최근 국내 안티 바이러스(Anti-Virus) 제품을 통해 정밀 검사를 하는 과정에서 "C:\Windows\System32\KCPPaymentUX.dll" 파일(SHA-1 : 82dbb7b5ec485212a4b7cba7362928da85084c58)을 진단하는 이슈가 발생하고 있습니다.
- AhnLab V3 : Win-AppCare/Vulnera.126672
- Hauri ViRobot : Exploit.126672
- nProtect : Abuse-Worry/W32.Agent.126672
- 알약(ALYac) : Misc.Agent.126672
해당 파일에 대한 국내외 보안 제품의 진단 여부를 확인해보면 해외 제품에서는 진단이 이루어지지 않고 있으며, 국내 보안 제품은 일괄적으로 진단이 이루어지고 있는 것을 확인할 수 있었습니다.
그렇다면 무슨 이유로 국내 보안 제품에서만 "C:\Windows\System32\KCPPaymentUX.dll" 파일에 대해 진단이 이루어지고 있는지 정보를 수집해 보았습니다.
KCPPaymentUX.dll 파일은 "(주)한국사이버결제 통합결제 UX"라는 온라인 결제 관련 ActiveX를 통해 과거부터 다양한 인터넷 쇼핑몰 등을 통해 설치되고 있는 정상적인 KCPPaymentUX Module 파일입니다.
진단된 KCPPaymentUX.dll 파일(1.0.57097.0 버전)은 2012년 11월 7일경 배포가 시작되었으며, 유효한 "KCP CO.,LTD." 디지털 서명을 가지고 있습니다.
그런데 과거 구버전인 KCPPaymentUX.dll 파일(1.0.57097.0 버전)은 보안 취약점을 가진 것으로 확인되어 악의적인 공격에 이용될 수 있는 문제가 발생함에 따라 최근부터 업체의 요청에 따라 국내 보안 제품에서 진단이 이루어지고 있는 것으로 파악됩니다.
실제 현재 "(주)한국사이버결제 통합결제 UX" ActiveX를 통해 설치되는 "C:\Windows\System32\KCPPaymentUX.dll" 파일(SHA-1 : 3c9b1c31eb141e9f0c0cbf6dcbd86bea817ce91c)은 2014년 4월 22일부터 배포가 된 최신 버전(1.0.57099.0)으로 문제가 되는 보안 취약점 문제가 해결된 것으로 보입니다.
그러므로 기존에 보안 취약점을 가진 KCPPaymentUX.dll 파일(1.0.57097.0)이 설치된 PC 환경의 경우 사용자가 결제를 위해 ActiveX를 설치하지 않는 한 자체 업데이트가 불가능하다는 점에서 보안 제품을 통해 삭제를 진행하고 있는 것 같습니다.
그러므로 해외 보안 제품을 사용하는 사용자의 경우에는 보안 취약점을 가진 KCPPaymentUX.dll 파일(1.0.57097.0)이 지속적으로 유지될 수 있으므로, "C:\Windows\System32\KCPPaymentUX.dll" 파일이 존재한지 체크하여 파일 버전이 최신 버전(1.0.57099.0)인 경우에는 수동으로 삭제하시기 바랍니다.
참고로 (주)안랩(AhnLab) 보안 통계를 확인해보면 KCPPaymentUX.dll 파일과 마찬가지로 보안 취약점을 가진 정상적인 구버전 파일을 "Win-AppCare/Exploit" 진단명으로 추가하여 삭제하는 사례가 많은 것으로 보입니다.