울지않는벌새 : Security, Movie & Society

델파이 개발 환경을 노리는 Virus.Win32.Induc.a

벌새::Security
컴퓨터 프로그래밍 언어 델파이 환경을 노리는 악성코드 Virus.Win32.Induc.a (Kaspersky)의 유포가 최근 국내외에 많은 문제를 낳고 있는 것으로 보입니다.

기술적인 부분은 보안업체의 분석글을 참고하시면 될 것이며, 최근 Virus.Win32.Induc.a 악성코드의 발견에 대해 몇 가지 살펴보도록 하겠습니다.

먼저, 현재 국내에서 제작된 온라인 음악, 핸드폰, 검색 도우미 관련 프로그램 등 다수의 프로그램 설치 파일이 개발 환경에서 감염되어 사용자에게 제공하는 파일 내부에 감염된 형태로 전파가 이루어지고 있습니다.

특별히 해당 바이러스는 사용자 입장에서는 악의적인 동작이 발견되고 있지 않지만 조만간 변종의 출현을 통해 다른 형태로 발전할 가능성이 있어 보입니다.

예를 들어 현재 공개 자료실에서 배포되는 일부 델파이로 제작된 프로그램 중 그림과 같이 8월 6일에 업로드된 설치 파일의 경우 감염된 파일로 진단이 이루어지고 있습니다.

감염 파일 진단 정보

해당 프로그램은 이 부분을 확인하고 8월 19일에 수정판을 배포하여 현재 깨끗한 파일로 교체가 된 상태입니다.

이런 점을 본다면 실제 델파이 환경을 노리고 유포가 시작된 시점은 7월 또는 그 이전이 될 수 있고, 보안업체에서 Virus.Win32.Induc.a 진단명을 통해 진단이 시작된 시점은 최근에 와서야 확인이 된 것으로 보입니다.

사용자 입장에서는 제작사가 제공하는 설치 파일이 델파이 도구를 통해 제작되었는지 확인하기 힘들기 때문에 현재로서는 공개 자료실 뿐만 아니라 제작사 홈페이지에서 제공하는 프로그램의 설치 파일을 이용할 경우 매우 주의가 요구되고 있으며, 만약 해당 악성코드에 대한 진단을 하는 프로그램을 발견하였을 경우에는 해당 제작자에게 진단 내용을 알려서 수정을 하도록 해야 할 것입니다.

어떤 이유로 이번의 악성코드가 특정 개발 환경을 노리고 감염을 시켰는지는 알 수 없지만 개발자 입장에서는 프로그램 개발시 자신의 환경이 보안상 문제가 없는지 점검을 하는 습관도 필요해 보입니다. 이는 비단 이번 악성코드 뿐 아니라 과거 설치 파일이 악성코드에 감염된 채로 배포되는 사례가 있었던 기억이 있기에 주의가 요구됩니다.

해외 보안업체 Avast의 발표 자료에 의하면 12시간만에 약 20만개의 감염된 파일을 발견했을 정도로 폭넓게 유포된 것을 확인할 수 있으므로 개발자는 자신이 배포하는 파일에 대한 설치 파일을 재확인할 필요가 있으며, 사용자는 신뢰할 수 있는 보안제품을 이용하여 정밀 검사를 할 필요가 있습니다.

특히 설치 파일 단위에서 실행 압축으로 인하여 보안제품에서 진단을 못하는 경우가 있으므로 실제로는 사용자 입장에서는 설치된 파일에 대한 점검이 필요하며, 진단된 파일의 치료는 삭제가 아닌 변조된 파일의 수정이 있어야 하므로 주의하시기 바랍니다.