본문 바로가기

벌새::Security

자동화에 따른 악성코드 오진 사례

어제 이 시간쯤에 국내 무료 백신 알약(ALYac)이 사용하는 안티 바이러스 엔진 BitDefender에서 네이버(Naver) 메인의 특정 SWF 파일을 오진하는 사례가 있었습니다.

해당 진단은 새벽에 알약의 긴급 업데이트를 통해 해당 오진에 대한 문제를 해결하였지만, 문제를 일으킨 BitDefender 엔진 자체에서는 해당 문제를 해결한 것이 아닙니다.

+24 시간이 흐른 시점에서 해당 SWF 파일에 대한 진단이 어떻게 변경되었는지 재확인을 해 보았습니다.

그림과 같이 당시 BitDefender 제품에서만 진단하던 Trojan.SWF.Downloader.Gen 진단이 Ikarus 엔진에서 진단에 추가가 되었고, Ikarus 엔진을 이용하는 a-squared 제품에서도 동일하게 오진을 하고 있는 것을 확인할 수 있었습니다.

Ikarus 엔진은 각종 테스트에서 극단적인 경향을 보이는 제품으로 진단에서 매우 높은 진단을 보이면서도 오진에서도 매우 높은 오진을 자랑하는 제품인데, 이번 사례와 같이 타 보안제품에서 특정 샘플에 대해 진단을 일정 시간 지속을 하면 해당 진단명을 근거로 분석 과정을 뺀 자동화 방식으로 진단에 추가하는 경향이 강한 제품으로 생각됩니다.

물론 국내외 보안제품들이 기하급수적으로 늘어나는 악성코드에 대한 대응 방식으로 자동화 진단 추가를 실시하고 있으며, 그로 인해 과거에 비해 오진이 늘어나는 문제가 늘어나고 있습니다.

새로운 변종에 대한 빠른 대응력도 중요하지만 오진으로 인한 피해 역시 단순하게 넘어갈 문제는 아니므로 이에 대한 대응도 빨라야 하며, 저렇게 무턱대로 진단하는 방식을 통해 각종 테스트에서 상위권 순위를 차지하는 것도 아이러니한 것 같습니다.

재미있는 것은 이번처럼 BitDefender의 Gen 진단에서 오진이 나온 것을 확인하고 수정을 하여도 Ikarus에서는 상당히 오랜 기간 해당 샘플에 대한 오진은 연결이 된다는 점입니다.

시험 시간에 옆 친구의 답안지를 몰래 보고 베꼈는데, 그 친구가 답안을 고칠 경우 보고 쓴 학생은 그것을 몰래 그대로 답안지를 제출하는 것과 동일하다고 보시면 되겠죠.