| <colcolor=white,white> {{{#!wiki style="margin: -14px -10px; word-break: keep-all" | <tablewidth=90%><tablebordercolor=black> | KMSAuto Net KMS오토넷 | }}} | |
| OS | <colbgcolor=white,white><colcolor=black,black>윈도우 | |||
| 개발 | Ratiborus | |||
| 링크[1] | ||||
1. 개요
KMSAuto Net은 마이크로소프트 윈도우즈, 마이크로소프트 오피스를 허위로 정품인증해주는 크랙 프로그램이다. 다른 정품인증 크랙 프로그램들도 있지만 가장 많이 사용하고 있는 프로그램이다.KMS(Key Management Service, 키 관리 서비스)를 시뮬레이션해 정품인증을 받은 것으로 위변조하는 원리로 작동된다. KMS는 회사, 학교 등의 내부 인트라넷 안 인증 서버를 두어 인트라넷에 있는 컴퓨터들에게 사용권을 부여해주는 기능으로 이를 이용해서 사용자 컴퓨터에 KMS 인증 서버를 구축하고 무한히 인증하는 방식으로 동작한다. 작업 스케줄러를 사용하여 30일 마다 재인증을 수행하도록 만들 수 있다.
이 프로그램을 비롯하여 대부분의 정품 인증 크랙 소프트웨어들은 여러 안티바이러스 소프트웨어에서 악성코드로 인식한다. 진단명은 대개 HackTool나 KMS 등이 붙여져 나온다.
2. 악성코드 위장 유포 사건
공식 배포처가 불분명하다는 점을 악용하여, 해당 프로그램으로 위장한 악성코드를 유포해 가상자산을 탈취하는 사례가 발생했다.2025년 12월 28일, 대한민국 경찰청 국가수사본부는 KMSAuto로 위장한 악성 프로그램을 유포해 17억 원 상당의 가상자산을 가로챈 리투아니아 국적의 해커 A씨(29)를 조지아에서 검거해 한국으로 송환했다고 밝혔다.[2]
범인은 2020년 4월부터 2023년 1월까지 파일 공유 사이트 등을 통해 정품 인증 프로그램인 것처럼 꾸민 악성 'KMSAuto' 파일을 전 세계에 280만 회 유포했다. 이 가짜 프로그램에 감염된 컴퓨터는 '메모리 해킹' 기법의 표적이 되었다. 사용자가 가상자산을 전송하기 위해 지갑 주소를 복사·붙여넣기 하는 순간, 악성코드가 이를 감지하여 수신 주소를 해커가 지정한 지갑 주소로 바꿔치기하는 방식이다.
2020년 발표된 안랩 ASEC 분석에 따르면 사용자들은 윈도우 정품 인증을 목적으로 인증 툴을 사용하지만 실제로는 인포스틸러 악성코드에 의해 웹 브라우저, FTP 클라이언트, 지갑 주소를 포함한 다수의 사용자 정보들이 공격자에 유출될 수 있으며, 다운로더 기능을 가진 Vidar의 특성 상 추가 악성코드가 다운로드되어 설치될 수 있다.
이 수법으로 인해 전 세계 3,100여 개 지갑에서 8,400여 회에 걸쳐 총 17억 원의 피해가 발생했으며, 이 중 한국인 피해자도 8명이 확인되어 약 1,600만 원의 피해를 입은 것으로 드러났다. 경찰은 2020년 8월 비트코인 송금 중 주소가 바뀌어 피해를 입었다는 신고를 받고 수사에 착수하여 인터폴 및 해외 법집행기관과 공조해 범인을 검거했다.
[1] KMSpico를 포함한 kms인증기는 공식 웹사이트가 없다. 공식 사이트로 위장한 바이러스 배포 사례들이 왕왕 나타나고 있으니 주의해야 한다.[2] "복제 윈도우 쓴 이들 코인 17억원 가로채" 유럽 해커 검거, 한국 송환, 헤럴드경제, 2025-12-28