“자동치료기능 악용시 정상파일 삭제”  VS “단순 오진문제" 
[보안뉴스 권 준] 최근 바이러스 백신이 탐지하지 못하거나 보안패치가 되지 않은 제로데이 공격 등으로 인해 PC나 스마트폰이 악성코드에 감염되는 일이 빈번히 발생하고 있다.

그러나 아직까지 PC 사용자 대다수는 백신 설치만으로 자신의 PC는 안전할 것이라는 믿음을 갖고 있다. 여기에는 대부분의 바이러스 백신 프로그램에 기본으로 탑재돼 있는 ‘자동으로 치료하기’ 기능도 한몫하고 있다. 자신의 PC에 악성코드나 바이러스에 감염돼도 이를 백신이 찾아 자동으로 치료해줄 것이라고 안심하고 있는 셈이다.

그럼 ‘자동으로 치료하기’ 기능을 이렇게 과신해도 되는 것일까? 이와 관련한 심각한 문제제기를 하고 있는 젊은 IT보안 컬럼리스트가 있다. 평촌고등학교에 재학 중인 이규형 군이 바로 그 주인공. 그는 ‘자동으로 치료하기’ 기능 등 백신 프로그램의 UI(User Interface)가 취약점이 될 수 있다고 주장한다.  

이규형 군은 “시스템 및 프로그램 구조의 취약점 등으로 피해를 입는 것은 당연하다고 생각하지만, 백신 프로그램의 UI로 인해 문제가 발생할 수 있다는 사실에 대해서는 관심이 없는 것 없다”며, “백신 프로그램의 자동치료 기능은 PC 사용자들에게 바이러스의 치료여부를 묻지 않고, 알아서 처리하는 기능으로 사용자들에게 편리함을 제공하려는 목적으로 만들어졌지만 이 기능이 악용되면 자칫 심각한 문제가 야기될 수 있다”고 설명했다.

현재 국내 대부분의 백신 프로그램에 삽입돼 있는 ‘자동으로 치료하기’ 기능에 있어 가장 큰 문제는 백신이 정상파일을 바이러스 또는 악성파일로 오진해 사용자에게 묻지 않고 정상파일을 바로 삭제함으로써 PC 자체에 큰 결함이 발생할 수 있다는 것이다. 더욱이 악성해커들이 이를 악용해 백신 프로그램에 잘못된 엔진을 업데이트 하도록 한다면 심각한 문제가 발생한다는 게 이 군의 우려다. 

이 문제의 심각성을 극명하게 보여준 사례가 바로 지난 2011년 3월에 있었던 국내 유명 백신 프로그램의 오진사태라고 할 수 있다. 당시 오진사태의 피해자였던 이규형 군이 이 사건을 계기로 UI 취약점이라는 또 다른 관점으로 이 문제를 바라보게 됐다는 설명이다.    

이 군은 “당시 오진사태로 내 PC에서 실행되던 프로그램이 모두 바이러스로 진단됐고, ‘자동으로 치료하기’ 기능으로 인해 정상파일이 모두 삭제되는 큰 피해를 겪었다. 당시에는 잘못된 엔진을 실수로 업데이트해 발생한 일이었지만, 이러한 문제는 악용될 소지가 충분하다”며, “그 이후 해당 백신업체에 문제를 제기해 ‘자동으로 치료하기’ 기능이 ‘권장’에서 ‘선택’으로 바뀌도록 하는 성과를 내기도 했다”고 말했다.  

그러나 하나의 백신 프로그램에서 자동치료 기능이 ‘권장’에서 ‘선택’으로 바뀌는 것만으로 문제가 해결되지는 않는다는 게 이 군의 설명이다. 그럼 해결책은 무엇일까? 세계적인 안티 바이러스 기업인 카스퍼스키랩의 예에서 그 단초를 찾을 수 있다. 카스퍼스키 백신의 ‘자동 치료’ 기능은 다른 백신과 달리 바이러스 여부를 검사해 악성파일로 최종 확인된 것은 치료 또는 삭제하지만 감염의심 파일은 치료가 안 될 경우 삭제하지 않고 검역소에 격리시키는 것을 원칙으로 하고 있다. 결국에는 지금과 같은 ‘자동으로 치료하기’ 기능은 없애는 게 가장 안전한 방법이라는 것.    
이규형 군은 “PC에 로그인할 때 OTP(One Time Password)를 사용하면 매우 불편하지만 해킹으로부터는 안전한 것처럼, 보안기능을 최대화시키기 위해서는 결국 편리성을 줄이는 길밖에 없다. 자동치료 기능도 사용자의 편리성을 향상시킨 반면, 보안위협의 가능성을 열어놓은 셈”이라며, “백신 프로그램의 UI에 있어서도 사소한 문제에서 취약점이 발생한다는 생각을 갖고 UI 취약점을 예방할 수 있는 대책을 세워야 한다”고 강조했다.


백신프로그램의 UI 취약점 문제를 제기한 평촌고등학교 이규형 군
그러나 일부 보안전문가는 바이러스 백신의 단순 오진 문제를 UI 취약점으로 연결하기에는 무리가 따른다는 의견도 제시하고 있다. 이를 UI 취약점으로 명명하기 위해서는 백신의 시그니처 DB를 역분석해서 일부러 오진이 나도록 해야 하는데, 그럴 가능성이 매우 희박하다는 지적이다.     
 
이와 관련 이규형 군은 “넓은 의미에서의 취약점을 사용자 및 관리자의 부주의나 사회공학 기법에 의한 약점을 포함한다고 볼 때 ‘자동으로 치료하기’ 기능이 시스템 체계에 포함된다는 판단으로 UI 취약점이라고 정의 내렸던 것”이라며, “해커들에 의한 의도적인 오진 유도가 결코 쉽지 않더라도 일말의 가능성에 대비하는 것이 보안이라고 생각한다”고 덧붙였다.   

한편, 이번 UI 취약점 문제를 제기한 이규형 군은 지난해 1월 악성 바이러스 제작자를 검거하는데 기여하기도 했으며, KSIA(한국학생IT동아리연합) 초대 연맹장으로 활약한 바 있다. 현재는 안랩 명예사원이자 보안 블로그를 운영하는 IT 보안 컬럼리스트로 활발히 활동하고 있다.    
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>