`반디집보다 속도 빠른 압축 프로그램 바이럴한다` 는 쓸때 큰 주의를 해야한다

./700841182 이 글 보고 정적분석 하고나서 정리함 킹집(KingZip) 써도 되나? 지금 1.6.2 버전 자체는 안 위험함. 코드 자체는 깨끗함. 다만 만든 사람 전작이 광고 PUP 끼워팔기로 한 번 터졌던 사람이라 새 버전 나올 때마다 의심하고 보는 게 맞음. 그게 끝. 1. 지금 위험한 프로그램이냐? = 아님 설치 파일(kingzip_setup_x64.exe, 5.26MB) 정적 분석 돌려봤음. 결과 깨끗함. NSIS 인스톨러 풀어보니 정상 파일들만 들어있음. KingZip.exe, kz.exe(CLI), 쉘 확장 DLL, 7z.dll, 7z.sfx, MSIX 패키지. 끝. EV 코드 서명 유효 — DigiCert G4 EV Code Signing 체인. 타임스탬프 포함. 위변조 없음. 네트워크 트래픽 — kingtools/api/kingzip/v1/checkUpdate 한 군데만 호출함. 그것도 메뉴 > 업데이트 확인 눌렀을 때. 백그라운드 비콘 없음. 텔레메트리 없음. 수상한 import 없음 — 클립보드 후킹 X, 브라우저 데이터 접근 X, 프로세스 인젝션 X, 자동 시작 X, 서비스 등록 X, 스케줄 작업 X. 속도는 진짜 빠름 — ISA-L(인텔 SIMD 가속 DEFLATE), zlib-ng, 자체 ZIP 파서, 3단 파이프라인(Read|Decomp|Write 동시 진행), 멀티 라이터 스레드까지 깔려있음. 12GB ZIP 풀기 기준 7-Zip의 6배라는 마케팅이 과장이긴 한데 거짓말은 아님. ZIP 한정으론 진짜 7-Zip보다 빠름. 번들 X — 인스톨러에 다른 프로그램 같이 까는 코드 없음. 옵션 체크박스 트릭도 없음. 즉 1.6.2 빌드 자체는 광고 없고 트래커 없고 무료고 빠른 거 다 사실임. 거짓말은 아님. 2. 그럼 왜 조심하라고 하냐? = 추적해보면 이야기가 다름 2.1 시작은 EV 인증서가 이상해서 서명자 정보 까보니까: CN=MediaClick Inc. O=MediaClick Inc. L=Gangnam District, S=Seoul, C=KR SERIALNUMBER=110111-4188903 근데 킹툴즈 사이트 풋터엔 `주식회사 하이퍼포커스 / 사업자번호 768-81-03738`이라고 박혀 있음. 회사 이름이 다름. 어?? 2.2 두 회사 다 실재함 주식회사 하이퍼포커스 (HyperFocus) 사업자번호: 768-81-03738 대표이사: 김갑종 설립일: 2025년 8월 6일 (9개월차 신생사) 서울 강남구 테헤란로 322, 동관 1310호 사업영역: AI 기반 SI/외주 개발 (자기 소개) 자체 카피: `200+ 프로젝트, 50+ 기업 고객, 15년 경력` ← 9개월 회사가 쓸 카피는 아님. 대표 개인 경력을 회사 카피로 둔갑시킨 흔한 패턴. 주식회사 미디어클릭 (MediaClick) 사업자번호: 220-87-88066 대표: 현정원 (공개 기록 기준) 서울 강남구 역삼동 707-1 두꺼비빌딩 15층 1511호 = 테헤란로 310 대표 제품: 유플레이어 (YouPlayer) 주소 봐봐. 테헤란로 322 vs 테헤란로 310. 같은 거리 옆 블록임. 우연 아님. 2.3 결정적: 클리앙에서 본인이 시인함 킹플레이어 첫 공개글(클리앙 PDS, 2026-02-14, 닉네임 `자랑스러운`)에서 한 사용자가 댓글로 묻는다: `유플레이어 개발자시군요. 그 때도 유용하게 잘 썼습니다. 킹플레이어도 잘 쓰겠습니다.` 개발자 답글: `@참슬님 유플레이어도 사용해주셨다니 반갑네요. 그때보다 지금은 개발 실력이 더 좋아졌습니다. ㅎㅎ` → .clien/service/board/pds/19144142 자기 입으로 인정함. 같은 사람이 만든 거 맞음. 2.4 그럼 유플레이어가 어떤 놈이었냐 표면은 좋음: 유튜브 광고 제거 + 4K/8K/16K 다운로드 + PIP 클리앙 공개글 조회수 17만, 인기작 본인 마케팅: `100% 완전 무료입니다. 학교든 회사든 그냥 누구든 쓰세요. 뭐라고 안합니다.` → 이거 지금 킹툴즈 카피랑 토씨 거의 똑같음. `개인·기업·학교·관공서 누구나 라이선스 구매 없이 사용 가능`. 같은 패턴. 근데 실제로는? 2.5 CleanFind 사건 나무위키 r12 (2024-08-29) 시점부터 기록되어 있던 내용: `CleanFind 라는 프로그램이 이용자 동의 없이 같이 설치되거나, 설치 이후에 어느 시점에 설치되는 것으로 보인다. 일부 백신이나 랜섬웨어 감지 프로그램에서 탐지되고 있다.` CleanFind가 뭐 하는 놈이냐: `해당 프로그램이 있을 경우 admin.smartbridge 라는 사이트를 통해 자동으로 브라우저에 쿠팡 즐겨찾기가 추가되는 증상이 확인된다.