본문 바로가기

벌새::Life

벌새 보안 사고 : 안철수연구소(AhnLab) V3 365 클리닉 검역소 복원 소동

728x90
반응형
오늘 새벽 안철수연구소(AhnLab) V3 365 클리닉 검역소에 보관 중이던 일부 악성코드 파일들이 사용자 몰래 복원되던 현상으로 인해 놀랐던 일이 있기에 시간 순서대로 정리를 해 보았습니다.

해당 현상은 특정 시스템에서만 발생한 매우 특이한 문제로 보이며, 반복된 현상이 아니므로 더 이상 업체에 문제삼을 것은 없다고 생각하며 기록으로만 남깁니다.(이게 더 무서운건가? )

AhnLab V3 365를 사용하면서 DB 업데이트는 1시간 단위로 자동 업데이트를 설정하여 이용하기에 이번처럼 사용자가 수동으로 스마트 업데이트를 통한 진행을 잘 하지는 않습니다.

하지만 이미 안철수연구소 업데이트 정보에는 2010.07.13.00 업데이트가 이루어진 것으로 나와서 수동으로 업데이트를 진행하였고 정상적으로 업데이트가 완료되었습니다.(업데이트 시간 : 2010년 7월 13일 화요일 00시 46분경)

보통 개인적인 스파이제로(SpyZero) DB 업데이트가 이루어지면 빠른 검사를 통해 확인을 하는 습관으로 인해 빠른 검사를 진행합니다.

일반적으로 빠른 검사에 소요되는 시간은 저사양 컴퓨터로 인하여 5분~10분의 소요 시간이 걸리면 이번에는 00시 50분~01시 02분에 완료된 것으로 표시가 되고 있습니다.

이전 로그(Log) 기록을 살펴보면 다른 빠른 검사보다는 이번에 실시한 빠른 검사에 소요된 시간은 다소 길게 걸린 것으로 보입니다.

당시 검사가 완료되는 시점에서 스크린 샷 확보는 이루어지지 않았지만, 검사가 완료된 시점에서 제시하는 결과에 바탕화면에 존재하다고 표시된 uninstall.exe 파일을 Win-Trojan/Bho.448512 진단명으로 한 건 진단을 하면서 무언가 잘못되었다는 것을 인지하게 되었습니다.

실제 바탕화면에는 uninstall.exe 파일이 존재하지 않았으며 해당 진단에 존재하는 파일은 실제로 검사 과정에서 검역소에 보관 중이던 파일이 [C:\My Download] 폴더에 복원이 되어 있는 상태로 발견이 되었습니다. 하지만 V3 제품에서는 바탕화면 경로로 진단을 하고 치료까지 완료를 하는 상황으로 갔습니다.(당시 제가 치료를 시도했는지 제품의 설정값이 초기화되어 자동 치료가 되었는지 기억이 되지 않는군요.)

이상함을 인지하지 확인한 폴더(C:\My Download)에서는 그림과 같이 11개의 악성코드 파일이 발견되었습니다.

처음에는 제가 어떤 실수로 악성 파일을 실행하여 이런 파일들이 생성된 것이 아닌가 의심하였지만, 파일명은 기존에 제가 인터넷 또는 특정 악성파일을 분석하는 과정에서 확보한 것으로 기억되던 파일이라 검역소를 의심하게 되었습니다.(개인적인 습관상 악성코드는 검역소 처리보다는 휴지통을 통한 삭제를 하는 습관으로 검역소에는 생각보다 적은 파일들만이 존재합니다.)

해당 폴더에 존재하는 파일들은 2010년 6월 19일경부터 7월 4일까지 수집되었던 파일들로 보이며, 7월 13일 00시 58분경에 해당 폴더에 생성되던 점을 대략적으로 추정할 수 있습니다.

00시 50분부터 빠른 검사를 진행하였기에 해당 파일들은 검사 중 검역소에서 사용자 몰래 시스템으로 복원이 이루어졌다고 결론을 내렸습니다.

당시 일부 검역소 파일들이 시스템으로 복원된 상태에서 검역소 내부를 살펴보면 6월 19일부터 7월 4일경의 다수의 보관 중이던 샘플이 사라진 것을 짐작할 수 있습니다.

C:\My Download 폴더에서 발견된 11개의 파일들은 모두 AhnLab V3 365 보안 제품에서 진단을 하는 것을 통해 검역소에 보관 중이었던 파일임을 재확인할 수 있습니다.

이번 사고의 원인은 알 수 없지만 분석 목적으로 특정 폴더에서 처리된 파일들이 아닌 실제 시스템 감염으로 인해 치료된 경우에 보관중이던 검역소 파일들이 다시 원래 동작 위치에 복원된 경우 사용자 입장에서는 매우 곤란을 겪었을 것으로 생각됩니다.

위와 유사한 경험을 하신 분들이 있을지 모르지만, 이번 사고를 통해 검역소에 파일 보관의 주기를 더 짧게 설정해야겠다는 생각을 해봅니다.(쓰고 확인해보니 검역소 파일 보관 주기 설정이 없군요. )

참고로 검역소 기능은 보안 제품의 진단으로 삭제(치료)되는 파일이 오진일 경우 다시 복원할 수 있는 장점이 있으므로 반드시 필요한 기능임은 잊지 마시기 바랍니다.


728x90
반응형