’는 ‘oursurfing_installer.exe’라는 이름의 설치 프로그램(installer)이 실행된 후 추가 다운로드를 통해 PC에 설치된다. 이 PUP는 아래 [그림 1]과 같이 작업표시줄 트레이에서 확인할 수 있다.

 

 

[그림 1] PUP인 ‘Search Protect’ 트레이 아이콘 

 

‘Search Protect’의 주요 특징은 다음과 같이 크게 2가지로 요약할 수 있다.

1. 허위 제거 프로그램(Uninstaller) 등록

2. 웹 브라우저 시작 페이지 변경 및 원상 복구 방해 

 

‘Search Protect’가 PC에 설치되면 PC 메모리에 상주하면서 웹 브라우저의 기본 페이지, 기본 검색 공급자를 변경한다. 

 

 

[그림 2] PUP가 변경한 크롬 및 IE 브라우저 시작 페이지 

 

대부분 PUP가 설치되면 제어판에서 제거 프로그램을 실행하여 정상적으로 제거할 수 있다. 그러나 ‘Search Protect’는 [제어판 > 프로그램 제거] 항목에서 ‘oursurfing uninstall’ 확인 후 [프로그램 제거]를 시도하면 프로그램 제거가 진행되는 것처럼 보이지만 아래와 같이 프로세스 바(progress bar)가 모두 진행된 이후에도 추가 동작하지 않는다. 이때 ‘계속(Continue)’을 클릭하면 [그림 3]과 같이 ‘Repare’라는 버튼이 나타난다. 프랑스어 또는 포르투갈어로 추정되는 이 ‘Repare’를 선택하면 ‘복원했다’는 메시지가 나타나지만 실제로는 어떠한 동작도 수행하지 않는다.  

 

 

[그림 3] oursurfing 제거(uninstall) 실행 시 나타나는 화면

 

‘계속’을 선택하지 않고 종료 버튼(X)을 클릭하더라도 관련 프로그램은 정상적으로 삭제되지 않는다. 해당 프로그램 제거(Uninstaller) 파일은 단순히 UI만 보여주는 역할을 할 뿐이며, 이를 위한 파일들은 PUP프로그램의 경로가 아닌 별도의 폴더에 존재한다.

 

설치된 PUP를 제거하는 기능을 가진 실제 파일은 ‘C:\Program files\XTab\uninstall.exe’ 파일이다. 따라서 사용자가 [제어판 > 프로그램 제거]에서 삭제를 시도하더라도 설치된 PUP는 삭제되지 않으며, ‘C:\Program files\XTab\uninstall.exe’ 파일을 실행해야만 제거할 수 있다.

 

위의 경로에서 실제 제거 프로그램인 uninstall.exe를 찾았다면 이를 통해 해당 PUP를 삭제한 후 브라우저를 실행해 볼 것이다. 그러나 PUP가 제거되었음에도 불구하고 브라우저 시작페이지는 [그림 4]와 같이 ‘oursurfing’ 검색페이지로 나타난다. 

 

 

[그림 4] PUP 삭제 후 브라우저 실행 시 나타나는 시작 페이지

 

이는 해당 PUP가 설치될 때 브라우저 lnk 파일의 [대상]에 브라우저의 파라미터(Parameter)로 해당 URL을 등록했기 때문이다. 일반적으로 사용자는 바탕화면, 시작프로그램, 작업표시줄(시작버튼 표시줄)의 lnk 파일을 눌러 브라우저를 실행한다. 따라서 이와 같이 lnk 파일의 [대상]에 특정 URL이 파라미터로 등록된 경우에는 PUP가 제거되더라도 브라우저 실행 시 등록된 URL 페이지가 실행된다. 

 

이처럼 날로 교묘해지는 PUP는 한 번 설치되면 악성코드 못지 않게 사용자에게 피해를 입히기 쉽다. 따라서 평소 PUP를 다운로드 하지 않도록 평소 주의하는 습관이 필요하다. 웹사이트에서 프로그램을 다운로드할 때는 정식 프로그램 배포 사이트를 이용해야 하며, 다운로드 전송 프로그램을 이용할 경우에는 숨겨진 동의 버튼 등이 없는지 반드시 확인해야 한다. 또한 백신 제품의 엔진을 항상 최신 버전으로 유지하는 습관이 필요하다. 

 

V3 제품군은 현재 해당 PUP를 아래와 같은 진단명으로 탐지하고 있다. 

 

<V3 제품군의 진단명>

PUP/Win32.Eorezo (2015.06.04.00)

PUP/Win32.SearchProtect (2015.04.16.00)

PUP/Win32.SubTab (2015.05.21.00)

PUP/Win32.Agent (2015.06.04.00)

 

 

  • AhnLab
    ASEC대응팀
목록 보기

관련 콘텐츠

데모영상

[Demo] AhnLab AI PLUS - AI 에이전트가 수행하는 이벤트 및 영향도 분석

[Demo] AhnLab AI PLUS - AI 에이전트가 수행하는 이벤트 및 영향도 분석

데모영상

[Demo] AhnLab XDR – 실제 공격 시나리오 탐지 & 대응

[Demo] AhnLab XDR – 실제 공격 시나리오 탐지 & 대응

데모영상

[Demo] AhnLab TIP – AI를 활용한 Lazarus 공격 그룹 분석

[Demo] AhnLab TIP – AI를 활용한 Lazarus 공격 그룹 분석

데모영상

[Demo] AhnLab CPS PLUS – CPS 네트워크-엔드포인트 자산 가시성 확보

[Demo] AhnLab CPS PLUS – CPS 네트워크-엔드포인트 자산 가시성 확보