정상파일 잡는 돌팔이 백신 사례

출처 : http://www.zdnet.co.kr/news/network/security/0,39031117,39167424,00.htm

 

K사는 최근 전 직원 PC에 새 백신을 보급한 후 업무가 마비됐다.
요즘 유명세를 떨친다기에 들인 새 백신이 K사 업무파일을 악성코드라며 삭제했기 때문이다.
덕분에 K사는 해당 백신회사 지원팀을 불러 문제해결에 한창이다.

이렇게 믿었던 백신의 배신사례가 종종 나타나고 있다.
심지어 윈도우 실행파일을 삭제해 시스템을 망가뜨리는 백신도 있다.

이런 오진 원인은 크게 두 가지로 설명된다.
첫째, 겉으로 보이는 탐지율을 높이기 위해 정상파일을 악성코드로 진단하는 고의적 악질 행위가 있다.
최근 검찰에 기소된 ‘닥터바이러스’의 경우 이런 식으로 92억원을 뜯어냈다는 혐의로 재판중이다.
닥터바이러스뿐 아니라 근래 우후죽순 생겨나는 생소한 백신들 대부분이 네티즌들로부터 같은 의심을 사는 것이 사실.

둘째는 검증된 유명백신이 일으키는 문제인데, 사용자 대부분이 믿고 쓰기에 그 심각성이 더 크다.
바이러스블러틴을 비롯한 각종 국제인증을 줄줄이 획득한 백신도 종종 오진을 남발한다.
특히 외산백신의 경우 낮선 한국 파일에 칼을 뽑는 경우가 있다.
이는 백신에 악의성이 있는 것이 아니라 악성코드 판단 기준이 저마다 다른데서 나온 결과이다.

아래 사진은 삼성전자 원격서비스 프로그램 파일을 백신들이 어떻게 진단하는지 ‘바이러스토탈’로 3일 조사한 것이다.
보다시피 AntiVir(독일), 비트디펜더(루마니아), 닥터웹(러시아), 이카루스(오스트리아) 등 유명 백신들이 해당 파일을 악성코드로 분류하고 있다.

Array

◇사진설명 : 빨간 줄로 표시된 유명백신들이 정상파일을 악성코드로 분류하고 있다.

Array

◇사진설명 : 삼성전자 원격서비스 프로그램 다운.
특히 닥터웹은 이런 문제로 여러 악성코드 연구모임에서 원성을 사고 있다.
얼마 전에는 엔젤인코더와 넥슨 파일을 악성코드로 오진해 ‘넷심’을 크게 잃었다.
게임왕국 우리나라서 넥슨 파일을 오진한 것은 문제가 크다.

Array

◇사진설명 : 닥터웹의 넥슨파일 오진 모습. (제공 : 네이버 카페 ‘바이러스 제로 시즌2’)
네티즌 사이서 한창 인기 몰이 중인 카스퍼스키도 이런 망신을 못 피했다.
지난 2월 카스퍼스키 엔진을 탑재한 네이버 ‘PC그린’이 네이버 웹사이트를 악성코드 ‘Virus.JS.Iframer.a’로 진단한 것.
결국 네이버 백신이 네이버를 잡은 어이없는 해프닝으로 남게 됐다.

물론, 백신기업들도 이미지 하락을 우려해 이런 문제를 해결하려 하지만, '오진률 제로'는 쉽지 않은 일이다.
때문에 백신의 검색결과도 다시 한번 의심해보는 사용자 주의가 강조되고 있다.
특히 백신진단 후 무조건 치료버튼을 누르는 것은 금물이다.

한 백신업계 관계자는 “치료버튼을 누르기 전에 진단목록에 있는 파일이 어떤 것인지 반드시 확인해야 한다”며 “웹상에서 알려진 높은 탐지율을 무조건 맹신하면 안된다”고 조언했다. @

바이러스토탈 : 특정 파일을 웹에 올리면 각종 백신으로 검사한 후 결과 값을 보여주는 사이트. 한국어 서비스는 http://www.virustotal.com/kr/에서 받을 수 있다.

 

 

잘 모르겠다.. 싶은 분은 그냥 쓰면 된다.

정말 악성코드가 아닌 경우 직접 회사에서 각각 백신 회사와 업무협조를 하기 때문에, 회사가 없어진 경우가 아니고서야 문제될것이 없다.

그냥 피드백 한번 해주면 된다. 악성코드가 우후죽순처럼 쏟아지는 이마당에, 백신 설치 안할수도 없는노릇 아닌가.