레노버, 노트북에 개인정보 빼가는 악성 애드웨어 ‘슈퍼피시’ 깐 뒤 판매 ‘충격’

세계 최대 PC 제조업체 레노버가 지난해 4분기(10-12월) 전 세계 시장에서 판매한 노트북 등에 해킹에 취약한 악성 애드웨어(광고를 포함한 악성코드)를 깐 뒤 판매한 것으로 드러나 논란이 일고 있다.

비주얼디스커버리(VisualDiscovery), 일명 슈퍼피시(superfish)라는 이름의 이 애드웨어는 PC 사용자의 웹서핑 데이터를 수집하고 분석해 맞춤형 광고를 추천하는 쇼핑 도우미 프로그램이다.

그러나 문제는 이 애드웨어가 단순한 애드웨어가 아니라 사용자가 온라인에서 물건을 구매하거나 e-메일을 확인할 때 해커가 비밀번호 등의 개인정보를 빼내갈 수 있는 위험성을 갖고 있는 악성 프로그램이라는 것이다.

영국 BBC, CNN머니, 파이낸셜타임즈, AP 통신, PC월드 등 외신은 레노버가 애드웨어가 설치된 노트북과 태블릿PC를 판매했으며 레노버도 이를 인정했다고 20일(현지시간) 보도했다.

슈퍼피시가 사전 설치된 레노버 노트북 제품은 G, U, Y, Z, S시리즈와 Flex 시리즈, 요가 시리즈, E 시리즈 등 레노버의 거의 전 제품에 해당된다.

레노버는 노트북 사용자들이 인터넷 쇼핑을 하는 동안 관심있는 제품을 발견할 수 있도록 도와주기 위해 이 애드웨어를 설치했다고 항변했지만 정작 사용자들은 애드웨어가 설치된 사실조차 몰랐다.

미국국토안보부(DHS)도 이날 레노버 PC 고객에게 사이버 공격의 표적이 될 수 있는 슈퍼피쉬 소프트웨어의 삭제를 권고했다.

슈퍼피시가 해킹에 악용될 수 있다는 사실은 일부 사용자들이 ‘슈퍼피시 때문에 원치 않는 팝업 광고가 자꾸 뜬다’고 불만을 제기하면서 처음 알려졌고, 보안 전문가들이 슈퍼피시를 통해 사용자의 모든 온라인 행위를 파악할 수 있다고 지적하면서 논란이 커졌다.

애초 보안 결함 가능성을 부인하던 레노버는 사용자에게 공식 사과하고 슈퍼피시를 영구 삭제하는 방법을 홈페이지를 통해 소개했다.

레노버가 슈퍼피시를 설치한 것이 심각한 문제인 것은 슈퍼피시는 사용자의 인터넷 이용 습관을 파악해 웹페이지 등에 무단으로 연관된 자바스크립트 삽입 광고를 표시하는 애드웨어 기능을 갖고 있지만, 이 같이 광고를 표시하기 위해 사용하는 방법은 안전한 통신을 담보로 하기 위해 쓰이는 SSL 통신 인증기관(CA)을 무단 위조한다는 것이다.

보통 SSL 통신은 웹브라우저 액세스 서버에게 CA 인증된 인증서를 보내달라고 한 뒤 이를 신뢰할 수 있는 CA 목록인 노트북에 설치된 루트 인증서 목록과 비교해서 안전하다고 판단될 경우에만 액세스를 허용한다.

하지만 슈퍼피시는 CA 인증서를 보내달라는 통신을 중간에서 탈취한 뒤 위조한 CA 인증서를 만들어 이를 노트북에 보낸다. 노트북은 이 위조 CA 인증서에 대해 원래 안전하지 않다고 판단해야 하지만, 슈퍼피시는 자신이 깔린 레노버 노트북이 이 위조 CA 인증서를 신뢰할 수 있는 것으로 인식하게 함으로 암호화를 무력화시키고 원래 거부되어야 할 인증에 대해 액세스가 가능하게 만든다.

더 심각한 것은 슈퍼피시는 서버에서 오는 CA 인증서와 노트북의 CA 루트 인증서를 대조한 뒤 문제가 없다고 판단한 위조된 CA 서명을 노트북의 윈도우 인증서 저장소에 설치하고 저장한다는 것이다. 해커는 이것을 도청한 뒤 마음대로 악용할 수도 있다. 해커가 슈퍼피시로 인해 암호화가 해제되버린 노트북에서 사용자의 웹 서핑 활동 내용을 관찰하고 확인하거나 뱅킹 자격 증명과 같은 민감한 데이터를 훔칠 수 있는 것이다.

또한 웹 페이지에 자바스크립트 코드를 만들어 광고를 표시하는 등의 동작도 확인됐다. 인터넷 익스플로러, 크롬, 파이어폭스 등 웹 브라우저에서 광고를 강제로 보이도록 하는 것이다.

전문가들도 사용자의 동의 없이 애드웨어를 설치한 것도 문제이지만 슈퍼피시가 암호화 관련 결함이 있어 해킹에 취약한 것이 심각한 문제라고 지적하고 있다.

AP통신은 “인터넷 쇼핑, 이메일 확인, 전자 이체를 할 때 해커가 슈퍼피시를 통해 비밀번호나 민감한 정보를 훔치는 것이 가능하다고 전문가들이 보고 있다”고 전했다.

보안기업 에라타 시큐리티의 CEO 로버트 그레이엄은 “슈퍼피시는 웹 페이지에 자바 스크립 코드를 주입해 작동한다”며 “웹 사이트에 많은 문제를 일으키는 것으로 알려져 있다”고 말했다. 또 “더 놀라운 것은 이 소프트웨어가 모든 암호화된 연결을 가로막을 수 있도록 설계돼 있다. 해커 등이 시스템에 접근할 수 있도록 하는 허술한 방식”이라고 위험성을 설명했다.

실제로 에라타 시큐리티 연구원은 슈퍼피쉬를 사용하고 있는 인증서를 추출하고 암호를 크래킹하는데 성공했다. 이를 통해 와이파이 핫스팟 지역에서 슈퍼피쉬가 내장된 레노버 노트북을 사용하는 사용자의 암호화 통신을 감청할 수 있었다고 전해졌다.

이에 전문가들은 슈퍼피시로 인한 피해는 보고되지 않았지만 레노버가 부적절한 방법으로 애드웨어를 깔아 팔았으며 사용자를 큰 위험에 노출시켰다고 비판하고 있다.

레노버 측도 뒤늦게 슈퍼피시 설치 사실에 대해 인정하면서도 이 애드웨어를 설치한 이유, 시기 등에 대해선 구체적인 답변을 내놓지 않고 있다.

다만 슈퍼피시가 깔린 레노버 제품은 지난해 9월부터 12월 사이에 출고된 노트북과 태블릿PC 등 총 43종 중 일부라고 밝혔다. 그리고 지난 1월부터 출시한 새 PC에는 미리 설치한 수퍼피쉬를 제거했으며 기본에 설치된 슈퍼피쉬 또한 작동되지 않도록 조치했다고 말했다. 또 피해 사례는 집계되지 않았다고 덧붙였다.

레노버는 지난해 10월∼12월 노트북과 데스크탑 총 1600만대를 출고했으며 이중 슈퍼피시가 깔린 제품이 얼마나 될지는 알려지지 않고 있다.

한편, IBM의 PC 부문을 인수하는 등 글로벌 컴퓨터 시장에서 승승장구하고 있는 레노버는 지난해 4분기 노트북을 포함해 1700만대의 컴퓨터를 판매했다.