[문스랩닷컴] 삶에는 왕도가 없습니다

강력한 안티스팸 기능으로 중무장한 지메일(Gmail)에서 자사의 애드센스(AdSense) 광고 메일을 스팸으로 분류하는 아주 어이없는 일이 발생하네요.

국내에서는 그리 큰 영향력이 없지만, 외국에서 AVG는 나름대로의 시장 점유율을 가지고 있는 업체입니다.

요즘 안티바이러스 업계의 굴욕(!)이 계속되고 있습니다. 어제 그제에는 무료백신으로 유명한 어베스트!에서 엑셀 파일에 관련된 오진(오탐)이 나오기도 했습니다. 아래 자료를 참고하세요.

http://avast.co.kr/409

다만 엑셀 파일에 대한 것이어서 일반적인 피해는 적은 편입니다만, 이번에는 카스퍼스키 제품에서 윈도우의 핵심 파일을 오진하는 사태가 발생한 적이 있습니다. 이에 대한 소식을 전해 드립니다.

지난 12월 19일, 카스퍼스키 안티 바이러스 제품의 제작사인 카스퍼스키 랩에서는 잘못된 시그내처 업데이트로 인해 윈도우 탐색기(explorer.exe) 파일을 Huhk-C 바이러스에 감염되었다는 오진을 하게 했습니다. 이로 인해 탐색기 파일을 격리 보관하거나 삭제하는 경우에는 윈도우가 정상적으로 실행되지 않는 사태가 발생하였습니다.

이러한 사실은 카스퍼스키 포럼에서 Carl이라는 사용자가 올린 글을 통해 알려졌으며 수많은 사람들이 이에 대한 댓글을 통해 오진인지 여부에 대한 이야깃거리가 난무했습니다. 오진으로 인해 'explorer 파일을 삭제하는 경우'에 가장 최악의 사태가 발생하는데 이 사용자는 회사에서 네트워크 검사를 통해 삭제하는 바람에 근무 외시간까지 일을 해서 새벽 5시경에 정리할 수 있었다고 합니다.

한편 카스퍼스키 영국(UK) 관계자에 따르면 영국 고객 중에서 이러한 오탐으로 인해 문제가 발생한 경우는 한 회사와 3명의 사용자뿐이었다고 합니다. 또한, 이러한 사태가 앞으로 발생하지 않도록 하기 위해 내부적으로 테스트 시스템을 더욱 향상시킬 것이라고 합니다.

중국에서 유명한 안티 바이러스 업체로 Rising Antivirus의 제작사인 Rising Tech 社는 경쟁 제품인 카스퍼스키가 자사의 프로그램을 바이러스로 오진하는 중대한 6개의 실수를 했다고 주장했다.

이러한 방해로 인해 두 회사 간에 분쟁이 발생해 왔으며 최근 5월달에 카스퍼스키 안티바이러스 제품의 업데이트 이후에 Rising Tech 소프트웨어를 잠재적인 악성 프로그램을 분류해 오면서 시작되었다고 합니다.

이러한 문제점은 카스퍼스키의 바이러스 자동 진단 또는 휴리스틱 진단에서 주로 발생하였으며 이러한 문제가 발생할 때마다 재빨리 문제를 해결했다고 합니다. 하지만, 사실적으로 이러한 문제로 인해 Rsing Tech 소프트웨어가 영향을 받는 것을 자명한 사실일 것입니다. 특히, 두 제품을 모두 설치하여 사용하는 사용자에게는 어느 한 제품에서 이러한 문제가 발생하는 경우에는 Rising Tech 제품이 업데이트를 진행하지 못하는 사태에 이르게 한다고 합니다.

특히, Rising Tech는 지난 6개월간 이러한 문제점이 모두 22건이나 발생하였으며 5월 30일 경 카스퍼스키 북경 지사를 고소할 계획이라고 밝혔습니다.

이러한 안티 바이러스 프로그램끼리의 오진은 과거에는 자주 있었지만 최근에는 그리 자주 나타나는 문제는 아닙니다.

