Avast! 오진과 관련하여...

어제(2009-12-03) Avast! 백신이 심각한 오진을 하는 상황이 발생했었다.

[관련 글: avast! 오진: Win32:Delf-MZG [Trj] (091203-0)]

 

내 경우도 빵집 프로그램(BreadZip.exe, menu.dll)에서 2개, 오피스탭 프로그램(Oftab.ocx)에서 1개가 발견되었다고 떴었다.

즉시 오진임을 알아챘지만, 그래도 혹시나 해서 바이러스 토탈(http://www.virustotal.com/)로 검사도 해봤었다.

역시나 아무런 바이러스가 없는 깨끗한 파일. 심지어 바이러스 토탈에서는 Avast!도 바이러스가 없다고 진단했다.

결국 문제는 자동 업데이트가 문제인 거였다.

 

잽싸게 Avast!로 오진 보고 날려주고,

실시간 보호 관리 제외 목록에 두 프로그램을 등록함으로써 문제를 해결했다.

 

그러면서 문득 든 생각... 과연 다른 일반인들도 나처럼 이렇게 대처할 수 있었을까?

아닐 거라는데 내 두 손모가지와 950원 건다.

또 한동안 인구에 회자되겠구나... 뉴스에도 잘하면 나오겠다, "백신 프로그램 오진, 이대로 좋은가?" 뭐 이런 제목으로...

 

오늘, 조금 전에 "avast 오진"으로 다음(DAUM) 검색을 해봤더니, 아니나 다를까 역시 관련 문제 때문에 피해를 입은 사례들이 주루룩 검색된다. 심지어는 컴퓨터를 포맷했다는 사람까지... 그 정도면 심각한 재앙인거다. 그것도 인재(人災).

 

-----

 

이 참에 백신 오진과 관련해서 정말 내 컴퓨터가 바이러스에 걸린 건지 심각하게 걱정이 되는 사람에게 좋은 조언 하나 해보겠다.

 

1. 바이러스 종류가 "트로이목마"라고 나오면, 혹은 바이러스 이름 뒤에 "Trj" 또는 "Trojan"과 유사한 표기가 붙어 있다면, 그냥 무시해도 된다. 설사 그게 정말 감염된 경우라 하더라도 해당 종류의 바이러스는 치명성/활동성이 상당히 떨어지는 종류이므로 걱정할 필요없다. 안심하고 천천히 다른 작업 다 마친 다음에 다른 도구를 사용해서 바이러스인지의 여부를 다시 확인하고 처리해도 전혀 상관없다. 트로이목마는 개념 그대로, 일부 악성 변종을 제외하고는, 크래커(해커)가 원격으로 접속하기 위한 창구 역할을 하는 종류의 바이러스다. 즉, 항상 실행되어 있는 프로그램(시스템, 서비스 등)이 주 감염대상이고, 일회성 실행파일 같은 것들에는 잘 감염되지 않을 뿐더러 감염되어봤자 종료하면 그만인 경우가 대부분이다. 또, 감염되는 것만으로는 컴퓨터에 아무런 피해가 없고 실제 피해는 감염된 컴퓨터에 크래커(해커)가 실제로 원격 접속해서 뭔가 해꼬지를 하는 경우에 발생하게 된다.

 

2. 메모리 상주 실시간 감시 기능을 하는 백신은 대부분 실행파일의 헤더 부분에서 일부 패턴을 읽어서 DB에 등록된 바이러스 코드의 패턴과 일치하는지 검사하는 방식으로 동작한다. 즉, 전체 바이러스 코드를 다 비교하는 것이 아니기 때문에 검사 자체가 완벽하지 않다는 거다. 수많은 오진들은 그래서 발생한다. 시간이 좀 걸리더라도 바이러스 전체 코드를 다 비교하는 방식으로 체크한다면 거의 발생하지 않을 상황이지만, 역시 문제는 시간 때문인거다. 프로그램 실행할 때마다 적게는 수십 바이트에서 많게는 수십 킬로바이트씩 되는 바이러스 코드를 일일이 다 비교하기란 곤란한거다. 짜증나서 실시간 감시 프로그램 못쓸 것이 틀림없다. 그래서 해당 바이러스의 특정적인 코드 패턴을 수 바이트에서 수십 바이트 정도만 떼서 지문 등록하듯이 DB에 등록해두고 쓰는 개념인 것인데, 물론 그 패턴이 사람에 있어 지문처럼 해당 바이러스를 구분짓는 유일한 정보가 될 것이라 가정하고 등록을 하지만 이번 오진의 경우처럼 사람 지문과는 달리 그게(유일할 것이라는 추정이) 추정일뿐 실제 유일한 정보가 되지 않을 가능성이 굉장히 크다는 점이 위험요소인거다.

 

그래서 결론이 뭐냐면, 백신을 너무 믿지 말라는 거다. 명백하게 바이러스로 의심되는 경우도 꼭 다른 백신 프로그램으로 한번 더 검사해볼 것을 권한다. 다행히 바이러스토탈과 같이 온라인으로 수십 종 백신 프로그램을 통해 검사를 해주는 좋은 무료 서비스가 있다. 꼭 URL을 등록해두고 종종 이용해주자.

 

보안은, 늘 그렇듯, 양날의 검이자, 스스로 챙겨야 되는거다. 누구도 알아서 챙겨주지 않는다는 점을 명심하자.