멀웨어 및 원치 않는 소프트웨어

Google에서는 웹사이트가 사용자 환경에 부정적인 영향을 미치는 소프트웨어 또는 다운로드 가능한 실행 파일을 호스트하는지 확인합니다. 보안 문제 보고서를 열면 내 사이트에서 호스팅하는 의심스러운 파일의 목록을 확인할 수 있습니다.

보안 문제 보고서 열기

개요

멀웨어 및 원치 않는 소프트웨어는 웹사이트에서 실행되어 사이트 방문자에게 영향을 주는 다운로드 가능한 바이너리 또는 애플리케이션입니다.

멀웨어란 무엇인가요?

멀웨어란 컴퓨터, 휴대기기, 실행 중인 소프트웨어 또는 사용자에게 해를 끼치도록 설계된 소프트웨어 또는 모바일 애플리케이션입니다. 멀웨어는 사용자의 동의 없이 소프트웨어를 설치하거나 바이러스와 같은 유해한 소프트웨어를 설치하는 등 악의적인 방식으로 작동합니다. 간혹 다운로드할 수 있는 파일 일부가 멀웨어로 간주된다는 점을 웹마스터가 인지하지 못해 이러한 바이너리 파일이 예기치 않게 호스팅될 수 있습니다.

원치 않는 소프트웨어란 무엇인가요?

원치 않는 소프트웨어란 사용자를 속이거나, 예상할 수 없거나, 사용자의 탐색 및 컴퓨팅 사용 환경에 부정적인 영향을 미치는 활동에 관여하는 실행 파일 또는 모바일 애플리케이션입니다. 홈페이지 또는 기타 브라우저 설정을 원치 않는 설정으로 전환하는 소프트웨어나 사용자에게 제대로 알리지 않고 비공개 정보 및 개인정보를 유출하는 앱을 예로 들 수 있습니다.

  • Google 온라인 보안 블로그의 위험한 다운로드 구분하기에서 Google이 원치 않는 소프트웨어로부터 사용자를 보호하는 방법을 알아보세요.

 

보안 문제 보고서에서 '멀웨어'란 명시적인 사용자 작업 없이 작동하는 웹 기반 멀웨어를 말합니다. '유해한 다운로드'란 사용자가 명시적으로 다운로드해야 하는 멀웨어 또는 원치 않는 소프트웨어를 말합니다.

가이드라인

원치 않는 소프트웨어 정책을 위반하지 않도록 하고 여기 명시된 가이드라인을 따르세요. 여기에서 소개하는 행동들은 앱이나 웹사이트에서 사용자가 다운로드하거나 방문하려고 할 때 경고가 표시되게 할 수 있는 행동으로 일부에 해당합니다. 보안 문제 보고서를 열면 내 사이트에서 호스팅하는 의심스러운 파일의 목록을 확인할 수 있습니다.

