본문 바로가기

벌새::Life

벌새 보안 사고 : 안철수연구소(AhnLab) V3 365 클리닉 검역소 복원 소동

반응형
오늘 새벽 안철수연구소(AhnLab) V3 365 클리닉 검역소에 보관 중이던 일부 악성코드 파일들이 사용자 몰래 복원되던 현상으로 인해 놀랐던 일이 있기에 시간 순서대로 정리를 해 보았습니다.

해당 현상은 특정 시스템에서만 발생한 매우 특이한 문제로 보이며, 반복된 현상이 아니므로 더 이상 업체에 문제삼을 것은 없다고 생각하며 기록으로만 남깁니다.(이게 더 무서운건가? )

AhnLab V3 365를 사용하면서 DB 업데이트는 1시간 단위로 자동 업데이트를 설정하여 이용하기에 이번처럼 사용자가 수동으로 스마트 업데이트를 통한 진행을 잘 하지는 않습니다.

하지만 이미 안철수연구소 업데이트 정보에는 2010.07.13.00 업데이트가 이루어진 것으로 나와서 수동으로 업데이트를 진행하였고 정상적으로 업데이트가 완료되었습니다.(업데이트 시간 : 2010년 7월 13일 화요일 00시 46분경)

보통 개인적인 스파이제로(SpyZero) DB 업데이트가 이루어지면 빠른 검사를 통해 확인을 하는 습관으로 인해 빠른 검사를 진행합니다.

일반적으로 빠른 검사에 소요되는 시간은 저사양 컴퓨터로 인하여 5분~10분의 소요 시간이 걸리면 이번에는 00시 50분~01시 02분에 완료된 것으로 표시가 되고 있습니다.

이전 로그(Log) 기록을 살펴보면 다른 빠른 검사보다는 이번에 실시한 빠른 검사에 소요된 시간은 다소 길게 걸린 것으로 보입니다.

당시 검사가 완료되는 시점에서 스크린 샷 확보는 이루어지지 않았지만, 검사가 완료된 시점에서 제시하는 결과에 바탕화면에 존재하다고 표시된 uninstall.exe 파일을 Win-Trojan/Bho.448512 진단명으로 한 건 진단을 하면서 무언가 잘못되었다는 것을 인지하게 되었습니다.

실제 바탕화면에는 uninstall.exe 파일이 존재하지 않았으며 해당 진단에 존재하는 파일은 실제로 검사 과정에서 검역소에 보관 중이던 파일이 [C:\My Download] 폴더에 복원이 되어 있는 상태로 발견이 되었습니다. 하지만 V3 제품에서는 바탕화면 경로로 진단을 하고 치료까지 완료를 하는 상황으로 갔습니다.(당시 제가 치료를 시도했는지 제품의 설정값이 초기화되어 자동 치료가 되었는지 기억이 되지 않는군요.)

이상함을 인지하지 확인한 폴더(C:\My Download)에서는 그림과 같이 11개의 악성코드 파일이 발견되었습니다.

처음에는 제가 어떤 실수로 악성 파일을 실행하여 이런 파일들이 생성된 것이 아닌가 의심하였지만, 파일명은 기존에 제가 인터넷 또는 특정 악성파일을 분석하는 과정에서 확보한 것으로 기억되던 파일이라 검역소를 의심하게 되었습니다.(개인적인 습관상 악성코드는 검역소 처리보다는 휴지통을 통한 삭제를 하는 습관으로 검역소에는 생각보다 적은 파일들만이 존재합니다.)

해당 폴더에 존재하는 파일들은 2010년 6월 19일경부터 7월 4일까지 수집되었던 파일들로 보이며, 7월 13일 00시 58분경에 해당 폴더에 생성되던 점을 대략적으로 추정할 수 있습니다.

00시 50분부터 빠른 검사를 진행하였기에 해당 파일들은 검사 중 검역소에서 사용자 몰래 시스템으로 복원이 이루어졌다고 결론을 내렸습니다.

당시 일부 검역소 파일들이 시스템으로 복원된 상태에서 검역소 내부를 살펴보면 6월 19일부터 7월 4일경의 다수의 보관 중이던 샘플이 사라진 것을 짐작할 수 있습니다.

C:\My Download 폴더에서 발견된 11개의 파일들은 모두 AhnLab V3 365 보안 제품에서 진단을 하는 것을 통해 검역소에 보관 중이었던 파일임을 재확인할 수 있습니다.