` `깨끗하던 컴퓨터가 클릭하면 G마켓 뜨고 하더만 이상해서 찾아봤더니 cleanfind 라는 광고프로그램 끼워팔기하네` 전형적인 한국형 PUP 끼워팔기: 사용자 동의 없이 사일런트 동봉 설치 (또는 시간차 다운로드) 브라우저에 쿠팡 즐겨찾기 강제 주입 클릭 트래픽을 G마켓 같은 광고로 우회 → 어필리에이트 수익 유플레이어 제거해도 CleanFind는 안 지워짐. 따로 지워야 함. 일부 백신/안티멀웨어가 PUP/Adware로 분류 2.6 커뮤니티 폭발 + 본인에게 직격 다른 클리앙 글 댓글창에서 한 사용자가 닉네임 직접 박고 추궁: `@자랑스러운님 님이 만드신 유플레이어 광고툴인지 랜썸웨어인지 강제설치되는건 뭔가요?? CleanFind 강제설치되고 난리인데요` → .clien/service/board/park/18918872 DCInside 여러 갤러리(전자사전갤, 시계갤, 전자갤, 베토벤바이러스갤 등)에서 같은 날(2025-09-26) 동시에 폭로글 도배: `유튜브 광고차단에 완전무료라고 표방하지만 실상은 cleanfind 라는 광고프로그램을 끼워넣는 시스템 / 나무위키에서 관련 정보도 삭제해가며 숨기는중 / 차라리 당당하게 하던지 음습하게 하는꼴보고 진저리남 / 클리앙에 올라온 글도 딱보니까 바이럴임` → gall.dcinside/board/view/?id=edictionary&no=23849 나무위키 편집 이력 보면 r12부터 r40까지 CleanFind 언급 문단이 추가→삭제→재추가→재삭제 반복됨. 발각 무마 시도와 사용자들이 다시 적어 넣는 공방이 있었던 흔적이야. 멀웨어 제로 마이너 갤러리에도 직접 신고 글이 올라왔음: `유플레이어 이시키들 광고넣네` → gall.dcinside/mgallery/board/view/?id=malzero&no=191 2.7 마지못한 정리 — 자발적 정정 아님 `2025년 2월 기점으로 선택적 설치할 수 있음이 확인되었다` — 강제 번들 → 옵션으로 전환 `2025년 05월 31일 Malware Zero를 실행하면 해당 프로그램을 삭제하고 있다` — 한국 대표 PUP 제거 툴 Malware Zero가 CleanFind를 차단 대상으로 공식 등재 → namu.wiki/w/%EC%9C%A0%ED%94%8C%EB%A0%88%EC%9D%B4%EC%96%B4 1년 가까이 강제 번들로 가다가 발각 + 멀웨어 분류 + 커뮤니티 화력 받고 마지못해 옵션화한 거. 자발적 윤리 결정 아님. 2.8 그리고 3개월 뒤... 새 회사 타임라인 정리해보면 그림이 나옴: 2024년경 유플레이어 (미디어클릭) 인기 상승 2024-08-29 나무위키에 CleanFind 강제 번들 첫 기록 2024~2025 클리앙/DC/블로그 폭로 누적 2025-02 CleanFind 강제 → 옵션 전환 (마지못해) 2025-05-31 Malware Zero 공식 차단 2025-08-06 ★ 하이퍼포커스 신설 ★ 2026-02-14 킹플레이어 클리앙 공개 (광고/번들/추적 없음 마케팅) 2026-04~ 킹집 출시 미디어클릭이 망신당한 직후 같은 개발자가 새 회사 차림. 평판 리셋용 분사로 보는 게 자연스러움. 한국 SI/유틸 업계에서 흔한 패턴이긴 함. 3. 근데 인정할 건 인정 까기만 하면 공정하지 않으니까: 기술적으로는 진짜 능력자임. bit7z + ISA-L + libcurl + 자체 ZIP 파서 + 3단 파이프라인 = Win32 베테랑 솜씨. 반디집/7-Zip보다 ZIP 압축해제 빠른 거 진짜임. 클리앙에서 피드백 응대 진짜 빠름. 한 유저가 `MX Master 3 가로 스크롤 지원해줘요` 했더니 `제가 해당 마우스가 없어서 MX Master 4를 직접 주문했습니다!!` 하고 다음 주에 패치 올림. 책임감 있는 측면 분명히 있음. 현재 킹집 1.6.2는 정적 분석으로 진짜 깨끗함. 약속은 (적어도 이 빌드에선) 지키고 있음. 4. 결론 + 권장 `지금은` 깨끗하다. `전작은` 1년간 PUP 끼워팔기였다. 둘 다 사실임. 쓰지 말라는 게 아님. 다만: 현재 1.6.2 버전은 사용 OK 메이저 업데이트마다 의심하고 보기 — 같은 패턴 재현 가능성이 일반 개발자보다 유의하게 높은 사람임 인스톨러 옵션 체크박스 매 페이지 천천히 읽기 — 미디어클릭이 유플레이어에서 한 짓이 정확히 그거였음 Malware Zero / AdwCleaner로 가끔 점검 자동 업데이트는 끄는 거 추천 — 새 버전은 `검증 후 사용` 원칙 요약하면 — `이 사람을 한 번 봐주는 건 가능한데, 두 번은 봐주지 말자` 정도. 의심하면서 쓰는 게 맞고, 그 의심엔 근거가 있음. 이상. 정적분석 다 하고 조사한거 바탕으로 ai로 정리만 함