https://www.dogdrip.net/700841182

이 글 보고 정적분석 하고나서 정리함

킹집(KingZip) 써도 되나?

지금 1.6.2 버전 자체는 안 위험함. 코드 자체는 깨끗함.

다만 만든 사람 전작이 광고 PUP 끼워팔기로 한 번 터졌던 사람이라 새 버전 나올 때마다 의심하고 보는 게 맞음. 그게 끝.

1. 지금 위험한 프로그램이냐? = 아님

설치 파일(kingzip_setup_x64.exe, 5.26MB) 정적 분석 돌려봤음. 결과 깨끗함.

NSIS 인스톨러 풀어보니 정상 파일들만 들어있음. KingZip.exe, kz.exe(CLI), 쉘 확장 DLL, 7z.dll, 7z.sfx, MSIX 패키지. 끝.

EV 코드 서명 유효 — DigiCert G4 EV Code Signing 체인. 타임스탬프 포함. 위변조 없음.

네트워크 트래픽 — https://kingtools.kr/api/kingzip/v1/checkUpdate 한 군데만 호출함. 그것도 메뉴 > 업데이트 확인 눌렀을 때. 백그라운드 비콘 없음. 텔레메트리 없음.

수상한 import 없음 — 클립보드 후킹 X, 브라우저 데이터 접근 X, 프로세스 인젝션 X, 자동 시작 X, 서비스 등록 X, 스케줄 작업 X.

속도는 진짜 빠름 — ISA-L(인텔 SIMD 가속 DEFLATE), zlib-ng, 자체 ZIP 파서, 3단 파이프라인(Read|Decomp|Write 동시 진행), 멀티 라이터 스레드까지 깔려있음. 12GB ZIP 풀기 기준 7-Zip의 6배라는 마케팅이 과장이긴 한데 거짓말은 아님. ZIP 한정으론 진짜 7-Zip보다 빠름.

번들 X — 인스톨러에 다른 프로그램 같이 까는 코드 없음. 옵션 체크박스 트릭도 없음.

즉 1.6.2 빌드 자체는 광고 없고 트래커 없고 무료고 빠른 거 다 사실임. 거짓말은 아님.

2. 그럼 왜 조심하라고 하냐? = 추적해보면 이야기가 다름

2.1 시작은 EV 인증서가 이상해서

서명자 정보 까보니까:

CN=MediaClick Inc. O=MediaClick Inc. L=Gangnam District, S=Seoul, C=KR SERIALNUMBER=110111-4188903

근데 킹툴즈 사이트 풋터엔 "주식회사 하이퍼포커스 / 사업자번호 768-81-03738"이라고 박혀 있음. 회사 이름이 다름. 어??

2.2 두 회사 다 실재함

주식회사 하이퍼포커스 (HyperFocus)

사업자번호: 768-81-03738

대표이사: 김갑종

설립일: 2025년 8월 6일 (9개월차 신생사)

서울 강남구 테헤란로 322, 동관 1310호

사업영역: AI 기반 SI/외주 개발 (자기 소개)

자체 카피: "200+ 프로젝트, 50+ 기업 고객, 15년 경력" ← 9개월 회사가 쓸 카피는 아님. 대표 개인 경력을 회사 카피로 둔갑시킨 흔한 패턴.

주식회사 미디어클릭 (MediaClick)

사업자번호: 220-87-88066

대표: 현정원 (공개 기록 기준)

서울 강남구 역삼동 707-1 두꺼비빌딩 15층 1511호 = 테헤란로 310

대표 제품: 유플레이어 (YouPlayer)

주소 봐봐. 테헤란로 322 vs 테헤란로 310. 같은 거리 옆 블록임. 우연 아님.

2.3 결정적: 클리앙에서 본인이 시인함

킹플레이어 첫 공개글(클리앙 PDS, 2026-02-14, 닉네임 "자랑스러운")에서 한 사용자가 댓글로 묻는다:

"유플레이어 개발자시군요. 그 때도 유용하게 잘 썼습니다. 킹플레이어도 잘 쓰겠습니다."

개발자 답글:

"@참슬님 유플레이어도 사용해주셨다니 반갑네요. 그때보다 지금은 개발 실력이 더 좋아졌습니다. ㅎㅎ"

→ https://www.clien.net/service/board/pds/19144142

자기 입으로 인정함. 같은 사람이 만든 거 맞음.

2.4 그럼 유플레이어가 어떤 놈이었냐

표면은 좋음:

유튜브 광고 제거 + 4K/8K/16K 다운로드 + PIP

클리앙 공개글 조회수 17만, 인기작

본인 마케팅: "100% 완전 무료입니다. 학교든 회사든 그냥 누구든 쓰세요. 뭐라고 안합니다."

→ 이거 지금 킹툴즈 카피랑 토씨 거의 똑같음. "개인·기업·학교·관공서 누구나 라이선스 구매 없이 사용 가능". 같은 패턴.

근데 실제로는?

2.5 CleanFind 사건

나무위키 r12 (2024-08-29) 시점부터 기록되어 있던 내용:

"CleanFind 라는 프로그램이 이용자 동의 없이 같이 설치되거나, 설치 이후에 어느 시점에 설치되는 것으로 보인다. 일부 백신이나 랜섬웨어 감지 프로그램에서 탐지되고 있다."

CleanFind가 뭐 하는 놈이냐:

"해당 프로그램이 있을 경우 admin.smartbridge.co.kr 라는 사이트를 통해 자동으로 브라우저에 쿠팡 즐겨찾기가 추가되는 증상이 확인된다."