이번 사고의 원인은 알 수 없지만 분석 목적으로 특정 폴더에서 처리된 파일들이 아닌 실제 시스템 감염으로 인해 치료된 경우에 보관중이던 검역소 파일들이 다시 원래 동작 위치에 복원된 경우 사용자 입장에서는 매우 곤란을 겪었을 것으로 생각됩니다.

위와 유사한 경험을 하신 분들이 있을지 모르지만, 이번 사고를 통해 검역소에 파일 보관의 주기를 더 짧게 설정해야겠다는 생각을 해봅니다.(쓰고 확인해보니 검역소 파일 보관 주기 설정이 없군요. )

참고로 검역소 기능은 보안 제품의 진단으로 삭제(치료)되는 파일이 오진일 경우 다시 복원할 수 있는 장점이 있으므로 반드시 필요한 기능임은 잊지 마시기 바랍니다.


728x90
반응형
  • 음...혹시 무의식적으로 복원하신 것은 아니신지요~ ^^; 저는 예전에 복원 버튼을 눌러놓고서는 삭제한다고 생각했다가 나중에야 확인을 한 경험이 있습니다.

  • 발바닥긁는손 2010.07.13 11:27 댓글주소 수정/삭제 댓글쓰기

    벌새님의 글을 보니 저 상황 몹시 위험한 상황 아닌가요?
    신고를 통해서 수정 되어야 할 것으로 보이네요. 결코 일어나선 안될이니깐요. 메일로 안된다면 원격문의를 통해서라도 강력 문의해 보심이 좋을 듯 합니다.
    추가로 개인용에선 검역소 설정도 빠져 있네요. 기능을 빼도 빼도 너무 많이 뺀 것 같습니다. 일명 다이어트 부작용?

  • 백신 두개 돌리면 잘 일어나는 일 중에 하나입니다.
    노턴이 안전구역으로 보내는데 다른 백신이 그 구역까지 조사해서 바이러스 걸렸다고 하죠.
    그런 일 있고 난 후에 바이러스 치료 안되면 바로 삭제합니다.
    노턴 백신 사용자는 소나 조심하세요. 조금만 의심나면 바로 경고 발생 삭제...

    - 월정 -

    • 단순히 타 제품이 검역소 내부 파일을 진단하는 것은 기존에 들어서 알고 있습니다.

      이번 경우에는 검역소 내부 파일이 갑자기 외부로 튀어나오는 현상은 좀처럼 이해가 되지 않더군요.ㅠㅠ

  • 비밀댓글입니다

    • 네~ 모두 기존에 진단하여 검역소에 갈 때와 진단명이 동일했을 것으로 생각됩니다.

      특히 Win-Trojan/Bho.448512 진단명은 빠른 검사에서는 바탕화면에서 발견되었다고 나오고, 실제로는 C:\My Download 폴더에 복원이 된 상태고.. 당시 진단이 매우 이상했습니다.

      아마 일시적으로 제품이 일부 기능을 상실했거나 이상 동작을 했던 것 같습니다.

    • 오늘도 업데이트를 하는 과정에서 동일한 문제가 발견되는군요.

      정확하게 말하면 빠른 검사로 인한 문제는 아닌 것 같고, 자동 업데이트에서도 발생하지 않으나, 스마트 업데이트를 사용자가 클릭하여 업데이트가 완료되는 시점에서 발생하는 것 같습니다.ㅠㅠ

    • 2010.07.14 00:48 댓글주소 수정/삭제

      비밀댓글입니다

  • 철이 2010.07.14 18:37 댓글주소 수정/삭제 댓글쓰기

    벌새님 탐정기질이 잘 실려있는 글.. 잘 봤습니다. 흥미롭네요
    검역소에 암호화되어 있던게 다시 저절로 복구된다니..;
    업데이트 도중 무결성 검사 과정에서 복구된것도 아니고 말이죠 ㅎㅎ;

    정말 이유가 뭘지 궁금하네요
    악성코드가 너무 역겨운게 있어 토한것일까요?

  • 발바닥긁는손 2010.07.16 16:21 댓글주소 수정/삭제 댓글쓰기

    벌새님의 글을 보고 안랩에 바로 문의 하였더니 7월 15일 패치 되었다고 합니다. 다시 한번 동일 증상이 있는지 확인 부탁드려요. ^^