태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2009.08.22 14:03



사용자 삽입 이미지

아래 댓글로 알려드린 것처럼, 안연구소의 V3에는 오늘 오후에 악성코드 리스트에서 제외했다는 연락을 받았으며, 바이러스체이서쪽으로도 강력하게 요구를 한 결과 리스트에서 빼겠다는 답을 받았습니다. (지금쯤 반영되었을 것입니다.)

그 외에 Avast와 시만텍 백신에서의 문제를 제보해주신 분들도 있었는데, 이 문제에 대해서는 저희가 직접 대응이 어려워 본사로 상황을 설명하고 협조를 의뢰했습니다.

Win32.Induc 에 대한 상황을 정리해보자면, Win32.Induc 복제 코드가 일반인 PC에서 문제를 일으키는 것은 아무것도 없습니다. 복제조차도 하지 않습니다. 다만 델파이가 설치된 개발자 PC에서 스스로를 복제하도록 Delphi를 조작할 뿐이며, 역시 개발자 PC에도 아무런 위해를 끼치지 않습니다.

그런데 백신들의 대응은 지나쳐도 너무 지나쳤다는 것이 저희 데브기어의 입장입니다. 전세계 인구 몇십억 중에서 델파이 개발자는 150만 정도 되며, 국내 4천몇백만 인구 중에서도 델파이 개발자는 몇만명에 지나지 않습니다. 그런데 델파이 개발자의 PC에서만, 그것도 복제만 하는 Win32.Induc에 대해 만들어진 프로그램을 바로 삭제(또는 삭제 권고)를 하는 것은 부적절한 조치입니다. 전체 일반인에 비하면 엄청나게 소수 집단인 델파이 개발자들 사이에서만 문제가 생기는데(실질적인 문제도 아니고 복제만 하는데도) 전혀 동작하지도 하지 않는 일반인들(개발자의 입장에서는 고객)의 PC에서 해당 프로그램들을 막무가내로 삭제하는 것이 너무 지나친 조치가 아니겠습니까.

아래 양병규님이 프로그램을 만들어서 올리셨듯이, 우리 개발자들은 컴맹이 아니기 때문에 자체적인 대응을 충분히 하고 있습니다. 제가 올렸던 글에서처럼 바이러스의 동작을 충분히 분석하고 기술적으로 이해한 상태에서 대책을 세우는 것이 가능한 전문가 집단입니다. 보안 전문 지식을 가진 분도 많고요. 일반인들의 피해는 전무한 상태인데도 백신 업체들의 지나친 과잉 대응으로 인해 델파이 개발자들이 직간접적으로 피해를 보고 있는 것입니다. 바이러스로부터의 피해는 전혀 없는데 백신으로부터 피해를 입고 있는 것입니다.

아 까 모 백신 업체와의 협의 과정에서, '일반인 PC에서 동작하든 말든 우리는 복제 코드만 있으면 무조건 대응을 하는 것이 우리 관행이다'라면서 전문 영역이니 끼어들지 말라는 식의 답을 받았습니다. 덕분에 여러번 전화로 심하게 다투기도 했습니다. 전문 영역은 인정해주는 것이 당연할 수 있지만, 실효성이 없는 지나친 대응으로 인해 델파이로 만들어진 프로그램을 사용하는 수많은 일반인들이 불편을 겪고 있고, 또 그로 인해 델파이 개발자들이 다시 피해를 보는데, 일부 백신 업체는 '니네 사정이니 우리는 우리 관행대로 할 뿐이다'는 식으로 대응하고 있습니다.

고객사로부터 항의 또는 불평을 받으신 분들도 있는 것으로 아는데요. 저희 데브기어에서 델파이의 벤더로서 공식적인 입장은 아래와 같습니다. 항의하는 고객사에 제출 혹은 참고 자료로 보여주기 위한 목적입니다.