자신의 신분을 속이지 않아야 함

  • 사용자에게 소프트웨어의 목적과 의도를 정확하게 알립니다. 사용자는 무엇이 다운로드되는지 사용자에게 명확하게 알리는 정확한 광고를 클릭하여 무엇이 다운로드되는지 정확히 알고 소프트웨어를 의도적으로 다운로드해야 합니다. 사용자가 다운로드하게 만드는 광고는 다음과 같이 사기성이 있거나 부정확해서는 안 됩니다. 
    • 다운로드된 프로그램이 플래시와 관련 없는데도 플래시를 업데이트하라고 주장하는 광고
    • 광고하는 소프트웨어를 식별하지 않고 '다운로드' 또는 '재생'이라는 단어만 포함하는 광고
    • 다운로드로 연결하는 '재생' 버튼
    • 게시자의 웹사이트 디자인을 모방하고 콘텐츠(예: 영화)를 제공하는 척하지만 관련 없는 소프트웨어로 연결하는 광고
    • Google의 온라인 보안 블로그에서 소셜 엔지니어링에 대해 알아보세요.
  • 광고대로 작동합니다. 프로그램의 기능과 의도가 명확해야 합니다. 프로그램이 사용자 데이터를 수집하거나 사용자의 브라우저에 광고를 삽입하는 경우 이러한 동작에 관해 명확하게 알리고, 중요하지 않은 기능인 것처럼 표현하면 안 됩니다.
  • 소프트웨어가 브라우저와 시스템을 어떻게 변경하는지 사용자에게 명확하게 설명합니다. 사용자가 중요한 모든 설치 옵션과 변경사항을 검토하고 승인할 수 있도록 허용해야 합니다. 프로그램의 기본 UI가 바이너리의 구성요소와 구성요소의 기본 기능을 명확히 나타내야 합니다. 바이너리는 사용자가 번들로 제공되는 구성요소 설치를 쉽게 건너뛸 수 있는 방법을 제공해야 합니다. 예를 들어 옵션을 숨기거나 회색으로 표시되는 텍스트를 사용하는 것은 좋은 방법이 아닙니다.
  • 승인된 경우에만 보증을 사용합니다. 승인되지 않은 방법으로 다른 회사의 로고를 사용하여 제품을 합법화하고 보증하면 안 됩니다. 정부 로고를 승인 없이 사용하면 안 됩니다. 
  • 사용자를 겁주면 안 됩니다. 소프트웨어가 시스템에 중대한 보안 문제가 있거나 바이러스에 감염되었다는 등 사용자의 기계 상태를 사용자에게 허위로 표시하면 안 됩니다. 소프트웨어가 제공하지 않거나 제공할 수 없는 서비스(예: 'PC의 속도 개선')를 제공한다고 주장해서는 안 됩니다. 예를 들어 '무료' 컴퓨터 클리너 및 최적화 도구라고 광고하면서 실제로 서비스 사용 요금이 무료가 아닌 경우에는 '무료'라고 광고해서는 안 됩니다.