참고: 중국 인터넷침해사고 대응센터의 자료

NOD32의 바이러스 시그너처(빌드 2365)에서 웹 페이지를 방문할 때에 바이러스가 감염되었다고 혼동을 주고 있다고 한다. serving-sys.com 사이트의 eBannerMain_62_36.js 스크립트에 Tivso.14a.gen 트로이 목마가 있다고 경고한다. 또한, Pc World, 야후, heise.de 등 다른 많은 웹페이지에서도 동일한 문제가 나타난다고 한다. 문제가 되고 있는 이 스크립트는 NOD32 바이러스 스캐너가 위험하다고 분류하기 때문인데 이는 몇몇 새로운 항목을 포함하기 때문이라고 합니다.

NOD32는 새로운 시그너쳐인 2366을 업데이트하였으며 이러한 오류의 원인은 배너 광고 서버에서 사용된 일반적인 시그내처를 잘못 진단한 것이라고 밝혔다.

기존 빌드 사용자는 가급적 최신 빌드로 업데이트하시기 바랍니다.

바이러스 시그너처 업데이트, 실수로 윈도우 파일을 악성코드로 인식

금요일, 시만텍 안티 바이러스 소프트웨어에서 잘못된 시그너쳐 업데이트로 인해 윈도우의 중요한 파일 2개를 악성코드로 인식하고 이를 처리하는 과정에서 수천대의 중국 PC가 손상되는 일이 발생했습니다.

수천 명의 중국 컴퓨터 사용자들에 따르면, Windows XP SP2의 중국어 버전에서 두 개의 시스템 파일을 "Backdoor.Haxdoor" 트로이 목마로 오진하였다고 알려 왔습니다. 문제를 일으킨 안티 바이러스 소프트웨어는 노턴 안티바이러스, 노턴 360 그리고 노턴 인터넷 시큐리티 등 제품이며, netapi32.dll 파일과 Lsasrv.dll 파일을 격리보관한다고 합니다.

만약 이 두 파일을 삭제할 경우에는 윈도우가 더이상 정상적으로 동작하지 않게 되며, 안전 모드로도 동작하지 않는다고 한 사용자가 alt.comp.anti-virus 뉴스그룹에 포스팅했다고 합니다.

중국 시간으로 늦은 금요일 밤, 중국 인터넷 보안 대응팀(CISRT)는 영문 블로그에 "오늘 노턴 제품을 사용하는 사용자들은 끔찍한 하루가 되었을 것"이라고 포스팅했습니다. 또한, "중국 사용자들에게는 이로 인해 엄청난 문제가 야기되었다"고 전했습니다. 한편, 일부 사람은 이미 7,000 여명 이상이 Rising Antivirus에 PC를 어떻게 복구해야 하는지에 대해 문의했다고 주장했습니다. Rising Antivirus는 홈페이지에 위험을 나타내는 지수가 올해 들어 가장 높은 수치를 기록했다고 합니다.

시만텍은 이러한 시그너쳐 업데이트 버그를 인지하고 미국 시간으로 금요일 늦게 새로운 업데이트를 다시 제공하였습니다. 캘리포니아에 위치한 보안 벤더인 Cupertino는 이 문제점은 Windows XP SP2 서비스팩을 적용한 컴퓨터  중 중국어 버전에서만 발생한다고 밝혔습니다.
시만텍은, PC를 재부팅할 경우 정상적으로 부팅되지 않으면, 사용자는 새로 제공되는 시그내처 업데이트를 사용하여 문제를 사용할 수 있다고 밝혔습니다. 하지만,  업데이트를 하고 난 이후에윈도우가 제대로 부팅되지 않는 경우에는 실제 복구하는데 어려움이 있게 되는데 바로 삭제(격리보관)된 두 개의 윈도우 파일 때문입니다. CISRT는 부팅하다가 마지막에는 공포의 파란 화면(Blue Screen of Death)를 보여준다고 합니다. 따라서, 새로운 서명 업데이트로 복구하거나 백업본으로부터 복구할 방법이 없게 됩니다.