"깨끗하던 컴퓨터가 클릭하면 G마켓 뜨고 하더만 이상해서 찾아봤더니 cleanfind 라는 광고프로그램 끼워팔기하네"

전형적인 한국형 PUP 끼워팔기:

사용자 동의 없이 사일런트 동봉 설치 (또는 시간차 다운로드)

브라우저에 쿠팡 즐겨찾기 강제 주입

클릭 트래픽을 G마켓 같은 광고로 우회 → 어필리에이트 수익

유플레이어 제거해도 CleanFind는 안 지워짐. 따로 지워야 함.

일부 백신/안티멀웨어가 PUP/Adware로 분류

2.6 커뮤니티 폭발 + 본인에게 직격

다른 클리앙 글 댓글창에서 한 사용자가 닉네임 직접 박고 추궁:

"@자랑스러운님 님이 만드신 유플레이어 광고툴인지 랜썸웨어인지 강제설치되는건 뭔가요?? CleanFind 강제설치되고 난리인데요"

→ https://www.clien.net/service/board/park/18918872

DCInside 여러 갤러리(전자사전갤, 시계갤, 전자갤, 베토벤바이러스갤 등)에서 같은 날(2025-09-26) 동시에 폭로글 도배:

"유튜브 광고차단에 완전무료라고 표방하지만 실상은 cleanfind 라는 광고프로그램을 끼워넣는 시스템 / 나무위키에서 관련 정보도 삭제해가며 숨기는중 / 차라리 당당하게 하던지 음습하게 하는꼴보고 진저리남 / 클리앙에 올라온 글도 딱보니까 바이럴임"

→ https://gall.dcinside.com/board/view/?id=edictionary&no=23849

나무위키 편집 이력 보면 r12부터 r40까지 CleanFind 언급 문단이 추가→삭제→재추가→재삭제 반복됨. 발각 무마 시도와 사용자들이 다시 적어 넣는 공방이 있었던 흔적이야.

멀웨어 제로 마이너 갤러리에도 직접 신고 글이 올라왔음:

"유플레이어 이시키들 광고넣네"

→ https://gall.dcinside.com/mgallery/board/view/?id=malzero&no=191

2.7 마지못한 정리 — 자발적 정정 아님

"2025년 2월 기점으로 선택적 설치할 수 있음이 확인되었다" — 강제 번들 → 옵션으로 전환

"2025년 05월 31일 Malware Zero를 실행하면 해당 프로그램을 삭제하고 있다" — 한국 대표 PUP 제거 툴 Malware Zero가 CleanFind를 차단 대상으로 공식 등재

→ https://namu.wiki/w/%EC%9C%A0%ED%94%8C%EB%A0%88%EC%9D%B4%EC%96%B4

1년 가까이 강제 번들로 가다가 발각 + 멀웨어 분류 + 커뮤니티 화력 받고 마지못해 옵션화한 거. 자발적 윤리 결정 아님.

2.8 그리고 3개월 뒤... 새 회사

타임라인 정리해보면 그림이 나옴:

2024년경 유플레이어 (미디어클릭) 인기 상승

2024-08-29 나무위키에 CleanFind 강제 번들 첫 기록

2024~2025 클리앙/DC/블로그 폭로 누적

2025-02 CleanFind 강제 → 옵션 전환 (마지못해)

2025-05-31 Malware Zero 공식 차단

2025-08-06 ★ 하이퍼포커스 신설 ★

2026-02-14 킹플레이어 클리앙 공개 (광고/번들/추적 없음 마케팅)

2026-04~ 킹집 출시

미디어클릭이 망신당한 직후 같은 개발자가 새 회사 차림. 평판 리셋용 분사로 보는 게 자연스러움. 한국 SI/유틸 업계에서 흔한 패턴이긴 함.

3. 근데 인정할 건 인정

까기만 하면 공정하지 않으니까:

기술적으로는 진짜 능력자임. bit7z + ISA-L + libcurl + 자체 ZIP 파서 + 3단 파이프라인 = Win32 베테랑 솜씨. 반디집/7-Zip보다 ZIP 압축해제 빠른 거 진짜임.

클리앙에서 피드백 응대 진짜 빠름. 한 유저가 "MX Master 3 가로 스크롤 지원해줘요" 했더니 "제가 해당 마우스가 없어서 MX Master 4를 직접 주문했습니다!!" 하고 다음 주에 패치 올림. 책임감 있는 측면 분명히 있음.

현재 킹집 1.6.2는 정적 분석으로 진짜 깨끗함. 약속은 (적어도 이 빌드에선) 지키고 있음.

4. 결론 + 권장

"지금은" 깨끗하다. "전작은" 1년간 PUP 끼워팔기였다. 둘 다 사실임.

쓰지 말라는 게 아님. 다만:

현재 1.6.2 버전은 사용 OK

메이저 업데이트마다 의심하고 보기 — 같은 패턴 재현 가능성이 일반 개발자보다 유의하게 높은 사람임

인스톨러 옵션 체크박스 매 페이지 천천히 읽기 — 미디어클릭이 유플레이어에서 한 짓이 정확히 그거였음

Malware Zero / AdwCleaner로 가끔 점검

자동 업데이트는 끄는 거 추천 — 새 버전은 "검증 후 사용" 원칙

요약하면 — "이 사람을 한 번 봐주는 건 가능한데, 두 번은 봐주지 말자" 정도. 의심하면서 쓰는 게 맞고, 그 의심엔 근거가 있음.

이상.

정적분석 다 하고 조사한거 바탕으로 ai로 정리만 함