소프트웨어 가이드라인

  • 프로그램이 Chrome 설정을 변경하는 경우 Google Settings API를 사용합니다. 사용자의 기본 검색 설정, 시작 페이지 또는 새 탭 페이지에 대한 모든 변경은 Chrome 설정 재정의 API를 통해 이루어져야 합니다. Chrome 설정 재정의 API를 사용하려면 Chrome 확장 프로그램 및 정책에 부합하는 확장 프로그램 설치 플로우를 사용해야 합니다.
  • 브라우저 및 운영체제 대화상자가 의도한 대로 사용자에게 알리도록 허용합니다. 브라우저 또는 운영체제의 알림을 사용자에게 알리지 못하도록 제거하면 안 됩니다. 특히 사용자의 브라우저 또는 OS의 변경사항을 사용자에게 알리는 경고를 제거하면 안 됩니다. 
  • 코드를 서명하는 것이 좋습니다. 서명되지 않은 바이너리는 바이너리를 원치 않는 소프트웨어로 신고하는 사유가 되지는 않습니다. 하지만 확인 가능한 게시자 정보를 제공하는 코드 서명 기관에서 발급한 유효하고 확인된 코드 서명이 프로그램에 있는 것이 좋습니다.
  • TLS/SSL 연결에 의해 제공되는 보안 및 보호 방법을 저하시키면 안 됩니다. 애플리케이션이 루트 인증서-기관 인증서를 설치하지 않을 수도 있습니다. 전문가가 소프트웨어를 디버깅하거나 조사하도록 디자인되지 않은 한 애플리케이션이 SSL/TLS 연결을 차단하지 않을 수도 있습니다. 더 자세한 내용은 관련 Google 보안 블로그 게시물을 참조하세요.
  • 사용자 데이터를 보호합니다. 모바일 앱 등의 소프트웨어는 앱의 기능과 관련 있는 비공개 사용자 데이터만을 서버로 전송해야 합니다. 또한 이러한 전송에 관해 사용자에게 알려야 하며, 암호화를 사용해야 합니다.
  • 피해를 주지 않아야 합니다. 바이너리는 사용자의 인터넷 탐색 환경을 존중해야 하며 피해를 주어서는 안 됩니다. 다운로드 가능한 바이너리가 다음 일반적인 정책을 준수하는지 확인하세요.
    • 브라우저의 재설정 기능을 중단하지 않습니다. Chrome의 브라우저 설정 재설정 버튼에 대해 알아보세요.
    • 설정 변경을 위해 브라우저나 운영체제의 UI 제어를 우회하거나 숨기지 않습니다. 프로그램이 브라우저에서 발생하는 설정 변경과 관련해 사용자에게 적절한 알림과 제어 권한을 제공해야 합니다. Settings API를 사용하여 Chrome 설정을 변경하세요(Chromium 블로그 게시물 참조).
    • 다른 프로그램 방식의 수단을 통해 브라우저 동작을 변경하기보다 확장 프로그램을 사용하여 Chrome 기능을 변경합니다. 예를 들어 브라우저 내에 광고를 삽입하기 위해 프로그램이 DDL(동적 링크 라이브러리)을 사용해서는 안 되며, 트래픽을 가로채는 프록시를 배포해서도 안 되며, LSP(Layered Service Provider)를 사용하여 사용자 행동을 차단해서도 안 되며, Chrome 바이너리를 패치하여 모든 웹페이지에 새로운 UI를 삽입해도 안 됩니다.
    • 제품 및 구성요소 설명에 사용자에게 부담을 주거나 허위 또는 오해의 소지가 있거나 무언가를 주장하는 내용이 포함되면 안 됩니다. 예를 들어 제품에서 시스템에 중대한 보안 문제가 있거나 바이러스에 감염되었다는 등의 내용을 허위로 표시하면 안 됩니다. 또한 레지스트리 클리너와 같은 프로그램에서 사용자의 컴퓨터나 기기에 대한 알림 메시지를 표시하고 사용자의 PC를 최적화할 수 있다고 주장하면 안 됩니다.
    • 쉽게 찾을 수 있고 간단하며 위협적이지 않은 제거 프로세스를 만듭니다. 프로그램에서 브라우저 또는 시스템을 이전 설정으로 복원할 수 있는 방법을 명시해야 합니다. 제거 프로그램은 모든 구성요소를 제거해야 하며 사용자가 제거 프로세스를 중단하도록 해서는 안 됩니다. 예를 들어 소프트웨어를 제거할 경우 사용자의 시스템 또는 개인정보 보호에 부정적인 영향을 미칠 수 있다고 주장하지 않아야 합니다.
  • 신뢰할 수 있는 회사가 되도록 합니다. 소프트웨어가 다른 소프트웨어 구성요소와 함께 번들로 제공되는 경우, 이러한 구성요소가 모두 위 권고사항을 위반하지 않는지 확인할 책임은 본인에게 있습니다.