시만텍은, 이 문제에 봉착한 사용자들은 컴퓨터를 곧바로 다시 재부팅시키고 윈도우 복구 콘솔을 통해 이전의 상태로 되돌려서 해결할 수 있다고 밝혔습니다. 하지만, XP의 복구 콘솔은 명령행 방식의 인터페이스이기 때문에 사용하기가 쉽지가 않고, 이전에 미리 복구 콘솔을 설치했어야 한다는 단점이 존재합니다.

온라인 포럼에 있는 사용자들은 사용자가 윈도 복구 CD에서 이 두 파일을 복사하는 방법을 추천합니다. 하지만, 대부분의 중국 PC 사용자들은 불법 복사 제품을 사용하기 때문에 복구 CD를 가지고 있는 경우가 많지 않다고 합니다.

중국의 주요 뉴스 채널에서 아침 6시부터 이러한 문제를 보고했었지만, 시만텍에서는 아무런 언급이 없었다고, Wilders 보안 포럼의 "lnk" 사용자가 확인했다고 합니다.

한편으로 이러한 문제가 이전에도 발생했었는데, 지난 3월 마이크로소프트에서 새롭게 보안 솔루션으로 제공하는 Windows Live OneCare에서 아웃룩 이메일 파일을 삭제하는 문제가 있었습니다. 그리고 2년 전에는 Trend Micro에서 잘못된 바이러스 업데이트를 제공하는 바람에 수천대의 컴퓨터들이 느려지는 경우도 있었다고 합니다.  세달 전에 안티바이러스 벤더는 사고로 인해 회사에 약 820만 달러의 직접적인 손실을 입힌다고 언급했습니다.

출처: ComputerWorld

야후의 이메일 서비스가 컴퓨터 바이러스에 감염됐다는 시만텍의 경고가 발동됐으나 사실이 아닌 것으로 드러났다.

시만텍의 업데이트된 안티바이러스 소프트웨어는 27일 특정 시점부터 야후 메일 베타 버전으로의 액세스에 대해 경고를 발령하고, 야후 웹페이지에서「피브스(Feebs)」가 발견됐다고 보고했다.

그러나 시만텍은 28일 이 경고가 에러 때문에 발생한 것이라고 해명했다.

시만텍 시큐리티 리스펀스 수석 이사 빈센트 위퍼(Vincent Weafer)는 이메일을 통해 “시만텍 안티바이러스 제품이 야후 메일 베타 버전에 대해 잘못된 경고를 발령했다”고 밝혔다.

시만텍이 잘못된 경고 보고를 받은 시점은 최신 안티바이러스 버전을 발송한 이후인 27일 밤부터다. 그러나 위퍼는 시만텍이 27일 밤늦게 오류를 수정한 업데이트 버전을 다시 배포했다고 말했다.

위퍼는 시만텍이 거짓 경고를 봤다는 사용자들로부터 12건의 보고를 받았다고 덧붙이며 “응답시간과 잘못된 경고가 발령된 제품이 얼마 되지 않는다는 점을 감안할 때 이번 사건의 영향은 극히 제한적일 것으로 예측한다”고 밝혔다.

시만텍이 이 사안을 별 문제 아니라는 식으로 넘어가고 있는 사이 SANS 인터넷 스톰 센터(Internet Storm Center)는 PC에 나타난 시만텍의 경고를 봤다는 사용자 보고가 상당히 많았다고 밝혔다. 한 CNET News.com 독자는 경고 이메일에서 야후 메일이 해킹을 당한 것 같았다고 적었다.

이러한 에러는 보안 소프트웨어에서 가끔씩 발생한다. MS 윈도우 라이브 원케어(Windows Live OneCare)의 경우 지난해 11월 구글 지메일에 바이러스가 포함돼 있다는 경고를 발령했으며, 지난해 초에는 맥아피의 보안 툴이 엑셀과 다른 합법적인 애플리케이션을 바이러스로 인식하기도 했다.

또 시만텍은 지난해 여름 처치 오브 잉글랜드(Church of England) 소프트웨어 프로그램을 스파이웨어로 규정했다.

이러한 에러는 대개 악성 소프트웨어 규정에 사용되는 규칙인 보안 애플리케이션의 서명 파일을 업데이트하면 수정할 수 있다