2009년 12월 3일 업데이트에서 어베스트(Avast!)가 일부 파일을 Win32:Delf-MZG [Trj]로 오진하는 문제가 생겼습니다.

[관련기사]

 - 알집이 바이러스?... 어베스트 백신 진단오류 속출 (디지털데일리, 2009년 12월 3일)
http://www.ddaily.co.kr/news/news_view.php?uid=57000


국내 파트너사도 공지가 올라왔습니다.

- (긴급 공지) AVAST! 트로이 목마 진단에 관한 안내문
http://www.avast.co.kr/notice/587


현재 다음 업데이트에서 오진이 해결되었다고 합니다.

어베스트의 경우 2008년 11월 30일에도 네이트온 및 기타 프로그램을 Win32:Search로 진단했었죠. 하지만, 이런 문제는 비단 어베스트만 일으킨게 아닙니다.

백신 업체들의 주요 오진 사례는 다음과 같습니다.

 
- 2005년 4월 23일 트렌드마이크로 사에서 배포한 패턴 2.594.00에서 시스템 자원을 100% 사용하고 시스템이 느려지고 윈도우 XP 서비스 팩 2 혹은 윈도우 2003 서버에서는 운영이 불가능해질 수 있는 문제가 발생했다.

- 2006년 3월 맥아피 DAT 4715는 마이크로소프트 엑셀, 플래쉬 플레이어(Macromedia Flash Player), 어도베 업데이트 매니저(Adobe Update Manager), 구글 툴바 설치 파일(Google Toolbar Installer)를 악성코드로 진단했다.

- 2007년 5월 18일 시만텍 노턴 안티 바이러스 제품에서 중국어 윈도우 XP 서비스 팩2 파일인 netapp32.dll과 lasass.exe를 Backdoor.Haxdoor로 오진하고 시스템 파일을 삭제해 버려 시스템이 부팅되지 않는 문제가 발생했으며 2008년 7월 10일 안철수연구소는 윈도우 XP 서비스 팩 3의 LSASS.EXE 파일을 악성코드로 진단해 삭제해버려 시스템이 부팅되지 않는 문제가 발생했다.

- 2008년 11월 30일 어베스트!(Avast!)는 네이트온 및 기타 프로그램을 Win32:Search로 진단했다.

- 2008년 12월 8일 알약이 알약에 포함된 AYUpdate.exe를 S.SPY.Lineag-GLG로 진단해 자신이 자신을 진단하는 해프닝도 있었다.

- 2009년 2월 16일 맥아피 바이러스스캔에서 삼성증권 홈트레이딩시스템(HTS:Home Trading System)의 키보드 보안 프로그램을 악성코드로 오진한다.



다른 업체 오진 사건이라 언급 안하려했지만 문제가 좀 심각하고 오진에 대해 잠깐 얘기하려 합니다.

사실 백신 업체에 있어 오진문제는 악성코드 진단 문제 만큼 참 심각합니다. 백신 업체에서는 악성코드 추가도 하지만 오진이 발생한 시그니처의 제거도 매일 하고 있습니다. 다행히 대부분의 오진은 특정 파일에 대해서 발생해 고객의 불편이 한정됩니다.

오진은 크게 정상을 악성으로 분석해 발생시키는 오진과 진단값을 잘못 잡아 악성코드 외에 정상 파일까지 잡아버리는 형태로 나눌 수 있습니다.

이번 사건은 진단값을 잘못 잡아 정상 파일을 악성코드로 진단한 걸로 보입니다. 주로 델파이 파일에서 발생하는걸로 봐서 델파이 파일 공통 영역을 진단으로 잡은 듯 합니다.

정상 파일의 보강 및 오진을 최소화할 수 있는 진단법을 연구해야 할 겁니다.

우스개 소리로 악성코드 분석가 중에 WinRAR SFX 파일을 오진 내보지 않은 사람이 없다고들 하죠. WinRAR SFX 파일의 경우 앞부분에 공통 코드가 붙고 뒷부분에 데이터가 붙기 때문에 분석가들이 앞부분을 진단해서 오진 내기 쉽습니다. 현재는 진단 방법이 바뀌어서 안랩 신입사원의 경우 이런 문제를 일으키기 힘든 구조가 되었지만요.

백신 업체의 골치 거리 오진 문제...
아무쪼록 빨리 문제가 해결되었으면 합니다.

ps.

어제까지 멀쩡하던 정상 파일이 악성코드로 진단되면 오진을 의심해 보시기 바랍니다.

Posted by mstoned7

댓글을 달아 주세요

  1. 물여우 2009.12.03 15:09 신고  댓글주소  수정/삭제  댓글쓰기

    이번에도 그렇고 이전 오진도 그렇고 어베스트는 일반 사용자들이 잘 사용하는 프로그램들을 한방에 잡아주니 오진 문제가 더 크게 보이는 것도 같습니다. 그래도 다행히 해결은 금방 되었네요.

    • mstoned7 2009.12.03 15:23 신고  댓글주소  수정/삭제

      업체 입장에서는 매일 오진이 접수되기 때문에 무감각해질 수 있지만 이럴 때는 참 난감하겠죠. 그런데, 한가지 의아한건 Alwil 사도 엔진 내보내기 전에 정상 파일로 테스트를 해볼텐데 델파이 파일이 하나도 없다는건 조금 이상하네요. 정상 파일에 델파이가 없었거나 QA 프로세스에 문제가 생겨 (신입이나 시스템 이상) 통과된게 아닐까 싶네요. 진실은 저 너머에 ~ 그나저나 체코는 지금 오전 7시인데 야간 근무를 안한다면 분석가와 QA 담당자는 자다가 새벽에 회사로 나왔겠군요... 다 보이네요... TT

    • 물여우 2009.12.03 15:37 신고  댓글주소  수정/삭제

      사건은 꼭 근무 외시간에서 터지는 것 같습니다. @.@

    • mstoned7 2009.12.03 15:46 신고  댓글주소  수정/삭제

      그러게요.. 그런데, 근무 시간에 사건 터지면 또 그만큼 빨리 해결되어서 잘 모르는 경우도 많아요 ㅎㅎ