본문 바로가기
다이어리

V3 "Trojan/Win32.OnlineGameHack" 오진과 같은 백신 기능 '자동으로 치료하기' 취약점!?

by 깝태 2013. 1. 8.


원본게시글 - http://ris1.tistory.com/92



자동으로 치료하기에 대한 취약점을 경고하는 제 친구 블로그의 글을 읽은적이 있습니다. 그 글에 대한 내용을 중점적으로 한번

제 의견을 포스팅 해보려합니다. 아는건없지만 글을 준비하고 써가면서 알게될께 많을거라 생각되어 좋다고 생각합니다.


먼저 자동으로 치료하기란 기능은 거의 모든 백신에 있는 기능으로 실시간 감시 도중 파일을 새로 다운받거나 중간에 수상한 파일을 백신이

스스로 발견하면 이 파일에 있는 바이러스를 치료할것인지, 아니면 파일을 완전히 삭제해버릴것인지에 대한 메세지가 나타나는데 이럴때

바로 자동으로 치료/삭제하는것을 의미합니다.


1. 백신 프로그램 UI 에 대한 취약점이다!?


 => 일단 백신 프로그램의 UI 에 대한 취약점이라고 할 수는 없을것같습니다. 일단 UI 란 사용자 인터페이스로 단지 어떤 기능을 실행하게 끔 해주는 버튼 역할 이외의 역할로는 보이지 않습니다. 그래서 백신 프로그램 UI의 취약점이라기보다는 오진이나 V3 취약점이 더 적당하다고 생각됩니다.


2. 만약 크래커(Cracker)들이 이러한 기능을 악용해서 백신프로그램에 잘못된 엔진을 업데이트 하도록 크래킹 한다면 백신프로그램은 정상파일을 바이러스로 오진하여 자동으로 삭제할 것입니다. 이러한 이유로 정상파일들이 삭제되면 컴퓨터에 심각한 문제가 발생 하는 것은 당연할 것입니다.


 => 이 부분이 정답이라고 생각됩니다. 근데 칼럼의 글에 대해 평을 한다면, 이러한 오진으로 발생한 사건인 V3 "Trojan/Win32.OnlineGame

Hack" 오진 사건때 많은 피해가 있었습니다. 허나 이 문제는 안랩(전 안철수연구소)의 업데이트 상 문제였지 크래커들의 공격이 아니였습니다. 또 대게 백신의 경우에는 보통 DB 를 이용하여 검사하는걸로 알고있습니다. 그런데 이런 일이 발생하려면 크래커는 안랩의 서버를 크래킹하여 DB에 접속하여 리스트들을 수정해야합니다. 그래서 칼럼을 쓸때 좀 더 넓은 범위에서 글을 쓰기 시작해 이 부분을 파헤쳤으면 좋았을거라는 생각이 듭니다.


3. 오진에 대한 문제를 성급한 일반화.


 => 사실 이러한 오진에 대한 문제는 처음이 아닙니다. 이번 V3 오진 피해가 커 충분히 이런 일을 견주어 보면 크래커에 의한 더 큰 피해가 발생한다고 얘기할 수도 있지만 아직까지는 서버 DB 운영에 대한 자세한 방법은 나와있지 않으므로 이런 서버에 대한 분석글이 좀 더 자세하게 서술 한 후 피해를 서술하면 좀 더 좋았을듯합니다. 단순히 오진으로만 따진다면 비트디펜더와 어베스트 백신도 오진에 대한 문제로 피해가 좀 있었습니다. 게다가 그런 일이 있은 후로 안랩은 http://blog.naver.com/oks7851/80126255611 다음과 같은 조취를 취했으며 보안적인 문제보단 시스템 내구성에 대한 문제를 더욱 더 신경쓴것으로 보입니다. 앞서 백신의 실시간 기능, 자동으로 치료하기의 원리, 서버와 관련된 기능을 좀 더 자세하게 서술하고 글을 썼으면 좋지 않았을까 합니다.


글이 잘 나와서 그런지 기술적으로는 물론 어떤 내용도 제 의견을 견줄만한곳이 별로 없습니다. 

이 게시글은 단순히 제 생각이고 또 이상한 점이 있다면 댓글 달아주시면 감사하겠습니다.

원본게시글 - http://ris1.tistory.com/92


새로운 생각을 해보게하는 좋은 글이였다고 생각합니다ㅏ ㅏ 좋지않은글 읽어주셔서 감사합니다.