Delphi 4~7 개발환경을 감염시키는 복제 코드에 대한 공지
http://www.devgear.co.kr/impboard/impboard.dll?action=read&db=news&no=16

물론 이 Win32.Induc 복제 코드에 대한 기술적 대책도 마련 중입니다. 상황이 진전되면 다시 알려드리도록 하겠습니다.

댓글 현황

양병규 (bkyang)   수고하셨습니다. 이 놈이 바이러스가 맞기는 한데.. 무조건 삭제해야할 정도로 해로운것은 아닌데.. 백신들이 너무 과잉대응을 한것이 맞는것 같습니다.

두어라인 추가해서 트로이목마로 만들었으면 상당한 파괴력도 있었을 것 같은데 이걸 처음 만든 놈이 아마도 단순히 전파효율만 테스트해 볼 생각이었나봅니다.

그래도 덕분에 보안업체들이 새로운 방식의 바이러스 출현 가능성을 배웠겠고.. 또한 바이러스의 피해사항도 별로 파악하지 않고 일단 삭제부터하는 식의 무성의한 대응방식에 문제가 있다는 것도 깨달았을 겁니다.(깨달았을라나? ㅡㅡa)

암튼.. 이 방식이 대부분의 개발툴에서 모두 적용할 수 있는 방식인 만큼.. 개발툴 업체들은 원본 라이브러리도 관리를 해야 할 것 같습니다. (제 생각에는 컴파일시 경고를 띄워주는 선이 좋을 것 같은데..)   2009-08-20 오후 9:34:59
Rightrue (rightrue)   고생하십니다. 여러 가지 노력을 기울이시는 노고를 모르는 것은 아니지만, 본문 내용 중 일부에 대해 다른 생각이 있어 적어봅니다.
개발자 PC에만 문제가 생기고, 실제 악의적인 조작을 하지 않으므로 개발툴 관련 업체에서 주도하여 악성코드 리스트에서 빼도록 했다는 부분이 좀 이해하기 힘듭니다.
개발자 PC에만의 문제라는 것은 개발자가 개발해 배포하는 개발상품에 영향을 미치는 것이므로 개발자 PC에만 문제를 일으킨다는 것은 다소 상황을 너무 호의적으로 보는 것은 아닐런지요.

일부 개발자들은 하드디스크 공간이나 메모리 등이 사용자의 자산임을 인지하지 못하고 있다는 점에서 저는 가끔씩 답답함을 느낄 때가 있습니다. 위 바이러스로 인해 의도하지 않게 사용자의 디스크와 메모리 사용량이 늘어납니다. 물론 이에 대한 책임은 개발 배포자가 져야한다고 볼 수 있겠습니다만, 백신을 사용하는 사용자 입장에서는 백신에게 저러한 기능을 기대했을 수도 있습니다.
   2009-08-21 오전 4:35:38
Rightrue (rightrue)   단지 자사 개발툴의 인식에 영향을 미칠 수 있다는 것만으로 백신 개발 회사에 저러한 요구를 했다는 것이 개인적으로는 백신들의 대응만큼이나 지나친지도 모르지 않나 하는 생각을 해봤습니다.

대부분의 백신이 바이러스나 악성코드를 몇가지 수위로 분류해서 다룹니다. 제가 위 바이러스를 각 백신이 어떻게 다루는지는 살펴보지 못했지만, 잘 만들어진 백신이라면 충분히 낮은 수위의 위협이 있는 코드라는 안내가 이루어지지 않을까 상상을 해봅니다.
그렇지 않은 백신들에 대해 이런 점을 고지하는 정도의 조치를 요구하는 수준이면 되지 않았을까 싶습니다.