Chrome 확장 프로그램 가이드라인

  • 모든 확장 프로그램은 공개되어야 하며 정책을 준수하도록 Chrome에 설치되어야 합니다. 확장 프로그램은 Chrome 웹 스토어에서 호스팅되어야 하고, 기본적으로 사용 중지 상태여야 하며, Chrome 웹 스토어 정책(단일 목적 정책 포함)을 준수해야 합니다. 프로그램에서 설치된 확장 프로그램은 인증된 Chrome 확장 프로그램 설치 플로우를 사용해야 합니다. 이 워크플로우를 사용하면 Chrome 내에서 사용 설정하라는 메시지가 사용자에게 표시됩니다. 확장 프로그램이 사용자에게 설정 변경을 알리는 Chrome 대화상자를 제거하지 않을 수도 있습니다.
    확장 프로그램을 설치하는 Chrome 팝업 요청 승인
  • 사용자에게 Chrome 확장 프로그램을 삭제하는 방법을 안내합니다. 좋은 사용자 환경에서는 사용자가 프로그램을 제거하면 프로그램과 함께 설치되었던 모든 항목도 삭제됩니다. 제거 절차에는 사용자가 스스로 확장 프로그램 자체를 사용 중지하고 삭제하는 데 필요한 안내가 포함되어 있어야 합니다.
  • 바이너리에서 브라우저 부가기능을 설치하거나 기본 브라우저 설정을 변경하는 경우에는 브라우저에서 지원하는 설치 절차와 API를 따라야 합니다. 예를 들어 바이너리에서 Chrome 확장 프로그램을 설치하면 이 확장 프로그램은 Chrome 웹 스토어에서 호스팅되어야 하며 Chrome 개발자 프로그램 정책을 준수해야 합니다. 바이너리가 Chrome 대체 확장 프로그램 배포 옵션 정책을 위반하여 Chrome 확장 프로그램을 설치하는 경우 멀웨어로 판별됩니다.
모바일 애플리케이션 가이드라인
  • 사용자에게 사용자의 데이터를 수집하는 의도를 알립니다. 타사 계정, 이메일, 전화번호, 설치된 앱, 휴대기기 관련 정보 등 기기에서 정보 수집 및 전송을 시작하기 전에 사용자가 자신의 데이터 수집에 동의할 기회를 제공하세요. 수집된 개인 데이터 또는 민감한 사용자 데이터는 안전하게 처리해야 하며 현대적인 암호화(예: HTTPS)를 사용하여 전송해야 합니다. Play 앱이 아닌 앱의 경우 앱 내에서 데이터 수집을 공개해야 합니다. Google Play 앱의 경우 Play 정책에 따라 데이터 수집을 공개해야 합니다. 게시된 애플리케이션의 목적에 불필요한 데이터를 수집하지 마세요.

  • 다른 브랜드 또는 앱을 가장하지 않습니다. 다른 브랜드나 앱과 유사한 부적절하거나 승인되지 않은 이미지 또는 디자인을 사용자에게 혼란을 야기시킬 가능성이 높은 방식으로 사용하지 마시기 바랍니다.

  • 앱의 모든 콘텐츠는 앱 내에서만 실행되어야 합니다. 앱은 기기의 다른 앱 및 사용성을 방해해서는 안 됩니다. 앱에서 사용자의 사전 동의를 받지 않고 광고가 표시되는 모든 위치에 광고 소스의 저작자를 명확히 표시하지 않은 채 사용자에게 앱 자체의 내용이나 기능에서 벗어난 추가 콘텐츠나 광고를 표시해서는 안 됩니다.

  • 앱은 사용자와의 약속을 이행해야 합니다. 사용자는 앱 내에서 홍보된 모든 기능을 사용할 수 있어야 합니다. 앱의 콘텐츠를 업데이트할 수 있으나 사용자에게 충분한 정보를 제공한 뒤 동의를 얻지 않고 추가 앱이 다운로드되도록 할 수 없습니다.

  • 투명성을 확보합니다. 명시된 목적에 부합하지 않는 경우 특정 앱이 다른 앱이나 다른 앱의 바로가기를 제거하거나 교체해서는 안 됩니다. 삭제는 명확하고 완전하게 이뤄져야 합니다. 앱은 기기 OS나 다른 앱의 메시지를 모방해서는 안 됩니다.

Google Play를 통해 배포되는 앱은 개발자 프로그램 정책개발자 배포 계약의 추가 요구사항을 준수해야 합니다.

문제해결

사이트 또는 애플리케이션이 위의 가이드라인을 준수하는지 확인한 다음 보안 문제 보고서에서 검토를 요청할 수 있습니다.

모바일 애플리케이션에 경고가 표시되면 여기에서 앱 인증 및 이의 제기에 관해 알아보세요.

 

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?