본문 바로가기

벌새::Security

Induc 바이러스 출현 1년과 해결 방법

반응형
2009년 8월경 공식적으로 국내외 보안 업체를 중심으로 델파이 환경에서 개발된 소프트웨어 중 원본 파일에 Induc 바이러스 코드가 추가되어 배포되고 있었다는 사실이 공개되면서 알려지게 된 Virus/Win32.Induc 또는 Win32/Induc (안철수연구소 진단명 기준)에 대해 이야기를 해보겠습니다.
 

 

출처 : 안철수연구소(AhnLab) 보안 통계

Induc 바이러스는 2009년 5월경에도 배포가 이루어진 것으로 확인이 되고 있으며, 현재에서도 안철수연구소(AhnLab) 보안 제품에서 진단되는 악성코드 TOP 10에 항상 상위권을 차지할 정도로 광범위하게 사용자 시스템에 감염된 상태로 존재하고 있습니다.

현재 국내 보안 제품의 경우 진단되는 Induc 바이러스에 대해 일부 파일에 대해서는 치료를 통해 문제를 해결해 주지만, 특정 파일(실행 압축 파일)에 대해서는 사용자에 의한 수동 제거를 하도록 안내를 하고 있습니다.

그로인하여 감염된 많은 사용자들은 해당 바이러스를 제대로 치료(제거)하지 못하여 현재까지도 이같은 상위 감염 악성코드로 분류되고 있지 않나 생각됩니다.

 

먼저 Induc 바이러스 진단을 하는 프로그램(파일)이 무엇이냐에 따라 다음과 같이 사용자는 치료를 하셔야 합니다.

첫째, 악성 프로그램(파일)이 제작되는 과정에서 감염되어 사용자 시스템에 설치된 경우

Induc 바이러스로 진단된 파일이 정상적인 특정 소프트웨어가 아닌 실질적으로 악의적 동작을 하는 악성코드인 경우에는 무조건 해당 프로그램은 삭제를 하셔야 합니다.

원래 Induc 바이러스 자체는 시스템에서 문제가 발생하지 않지만, 감염된 파일 자체가 악의적으로 제작된 경우에는 전혀 다른 문제이므로 진단된 파일이 어떤 프로그램인지를 추가적으로 확인하여 반드시 삭제를 하시기 바랍니다.

두번째, 정상적인 프로그램이 개발 환경에서 감염되어 배포가 이루어진 경우

문제는 정상적인 프로그램이지만 해당 프로그램 개발자(업체)가 보안에 신경을 쓰지 않은 관계로 Induc 바이러스에 감염된 상태로 프로그램을 배포한 경우에는 사용자가 해당 바이러스를 치료하여 문제를 해결하였다고 하더라도 분명히 문제가 있다는 점은 잊지 말아야 할 것입니다.(특히 그런 업체가 보안 업체라면 더욱 그렇지 않나 생각됩니다.)

여기서 예를 들어 소개할 프로그램은 방송통신위원회와 KISA에서 보안 업체로 인정을 하고 있는 모 보안 업체의 유해 사이트 차단 프로그램으로 2009년 5월경에 제작되어 배포되던 과정에서 Induc 바이러스에 감염된 사례로 이번과 같이 정상적인(?) 프로그램이 감염된 경우 사용자는 어떻게 문제를 해결해야 하는지 살펴보도록 하겠습니다.

참고로 테스트에서 살펴볼 프로그램은 2.0 버전으로 현재 해당 보안 업체에서는 3.0 버전을 제공하고 있기에 실제 감염된 프로그램을 배포하고 있지는 않은 상태로 추정됩니다. 하지만 여전히 감염된 프로그램 자체에 업체 서버에 보관되어 있기에 문제가 있습니다.

 

[생성 폴더 등록 정보]

C:\Program Files\*Clean
C:\Program Files\WebSrvUpdate

※ 제품명이 노출되는 문제로 인해 일부 항목은 * 처리를 하였습니다.

 

문제의 프로그램이 설치된 환경에서 보안 제품에서는 Win32/Induc 진단명으로 감염된 사실을 표시하고 있으며, 일부 파일에 대해서는 [치료 가능]한 상태이지만, 일부 파일은 [수동 제거]로 표시가 되는 것을 확인할 수 있습니다.

여기에서 치료 가능은 Induc 코드를 제거하여 원본 파일을 유지하는 방식이며, 수동 제거는 사용자가 직접 문제의 파일을 제거(삭제)해야 합니다.

하지만 하나의 프로그램의 동작에 필요한 일부 파일을 수동 제거를 통해 삭제한 경우에는 해당 프로그램 이용시 오류가 발생하므로 사용자는 반드시 해당 프로그램 자체를 삭제해야 문제를 해결할 수 있습니다.

이런 상황에서 사용자는 추가적으로 두 가지를 확인할 필요가 있는데, ① 프로그램 자체가 삭제 기능을 지원하는 경우 ② 프로그램 자체가 삭제 기능이 존재하지 않는 경우 입니다.

예시에서 살펴본 프로그램의 경우에는 프로그램 자체에서 제공하는 삭제 기능을 통해 프로그램을 제거할 수 있습니다.

프로그램 삭제시에는 먼저 사용자 컴퓨터에 설치된 보안 제품의 실시간 감시 기능을 임시로 OFF 상태로 변경을 하시고 프로그램 제거를 하시면 됩니다.

하지만 Induc 바이러스에 감염된 프로그램(파일)이 삭제 기능을 제공하지 않는 경우에는 해당 프로그램 정보를 찾아서 폴더(파일), 레지스트리를 수동으로 찾아 직접 삭제를 해주셔야 문제가 해결됩니다.

여전히 자신의 컴퓨터에서 Induc 진단명으로 진단되는 프로그램이나 파일이 존재하다면 해당 프로그램은 과감하게 삭제를 하시는 것이 옳다고 생각합니다. 설사 해당 프로그램이 유명 업체의 제품이더라도 프로그램 품질 관리를 제대로 하지 못하는 업체는 언젠가는 또 사고를 치게 마련입니다.

728x90
반응형
  • 그때 이후로 왠만한 프로그램은 대부분 버전업된 걸로 아는데 induc으로 진단되는 프로그램들을 아직도 사용하는 사용자들도 문제인 것 같습니다.

  • 제 생각에는 국내 일부 보안 업체가 진단 제외한 것도 하나의 원인인 것 같습니다. 그동안 계속 문제 발견없이 있다가 진단하는 보안 제품으로 갈아타면 발견되다보니...
    아무튼 기존 처리 방식(치료 또는 삭제 후 검역소 이동)을 고수했다면 좋았을텐데, 개발자들의 의견을 우선적으로 받아들이다보 보니 삽질은 현재까지 이어지는 것 같습니다.

    • 사용자에게 피해가 없다는 점에서 그렇게 분류한게 문제인 것 같습니다.

      결국에는 외부에서 코드를 수정하게 한 점은 파일 변조가 분명한데, 너무 자신(개발자) 편의만 고려하고 자신들의 잘못은 반성하지 못하는 것 같습니다.