울지않는벌새 : Security, Movie & Society

AhnLab V3 365 클리닉 3.0 : 신뢰 파일에 대한 프로그램 실행 알림창 문제 (2014.2.14)

벌새::Software

AhnLab V3 365 클리닉 3.0 버전에서 매우 인상적인 보안 기능 중의 하나인 "프로그램 실행 알림"창은 사용자가 실행하려는 프로그램(파일)의 클라우드 평판 및 수집된 행위를 기반으로 파일 실행 여부를 사용자가 선택할 수 있도록 제공하는 것입니다.

 

그런데 이러한 "프로그램 실행 알림"창은 모든 프로그램(파일) 실행시 자동으로 생성되는 것이 아니라 특정 조건에 부합할 경우에만 생성되어, 사용자 몰래 다운로드된 후 자동 실행되는 파일을 탐지하거나 의심스러운 실행시 생성되어 보안상 긍정적인 효과를 줄 수 있습니다.

 

하지만 반대로 "프로그램 실행 알림"은 전적으로 사용자가 파일 실행 여부를 결정해야 한다는 부분에서 제공되는 클라우드 평판 정보(파일 분석 보고서)를 바탕으로 현명한 결정을 해야하는 어려움이 있습니다.

 

이 글에서는 "프로그램 실행 알림"창이 생성되는 특정 파일을 사용자가 "신뢰"로 등록한 경우 발생할 수 있는 문제점에 대해 살펴보도록 하겠습니다.

예를 들어 디지털 서명을 사용하지 않는 "TagScanner 5.1 Build 646" 버전을 설치한 후 프로그램 실행시 "프로그램 실행 알림"창을 생성하여 "C:\Program Files\TagScanner\Tagscan.exe" 파일(SHA-1 : D3DBFC70E25ED03F0FF183BB4D4B355549C0A5C3)에 대한 처리 방법을 결정하도록 요구합니다.

사용자는 제공되는 클라우드 평판 정보(AhnLab V3 파일 분석 보고서)를 바탕으로 비록 "미확정" 파일로 표시되고 있지만 안전한 프로그램이라고 판단하여 "신뢰(정상)"로 등록하였다고 가정하겠습니다.

사용자에 의해 신뢰로 등록된 파일은 "Active Defense 설정 → 사용자 지정 파일 관리" 목록에 표시되며 이를 통해 신뢰로 등록된 파일 실행시에는 사용자 PC에서는 "프로그램 실행 알림"창이 생성되지 않고 프로그램 실행이 이루어집니다.

 

그런데 해당 프로그램(TagScanner 5.1 Build 646)이 업데이트를 통해 새로운 버전(TagScanner 5.1 Build 647)으로 변경이 되었다고 가정해 보겠습니다.

업데이트가 이루어진 후 생성(변경)된 "C:\Program Files\TagScanner\Tagscan.exe" 파일(SHA-1 : 1E4A3D1435892CBFAC5EB55FB4342B2E17BB276B)의 분석 보고서를 확인해보면 새로운 파일로 교체가 이루어졌지만 이전에 사용자가 신뢰로 등록한 파일이므로 안전도 평가가 "정상(신뢰)"으로 표시되고 있습니다.

 

이렇게 업데이트된 프로그램을 실행하면 "프로그램 실행 알림"창 생성없이 자동으로 프로그램이 실행됩니다.

하지만 사용자가 신뢰로 등록된 값을 제거한 경우에는 업데이트된 프로그램 실행시 "프로그램 실행 알림"창이 생성되어 사용자에 의한 실행 여부를 다시 묻게 됩니다.

 

즉, 업데이트된 파일은 원래는 미확정 파일로 "프로그램 실행 알림"창이 생성되어야 하는데 기존 버전에서 신뢰로 등록한 파일 정보로 인하여 업데이트된 파일 역시 자동으로 신뢰 파일로 처리된다는 점입니다.

 

여기서 핵심은 최초 사용자가 "신뢰"로 등록한 파일이 새로운 버전으로 업데이트된 경우 파일이 변경되어 신뢰할 수 없는 파일로 변경될 수 있다는 점입니다.

 

현재 안랩(AhnLab)측에 문의를 통해 전달받은 답변으로는 사용자가 신뢰로 등록한 파일은 업데이트를 통해 파일이 변경되어도 기존에 등록한 파일 경로와 파일명이 일치하기 때문에 계속 신뢰 파일로 처리가 된다고 합니다.

 

만약 악성 파일이 사용자가 신뢰로 등록한 파일을 패치(바꿔치기)하여 악성 파일로 변경한 경우에는 "프로그램 실행 알림"창은 사용자 수가 전혀 없는 파일일지라도 "프로그램 실행 알림"을 우회할 가능성도 존재하지 않나 싶습니다.

 

예전 테스트 버전에서는 파일이 1바이트라도 변경되면 클라우드 평판창이 생성되어 신뢰로 등록된 파일도 사용자에게 실행 여부를 물었던 것 같은데 일장춘몽 같이 이제는 기억이 가물가물하군요. ??

 

또 한가지는 "프로그램 실행 알림"창은 디지털 서명이 포함된 파일인 경우에는 뜨지 않는 것 같은 문제도 있습니다.

 

유효한 디지털 서명이 포함된 악성 파일이 실행될 때에는 통과할 수 있으며 특히 상당수 광고 프로그램이 디지털 서명이 포함된 파일을 사용한다는 점에서 원치않게 설치가 진행되는 과정에서 "프로그램 실행 알림"창은 전혀 뜨지 않는 문제가 있을 수도 있습니다.