그렇다면 과연 VIPRE 보안 제품에서는 실제 StarLogger가 설치될 경우 정상적으로 진단을 할 수 있는지 세부적인 테스트를 진행하였습니다.
테스트에서 사용된 StarLogger 설치 파일에 대해서 VIPRE Antivirus 제품에서는 Starlogger 진단명으로 진단되는 것을 확인할 수 있습니다.
설치 파일 진단으로 인하여 실시간 감시 기능은 임시로 OFF를 한 상태로 설치를 진행하였으며, 설치 과정에서 해당 키로거 프로그램의 설치 기본 폴더(C:\WINDOWS\SL)는 수동으로 빈 폴더를 만들어 놓은 상태에서 설치를 진행하였습니다.
사용된 설치 파일은 StarLogger 1.5 버전으로 제작사 홈페이지에서 다운로드 서비스를 제공하는 파일입니다.
설치 과정에서 StarLogger 기본 설치 폴더는 이미 사전에 생성하였으므로 임의로 [C:\WINDOWS\LS] 폴더에 프로그램을 설치하도록 변경하였습니다.
프로그램 설치 후 VIPRE 보안 제품을 이용하여 정밀 검사를 진행하면 그림과 같이 StarLogger 프로그램이 생성한 레지스트리 항목과 함께 원래 StarLogger 기본 폴더로 사전에 생성한 빈 폴더를 진단하는 것을 확인할 수 있습니다.
하지만 정작 StarLogger 프로그램이 생성한 [C:\WINDOWS\LS] 폴더 내에 존재하는 생성 파일에 대해서는 전혀 진단을 하지 못하는 것을 확인할 수 있습니다.
- ImgView.exe (MD5 : 10172a891b9f4da7588c9b1ea0893011) - VirusTotal : 3/43
- WinSL.exe (MD5 : 91339fe28440a88aa1ee5cba78ed87b6) - VirusTotal : 4/41
- WinSLH.dll (MD5 : e0c58ae606d2d1640fc7c77231a36208) - VirusTotal : 15/43
- WinSLManager.exe (MD5 : bd65ba483afd36acbc90825e701fe4fd) - VirusTotal : 5/43
생성 파일에 대한 국내외 보안 제품의 진단을 확인해보면, 업체의 진단 정책에 따라 상업적 키로거 프로그램은 진단되지 않을 수 있습니다.
이와 같은 내용을 근거로 VIPRE 보안 제품에서는 StarLogger 진단 방식은 해당 키로거 프로그램이 생성하는 폴더 이름만을 근거로 진단이 이루어지고 있으며, 실제 생성한 파일 자체는 진단하지 않지만 중요 생성 레지스트리 항목은 정상적으로 진단을 하고 있습니다.
이번 사례와 같이 특정 보안 제품의 잘못된 진단 방식과 발견자의 특수한 OS 환경과 부주의로 인해 정상적인 노트북을 판매하는 삼성전자가 의심의 눈초리를 받는 헤프닝이 일어난 것 같습니다.