울지않는벌새 : Security, Movie & Society

Kaspersky 보안 업체의 조작된 파일을 통한 경쟁 업체 오진 유발 소식 (2015.8.18)

벌새::Security

로이터(Reuters) 보도에 따르면 10년 이상 - 2009년부터 2013년 사이가 가장 활발하게 전개되었다고 주장합니다. - Kaspersky 보안 업체가 정상 파일을 악성 파일처럼 조작하여 마이크로소프트(Microsoft), AVG, avast! 등의 경쟁사가 중요 파일을 삭제하거나 사용할 수 없도록 만들어 백신 시장에서 손해를 보도록 시도했다는 2명의 전직 직원의 주장을 보도하였습니다.

이러한 행위의 근본적인 원인으로 타 보안 업체가 기술을 개발하는 대신 Kaspersky 진단 기술을 모방한다고 느낀 Kaspersky 공동 창업자인 Eugene Kaspersky의 명령에 따라 보복 행위가 업체 내의 소수의 그룹을 통해 진행되었다고 합니다.

실제로 일부 보안 제품이 타 보안 업체의 진단을 훔쳐서 진단하던 사례가 보고되고 있다는 점에서 해당 주장이 전혀 사실무근일 가능성은 없을 수도 있다고 개인적으로 생각하며, 개인적인 경험상 바이러스토탈(VirusTotal) 서비스를 통해 샘플 파일을 확인하는 과정에서 진단력이 우수한 BitDefender, Kaspersky 업체의 진단을 참조하여 빠르게 업데이트를 하던 보안 제품이 있었던 것으로 기억합니다.

당연히 Kaspersky 보안 업체에서는 해당 보도와 관련하여 비윤리적인 행위에 대해 전면 부인하고 있으며 법적 대응을 준비하고 있다고 보도가 되고 있습니다.

 

그렇다면 피해 당사자로 지목된 보안 업체에서는 관련 이슈에 대해 다수의 정상적인 파일에 코드를 추가하여 오진을 유발하게 한 사례는 있다고 밝히면서도 침묵하고 있으며, 오히려 Kaspersky 보안 업체에서는 2012년 11월경 알 수 없는 조직이 정상적인 Tencent, Mail.ru, Steam 게임 플랫폼을 악성 파일처럼 진단하도록 교묘하게 자신들을 속였다고 주장하고 있습니다.

재미있는 사실은 Kaspersky 보안 업체에서 2010년 1월경 공식적으로 밝힌 정보에 따르면 바이러스토탈(VirusTotal) 서비스에 악성 파일처럼 보이는 무해한 10개의 파일을 제작하여 업로드한 후 10일이 지날 쯤 14개 보안 업체에서 악성 파일로 진단이 이루어졌다는 실험이 있었다는 점입니다.

 

이를 통해 Kaspersky 보안 업체에서는 타 보안 업체가 수집된 파일에 대한 분석을 하는 것이 아니라 Kaspersky와 같은 기술력이 높은 제품의 진단을 그대로 차용한다고 생각한게 아닌가도 싶습니다.

 

최근 보안 업체들은 화이트리스트(WhiteList) 방식과 같은 검증 방식을 통해 이전과는 다르게 오진(False Positive)을 감소시키고 있지만 여전히 정상적인 파일과 매우 유사한 악성 파일로 인하여 오진이 발생하는 사례는 심심찮게 알려지고 있는 것이 사실입니다.

 

이런 오진이 누군가의 조작된 파일로부터 시작되었는지는 확인하기는 매우 어렵겠지만 이번 주장이 전직 보안 업체 직원을 통해 나왔다는 점에서 전혀 사실무근일 가능성이 없다고 말하는 것도 애매한 것 같습니다.