악성코드/악성코드 소식

Induc 바이러스 감염 파일 삭제 소동과 고민할 문제

쿨캣7 2009. 8. 24. 10:10
728x90
반응형

델파일 컴파일하면 생성되는 바이러스인 Win32/Induc 바이러스 소동이 있었습니다.

백신 프로그램에서 일부 감염된 파일을(제품에 따라 모든 감염 파일을) 삭제해 버린 문제가 발생한 겁니다.




해당 바이러스의 진단/치료가 들어가면서 많은 업체에서 문의가 왔고 개발자 모임인 델마당에서도 한동안 이슈가 되었습니다.

http://www.delmadang.com/



 - 델파이 바이러스 ‘백신’ 과잉대응 논란 (디지털데일리, 2009년 8월 23일)
http://www.ddaily.co.kr/news/news_view.php?uid=53343


- 보안뉴스: 변형된 델파이 바이러스 대응책 마련 시급!
http://www.boannews.com/media/view.asp?idx=17550&kind=1

기사 내용의 정확성은 보안뉴스가 잘되어 있습니다.

기사를 읽으면 백신 업체에서 해당 바이러스를 진단에서 제외한 것으로 오해할 수 있지만 절대 백신 업체에서 해당 바이러스를 진단에서 제외한게 아닙니다. 

V3의 경우 진단/치료를 정상적으로하며 실행 압축 파일의 경우 치료를 못해 삭제하는 문제가 있어 실행 압축되어 있을 때만 진단을 제외했습니다.

이전에도 실행 압축 안에 바이러스가 감염된 경우가 있었지만 그 경우에는 소수였기 때문에 삭제를 권장했었죠.
- 프로그램 제작자의 잘못이기도 하구요.

* 생각할 문제

아무래도 새로운 기법을 사용하는 바이러스이다보니 혼란이 있었지만 백신업체, 개발업체(개발자), 고객들이 고민할 문제가 있습니다.

첫째, 악성코드는 악성코드

예전에 정부에서 수사목적으로 백도어를 제작할 때 백신 업체에서 진단해야하는가 논란이 있었던 적이 있습니다. 이때 몇몇 업체는 정부에 협력하기로 했고 수사목적으로 사용되는 백도어도 백도어이므로 진단해야한다고 했습니다. 비슷한 얘기이지만 특정 환경에서만 전파되지만 바이러스는 바이러스이고 백신 업체는 당연히 진단해야합니다.

둘째, 백신에서 진단/치료 기능을 제공

감염된 실행 압축 파일을 삭제 했기 때문에 문제가 발생했지 적어도 V3 를 포함한 여러 백신 업체에서는 바이러스 진단/치료는 정상적으로 이뤄졌습니다.

셋째, 감염된 파일의 삭제는 회사 정책

전통적으로 (지난 20년 간 !) 바이러스에 감염된 파일을 치료가 아닌 삭제를 하는 업체도 있습니다.
이건 회사 정책적인 문제입니다. 주로 외국 업체가 이런 정책을 가지고 있는 경우가 많습니다.

아래는 감염된 파일에 대한 삭제 권고하는 외국 백신 업체의 글입니다.

특히 이번 바이러스의 경우 정상 파일에 바이러스 감염이 아니라 컴파일러에 의해 생성되는 것이므로 감염된 파일을 치료해도 비정상적인 행동을 할 수 있다는 이유로 삭제를 권합니다.


이런 회사 정책에 다른 생각이 있다면 정책 수정을 요구하거나 사용하는 제품을 변경해야겠죠.
(그점에서는 국내 업체가 고객말 잘 듣는다고 생각하지 않나요 ? 저만 그렇게 생각하는건가요 ? 외국은 우리 정책이다하고 끝인 경우가 많은데....)


다만, 백신 업체가 예측하지 못한 점이라면 델파이로 제작하고 실행 압축 프로그램을 이용해 압축 후 고객에게 제공하는 경우가 엄청(!) 많았다는 점입니다. 국내 업체는 문제를 인식하고 실행 압축된 파일은 진단하지 않는 형태로 바로 해결이 가능했지만 바이러스에 감염된 파일의 치료보다는 삭제라는 다른 문화를 가진 제품도 수정될지는 미지수 입니다. (물론 최근에는 바이러스에 감염된 파일을 치료하는 업체들이 많이 증가했습니다.)


넷째, 이번 경우와 같이 실행 압축 파일 내에 바이러스를 포함한 경우 어떻게 처리해야하는가하는 문제도 백신업체는 고민해야 할 것입니다. (삭제를 할지.. 그대로 둘지....) 하지만, 이번 사건이 특이한 경우이고 바이러스 감염된 파일을 삭제 위주로하거나 압축된 내에 있는 바이러스 감염을 굳이 치료할 필요가 없어 그리 크게 논의 되지는 않을 것 같습니다.



--------

마지막으로 적당한 내용이 있네요.

- 델파이 사태, 새로운 보안 위협의 발견 (디지털데일리, 2009년 8월 24일)
http://www.ddaily.co.kr/news/news_view.php?uid=53389

문득 외국 업체들 중에는 '감염 파일 삭제가 우리 정책이다'로 삭제를 고수하는 업체도 있는걸로 알고 있는데..
이럴 때는 말잘듣는(?) 국내 업체가 있는게 좋은게 아닐까 싶네요.







728x90
반응형