LINE 주식회사에서 제공하는 Windows용 라인(LINE) 메신저를 AhnLab V3 보안 제품이 설치된 환경에서 다운로드를 시도할 경우 웹 차단 및 MDP 진단으로 차단이 이루어지고 있는 문제를 발견하였습니다.
AhnLab V3 보안 제품 사용자가 PC용 라인(LINE) 메신저의 다운로드 페이지에서 Windows용 설치 파일<h**p://dl.desktop.line.naver.jp/naver/LINE/win/LineInst.exe (SHA-1: 6F172700EF9847C8BE355E323C5C2BF88FD84E0F)>을 다운로드 시도해 보도록 하겠습니다.
파일 다운로드를 시도할 경우 웹 차단 기능을 통해 "불필요한 사이트(PUS) 접근 차단" 창을 통해 Windows용 라인(LINE) 메신저의 설치 파일 URL 값을 차단하는 동작을 확인할 수 있습니다.(※ 불필요한 사이트(PUS) 차단은 AhnLab V3 365 클리닉 3.0 버전에서 제공합니다.)
만약 "불필요한 사이트(PUS) 차단" 기능을 사용하지 않는 경우에도 파일 다운로드를 위해 인터넷 임시 폴더에 생성되는 라인(LINE) 메신저 설치 파일에 대하여 "불필요한 프로그램(PUP) 차단", "악성코드 차단" 창을 통해 PUP/MDP.Download.M111 진단명으로 차단이 이루어지는 것을 확인할 수 있습니다.
실제로 정상적으로 다운로드된 라인(LINE) 메신저 설치 파일 자체에 대해서 AhnLab V3 보안 제품에서는 진단되는 않지만, 웹 차단이 유발하는 문제로 인해 파일 기반으로 동작하는 MDP 사전 차단이 이루어지고 있는 것이 아닌가 생각됩니다.
해당 문제는 전반적으로 AhnLab V3 보안 제품에서의 오진으로 인해 발생하는 파일 및 웹 기반 차단 문제로 확인되고 있으며, 해당 문제를 확인하는 과정에서 몇 가지 추가적으로 발견된 부분에 대해 언급해 보도록 하겠습니다.
1. 특정 Windows용 라인(LINE) 메신저의 URL 값만 차단한다는 사실
문제가 발생하고 있는 Windows용 라인(LINE) 메신저의 설치 파일 주소를 확인하는 과정에서 또 다른 공식 다운로드 페이지를 발견하였습니다.
- h**p://dl.desktop.line.naver.jp/naver/LINE/win/LineInst.exe (SHA-1: 6F172700EF9847C8BE355E323C5C2BF88FD84E0F) :: AhnLab V3 웹 차단
- h**p://dl.line.naver.jp/naver/LINE/win/LineInst.exe (SHA-1: 6F172700EF9847C8BE355E323C5C2BF88FD84E0F) :: 차단 안 함
발견된 또 다른 다운로드 페이지에서 제공하는 Windows용 라인(LINE) 메신저 설치 파일을 다운로드해보면 AhnLab V3 보안 제품에서는 동일한 파일에 대하여 차단없이 다운로드가 이루어지고 있습니다.
2. 웹 차단시 "의심 사이트" 목록에 표시되지 않는 문제
AhnLab V3 365 클리닉 3.0 버전에서 제공하는 "네트워크 보안 → 의심 사이트" 목록에서는 웹 차단 기능을 통해 차단되는 경우 시간순으로 기록되도록 되어 있는 것으로 알고 있습니다.
하지만 라인(LINE) 메신저 다운로드 시도시 "불필요한 사이트(PUS) 접근 차단" 창이 뜨지만 해당 목록에는 기록되지 않는 문제가 있는 것으로 확인되고 있습니다.
3. 웹 보안의 "사용자 지정 사이트 관리" 등록시 주의할 점
사용자가 AhnLab V3 보안 제품에서 웹 차단을 통해 차단되는 URL 값에 대해 신뢰로 등록하여 차단되지 않도록 등록시 입력하는 URL 값은 상위 도메인을 기준으로 추가해야 하는 것 같습니다.
라인(LINE) 메신저의 설치 파일 URL 값(dl.desktop.line.naver.jp/naver/LINE/win/LineInst.exe) 자체를 신뢰로 등록할 경우 웹 차단은 해당 파일에 대해서는 지속적으로 웹 차단이 이루어집니다.
대신 "dl.desktop.line.naver.jp" URL 값을 신뢰로 등록한 경우에는 웹 차단이 이루어지지 않고 다운로드가 이루어지고 있습니다.
위와 같은 필터 방식으로 제공되는 경우 사용자 입장에서 특정 하위 URL 값에 대해서만 신뢰 또는 차단을 할 수 없는 문제가 발생할 수 있다는 점에서 수정이 있어야 하지 않을까 싶습니다.