또 하나는 개발자와 소비자를 따로 생각했다는 점입니다. 개발자만 걸리니까...는 아니라는 점이지요. 개발자도 소비자이잖습니까.
그리고, 델마당이나 델파이 관련 커뮤니티에 오지 않고, 업무나 일상에 바빠 데브기어나 엠바카데로 홈페이지에 들리지 않는 개발자들에겐 어떻게 고지하실 생각이신지요? 해당버전의 툴을 구입한 모든 구입자들에게 개별 연락을 취할 것은 아니지 않습니까?   2009-08-21 오전 4:47:53
Rightrue (rightrue)   과장 조금보태면 개인적으로 개발자나 IT종사자 중에 컴맹이 아닌 사람보다 컴맹을 더 많이 보아온 듯 싶습니다. 그나마 알 때 조치가 가능한 것인데 일정기간이상 알지 못하는 델파이 사용자도 상당수 있을 수 있음을 생각하셨으면 하고.. 위에서도 말했지만 이것이 델파이 개발자만 직간접으로 피해를 보고 있다는 것은 제가 틀린지 모르겠지만 저는 아니라고 생각합니다. 어떤 경우든 직접적으로 피해를 보는 것은 저 코드가 걸린 상태로 배포된 프로그램을 사용하는 사용자라는게 제 생각입니다.

뭐 늦은시간에 얼떨결에 쓰는 글이라 두서가 없고, 이번일에 대한 임프님의 고생이나 노력을 몰라서 쓰는 글이 아니니 이런 의견도 있다 정도로 봐주시고 조금 더 생각할 기회가 되었으면 합니다.   2009-08-21 오전 4:52:26
임프 (devgear)   Rightrue님의 의견에 충분한 일리가 있습니다. 그런 부분에 대한 고려를 하지 않았던 것은 아닙니다. 하지만 그 반대편의 부작용이 훨씬 더 크기 때문에 이같은 조치를 취한 것입니다.

먼저 용량과 메모리 건에 대해서. 이번 Induc 코드로 인해 프로그램의 용량이 커지는 것은 9kB 남짓이며, 메모리 추가 소요도 그와 비슷합니다. 하지만 일반인 PC에서 이 추가 코드는 아무런 동작을 하지 않습니다. 그에 비해, 백신이 삭제까지 하는 조치를 했을 때 일반인과 델파이 개발자들이 겪는 장애와 불편, 피해가 압도적으로 큽니다.

제가 위의 원문에서는 주저리주저리 쓰기 힘들어 짧게 결과만 썼습니다만, 어제 백신 업체들에게 요구했던 것도 원래는 Rightrue님의 취지와 같습니다. 백신 업체에서 말씀하신 대로 `피해 수위`에 따라 적절하게 대처했었다면 저도 이런 정도의 대처를 할 필요는 없었을 것입니다. 어제 제가 백신 업체들에게 요청을 하는 과정에서, 백신 업체와 다퉜던 논리 중에서 이런 것이 있었습니다. 일반 사용자 PC에서 아무런 동작을 하지 않는데, `바이러스 탐지`를 알리면서 이런 사실(피해가 전무하다는 사실)을 충분히 고지했다면 제가 대응할 필요조차 없었을 것입니다. 하지만 백신들은 무조건 `악성코드 Induc이 발견되었습니다. 삭제하시겠습니까?` 정도로 일방적으로 고객들에게 알립니다. 이것은 사실상 삭제를 권고하는 것 아니겠습니까. 만약 `Induc이 발견되어으나 Delphi가 설치되어 있지 않으므로 아무런 동작도 하지 않습니다. 고객께서 사용하는 중요한 프로그램일 수도 있으므로 삭제하지 않는 편이 좋습니다`라고 안내했더라면 좋지 않았을까요.

고객 PC에 이미 존재하는 파일들이 백신 업체들의 의심을 벗어나 기본적으로는 중요한 파일일 가능성이 더 크다는 점을 고려해야 하는 것이 당연합니다. 경찰관이라고 해서 거리에 지나다니는 모든 시민들을 다 잠재적인 피의자로 바라보는 것과 뭐가 다르겠습니까. 가벼운 경범죄밖에 없는 사람들을 몽땅 구속하겠다고 달려드는 것과 뭐가 다르겠습니까. 고객 PC에 있는 파일들은 기본적으로 고객의 자산입니다. 그에 대한 충분한 피해 예상 고지가 없이 무조건 삭제를 권고하는 것이 백신들의 오랜 악습입니다.

