본문 바로가기

벌새::Security

avast! 네트워크 감시 오진 : K-Defense 키보드 보안 (2012.4.7)

해외 보안 제품 avast! 보안 제품에서 국내 금융권에서 ActiveX 설치 방식으로 제공되는 K-Defense 키보드 보안 프로그램을 설치하는 과정에서 특정 파일 URL 주소를 차단하는 문제를 확인하였습니다.


참고로 테스트에서는 미래에셋증권 홈 페이지에서 제공하는 (주)킹스정보통신 업체의 "K-Defense R6 - 키보드보안 (ActiveX)" 설치창을 통해 확인하였습니다.

그림과 같이 K-Defense 키보드 보안 ActiveX 설치창이 생성되면 설치를 진행하면 다음과 같은 URL 주소를 통해 파일 다운로드가 진행됩니다.

  • h**p://kings.nefficient.co.kr/kings/kdfx/kdfx337/kdfense8.cab
  • h**p://kings.nefficient.co.kr/kings/kdfinj6x/411122201_6065/kdfinj.dll (네트워크 차단)
  • h**p://kings.nefficient.co.kr/kings/kdfmod3x/711122302_10093/kdfmod.dll

이 과정에서 kdfense8.cab 압축 파일이 해제되어 생성된 "C:\WINDOWS\Downloaded Program Files\kdfense8.ocx" 파일이 추가적인 파일 다운로드 과정에서 "악의적인 URL 차단" 메시지를 통해 "h**p://kings.nefficient.co.kr/kings/kdfinj6x/411122201_6065/kdfinj.dll" URL 주소를 차단하는 동작을 확인할 수 있습니다.

해당 차단은 파일 시스템 감시를 통한 차단이 아닌 "네트워크 감시" 기능을 통해 해당 URL 주소를 차단하고 있으며, 실제 kdfinj.dll 파일을 비롯한 K-Defense 키보드 보안 프로그램을 악성 파일로 진단하는 것은 아닙니다.


이로 인하여 금융권 웹 사이트에서 K-Defense 키보드 보안 프로그램의 설치 과정에서 차단이 이루어지는 문제로 인해 정상적으로 키보드 보안 프로그램이 설치되지 않는 문제가 발생합니다.(※ 이미 설치된 환경에서는 정상적으로 동작합니다.)


문제의 네트워크 감시 기능을 통한 차단은 사용자가 임의로 특정 URL 주소를 예외 처리를 할 수 없으며, 임시로 네트워크 감시 보호 상태를 중지하는 방법을 통해 K-Defense 키보드 보안 프로그램을 설치할 수 있습니다.

  • 과객 2012.08.02 11:38 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 이것 때문에 인터넷뱅킹하기가 찜찜했는데 큰 문제는 아니로군요.
    덕분에 한시름 덜었습니다. 홈피 좀 둘러봤는데 엄청나게 좋은 일 하고 계시네요.
    존경스럽습니다.