토렌트로 돌아다니는 소프트웨어를 설치했을 때..

내가 확인해 본 것이 Mac에 logic pro x/final cut pro x를 설치하고 벌어진 일이니까. 나머지는 알아서 생각하시길 바란다.

나도 갑자기 알게 된 것이라 아직 분석이나 추적이 좀 부족하긴 하다.

요약하면, 설치 후에 (mac에서는 특별히 설치랄 게 없다. app store를 쓰는 게 아니면 그냥 폴더를 통째로 Applications 떨구기만 하면 된다) process monitor를 우연히 들여다보게 되었는데 정상적인 프로세스의 이름이라고 보여지기 어려운 것 (._xACSC… 같은)이 떠오르길래 살짝 들여다보니 잘은 모르겠으나 i2pd와 Fox가 뜨는 것 같은 모양새를 보였다. 이것을 모두 자신의 힘으로 정상 소프트웨어에 내장 시키기 어려웠는지 /private/tmp에 뭔가 자국을 남겨놓은 듯하다.

그럼 과연 이것은 무슨 짓을 하려고 했던 것일까? 나도 알 수 없다.

i2pd가 i2pd가 아닌 이상한 이름으로 떠오르고 Fox도 뜬 것 같은데, 그래서 i2pd가 이곳 저곳에 접속되고 있는 것 까지만 확인했다. Logic이나 파컷의 실행을 중지했다고 해서 i2pd까지 같이 중지되는 것이 아니었다. 이것들은 그냥 내내 살아있다.

i2pd가 실제로 로드를 별로 잡아먹고 있지 않아서 쉽게 드러나지 않을 뿐더러 이것 말고 또 뭐가 있는지 알 수 없으니까 더 그러하다.

특별한 악의가 없어서 그들이 손을 댄 소프트웨어를 실행할 때 단순히 i2pd를 띄워서 i2p router 노릇을 하게 했다면 참으로 다행인 거다. 단지 내 머신이 i2p를 위한 distributed node 중 하나로 활동한 것에 불과하니까.

아직은 알 수 없지만 내 개인 정보라든가 파일을 i2p로 sharing했고 그래서 누군가가 쉽게 접속해서 이것 저것 가지고 갈 수 있었다면 대단히 큰 문제가 될 수 있다. 대개 해당 소프트웨어가 실행되는 디바이스 1개에 해당하는 것이니까 다른 장치로 전염이되었거나 하지는 않는다. 일단 해당 소프트웨어를 한번이라도 실행했다면 i2pd가 돌게 되고 그래서 그 이후로 내내 i2p router 역할만 했다면 참으로 다행인 거다.

확인할 수 있는 방법은 ~/Library/Application Support/i2pd 폴더가 있는지 확인해보고 그 안에 i2pd.log가 있는지 보는 것이다. 안에 pid file까지 있고 log를 보면 제법 멀쩡히 돌고 있는 것으로 봐서는 특별히 i2pd를 변형해서 돌리진 않는 것 같다.

요약하면:

1) 해적 소프트웨어 중에 i2pd를 설치해서 몰래 돌리는 것들이 있다. 2) 해당 소프트웨어의 실행이 중단되어도 i2pd는 계속해서 돌아간다. 3) 대략 확인되는 바로는 해당 소프트웨어 사용자의 컴퓨터를 i2p의 router 역할 정도를 강제로 수행시키는 것으로 보인다.