예를 들어서, MS 윈도우에 포함된 중요한 시스템 파일이 있는데, 그 파일이 감염되었다고 생각해봅시다. 그 파일을 삭제하면 바로 윈도우가 오작동하므로 백신들은 신중하게 대처해야 합니다. 픽스할 수 있으면 픽스하면 좋지만, 백신의 능력이 모자라서 픽스가 안된다고 해서 삭제해서는 안됩니다. 백신이 삭제했을 때 그로 인한 피해가 훨씬 더 크기 때문입니다. 물론 윈도우의 중요 파일들에 대해서는 백신들이 웬만큼 파악하고 있을테고, 파악되지 않은 수많은 프로그램들에 대해 백신들이 다 중요성을 파악하기는 힘들지요. 하지만 파악이 어렵다고 해서 일단 삭제를 권고하는 것은 분명한 월권이며, 그로 인한 2차 피해가 오히려 더 커지는 것은 완전히 백신의 책임입니다.

픽스할 방법이 있으면 픽스하면 됩니다만, 그렇지 못할 경우 사용자에게 충분한 고지가 되어야 한다는 것입니다. 백신들의 관행에서는, 일단 자신들의 리스트에 올라와 있는 코드를 검출하고 픽스할 방법이 없으면 그 피해 유발 정도에 무관하게 다 삭제 권고 대상이 됩니다. 이것은, 일단 유치장에 들어온 피의자는 재판도 없이 다 사형수가 되는 것과 마찬가지 아니겠습니까.

델파이 개발자의 권리를 떠나서, 일반 사용자의 권리에는, 백신으로부터 불필요한 2차 피해를 보지 않을 권리도 있습니다. 그동안 백신 업체들이 이런 기본적인 권리를   2009-08-21 오전 8:59:43
임프 (devgear)   무시해온 것이 부당했었고, 이번 사건에서 그 본질이 여실히 드러났다는 것이 제 생각입니다.   2009-08-21 오전 9:00:06
임프 (devgear)   `개발자만 걸리니까`라는 제 논리가 약간 비약이 있는 것은 저도 알고 있습니다만, `개발자 이외에도 모든 사용자가 피해자다`라는 백신 업체의 주장에 대한 대응 논리입니다. 어제 제가 장시간 다퉜던 백신 업체에서는 당장 대응을 하지 않고 회피 또는 무기한 지연을 하려고 온갖 논리를 다 들이댔습니다. 그런 무성의한 대응에 대해 케이스 바이 케이스로 논쟁을 하느라 일부러 델파이 개발자들과 일반 사용자의 경우를 분리하여 제시한 것입니다. 하지만 비단 그 업체 뿐만 아니라 일부 백신 업체들의 편의주의 관점에선 그런 의도가 다분히 숨어 있습니다.

백신 업체들 상당수가, 더 많은 악성코드와 바이러스를 검출했다고 내세우고 그것으로 고객을 유인하는 식의 영업을 하고 있습니다. 물론 그 자체는 나쁘지 않습니다. 하지만 억지스럽게 카운트를 올리고 그것으로 시장에서 경쟁을 하는 바람에, 사실상 피해가 없는 경우까지 악성과 마찬가지로 리스트에 경쟁적으로 올려댑니다.

특히 이번에 저와 심하게 다투었던 업체는 언론 보도까지 내면서 자신들이 Induc 바이러스를 탐지했다고 대대적으로 내세웠기 때문에 더욱더 그 리스트에서 다시 Induc을 제외시키는 데 대해 거부했던 것 같습니다. `제외시키는 데에는 아주 복잡한 절차가 있으며, 제외시킨다고 해도 시간이 얼마나 걸릴 지 전혀 예측조차 여럽다`는 식의 답변을 수차례 들었습니다.

특히 그 업체의 경우, 분석팀장이 Induc이 일반 사용자의 PC에서는 전혀 동작하지 않는다는 점을 충분히 알고 있었습니다. 그럼에도 언론 보도에서는 `일반 사용자 PC에서는 동작하지 않는 것으로 보이나 주의가 요구된다`라는 식으로 썼습니다. 다분히 의도적이죠. 일부러 필요 이상으로 일반인들의 경각심을 일으켜 주목을 끌기 위해 그렇게 한 것입니다.

