본문 바로가기

벌새::Security

부동산119 웹 사이트 오진으로 인한 알약(ALYac) 사과문 (2012.8.23)

(주)이스트소프트(ESTsoft) 업체에서 제공하는 알약(ALYac) 무료 백신 제품이 "부동산119" 웹 사이트에 등록된 정상적인 스크립트 파일을 Exploit.JS.Iframe.Gen 진단명으로 오진하여 사과문을 공개하였습니다. 

출처 : 부동산119

   <알약(ALYac)> [사과문] 부동산 119 사이트 오탐지 사과 안내 (2012.8.22)

 

특히 부동산119 웹 사이트의 공지문을 확인해보면 약 45일 동안 해당 웹 사이트의 common.js 스크립트 파일에 대하여 알약(ALYac) 백신 프로그램이 지속적으로 오진을 한 것이라고 주장하고 있습니다.

 

반면 알약(ALYac) 업체에서는 2012년 8월 20일 해당 오진에 대한 최초 보고가 확인이 되었으며, 최종적으로 8월 21일자 업데이트를 통해 진단 문제를 해결하였다고 밝히고 있습니다. 

해당 오진에 대해 확인을 해보면 문제의 common.js 스크립트 파일은 2012년 8월 20일경 등록된 파일로 오진시 문제된 스크립트 파일은 교체가 된 것이 아닌가 추정됩니다. 

현재 등록되어 있는 common.js 스크립트 파일을 확인해보면 복잡한 난독화가 이루어져 있으며, 이런 부분으로 인해 알약(ALYac) 백신 프로그램의 진단에 영향을 주었으리라 추정됩니다. 

참고로 난독화된 스크립트 파일이 어떤 내용을 담고 있는지 대충 Unescape를 시도해보면 정상적인 소스를 포함하고 있는 것을 확인할 수 있습니다.(※ 실제 진단되었던 교체 전의 common.js 파일을 봐야지 다른 백신 프로그램에서도 진단할만한 부분이 있었는지 알 수 있을 것으로 보입니다.)

 

  <처리의 블로그> 자바 스크립트 난독화/암호화를 적절하게 사용해야~ 백신업체도 편하다!! (2011.8.19)

 

아무튼 이런 스크립트 난독화 기법은 대부분 소스 내용을 외부에서 들여다보는 것을 방지할 목적으로 제작되어지며, 악성코드 제작자들 역시 스크립트를 심한 난독화를 통해 유포하다보니 이런 사고가 비단 알약(ALYac) 백신 프로그램 뿐만 아니라 거의 모든 백신 프로그램에서 심심찮게 발생하고 있습니다.

 

하지만 이번처럼 피해를 본 웹 사이트측에서 알약(ALYac) 백신 프로그램의 오진에 대해 과도한 비난을 하는 문구는 다소 지나친 감이 없지 않아 보이며(※ 특별한 기능이 없는 함수인데 너무 난독화를 하는 것도 잘못된 코딩이 아닌가 싶습니다.), 보안 업체에서도 오진에 대한 검증을 더욱 강화해야 할 것으로 보입니다.