다시 말해, 자신들의 시장 경쟁 메커니즘과 편의주의 관행에 일반인과 개발자들이 2차 피해를 입고 있는 사건이라고 할 수 있습니다.   2009-08-21 오전 9:13:22
ironiris (ironiris)   동업자정신 결여라고 봅니다.   2009-08-21 오전 10:44:29
ironiris (ironiris)   솔직히 까놓고 A 백신 프로그램이 시스템운영에 필요한 파일을 오진해서 지웠다는 이유로 B 백신 프로그램이 A 백신을 바이러스라고 하고 지워버리면 어쩔려고 그러는지..   2009-08-21 오전 10:46:07


Posted by viruslab
신종악성코드정보2009.08.20 16:27


아무래도 Indcu 바이러스에 감염된 델파이 프로그램 삭제로 인하여 개발자분들께 어려움이 있으신 것 같아 보입니다.

자세한 내용은 아래를 참고해 보세요.

http://viruslab.tistory.com/1013

http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415338&keyword1=&keyword2=&page=1


사용자 삽입 이미지

임프님께서 작성하신 글입니다.

가볍게 생각했었는데, 여기저기 커뮤니티들에 올라오는 글들과 저희로 오는 연락들로 종합되는 상황을 봤을 때 생각보다 너무 심각하게 진행되는 것 같습니다. 이 바이러스는 델파이를 감염시키는 것 이외에는 아무런 동작이 없는데도 불구하고, 백신이 무조건적으로 감염 파일을 삭제함으로써 오히려 백신으로 인한 2차 피해가 더 커지고 있습니다.

이 문제에 대한 대처로, 방금 안연구소측에 연락하여 담당자 컨택을 요청하였으며, 바이러스체이서측에도 마찬가지로 요청하였습니다. 이 바이러스에 감염된 프로그램에서 해당 코드를 치료(무력화)하는 것은 별로 어렵지 않습니다만, 저희가 그런 백신을 만들어서 배포하여 다 치료를 한다고 해도, 백신들에서 기존에 가지고 있는 검사 패턴을 그대로 유지하고 있는 이상 치료된 파일들도 여전히 삭제할 것입니다. 그래서 해당 백신 업체들에 협조를 요청하고 있습니다.

이 외에 카스퍼스키랩 백신에서도 삭제를 한다는 글을 보았는데, 이 세가지 이외에 이번 바이러스에 감염된 프로그램을 무조건 삭제를 하는 백신이 있으면 알려주시기 바랍니다. 카스퍼스키는 아무래도 해외 업체이니까 대처가 느릴 수 있으니까 국산 백신 업체들에게 먼저 조치를 취하겠습니다.

또한, 여러분이 사용하는 패키지/솔루션 프로그램에서 백신으로 인한 진단이 나오는 경우도 제게 알려주시기 바랍니다. 해당 프로그램을 배포하는 곳 혹은 개발한 곳에 연락하여 문제를 해결하도록 하겠습니다. 긴급하게 조치를 해야 하므로, 벤더로서 가능한 모든 조치를 취하도록 하겠습니다.

이번 바이러스에 대한 어떤 특별한 추가 정보가 있으시면 역시 저에게 알려주시기 바랍니다. 고객들로부터 델파이를 사용하기 때문에 이런 피해를 당했다는 인식이 더 퍼지기 전에 처리를 해야 하겠습니다.


댓글 현황


빵집 개발자이신 양병규님께서 삭제할 수 있는 전용백신을 만드셨는데..그와 관련된 내용입니다.

http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415305&keyword1=&keyword2=&page=1

Anycall 파일에서도 감염된 사례가 있었지만, 확인 당시에는 감염된 모듈이 파악되지 않았습니다.






Posted by viruslab
TAG 델마당