바이러스 검출에 대하여 ...

 

 

 

어디에나 같은 말도 뭣같이 하는 진상들이 있기 마련입니다만. 예전에도 알약의 오진에 대해서 글을 쓴 적 있습니다만. 선빵 맞고 가만히 있기엔 좀 그렇죠? ㅋㅋ

 

늘 강조합니다만 .. 제 개발 컴퓨터는 보안적으로 늘 최상의 환경을 유지하려고 노력합니다. 프로그램을 만들어 배포하기 때문이 아니라 컴퓨터에 존재하는 수많은 보물 같은 자료들이 많은지라.. ( 야구 동영상 아녀요 ㅡㅡ+ ㅋㅋ ) 인생의 2/3를 개발자로 살아온 사람에게 가장 중요한 건 수많은 개발 관련 자료들과 그간 만들어온 프로그램의 소스코드 이겠지요 ㅎㅎ 

 

제가 즐겨 찾는 사이트 중의 하나가 VirusTotal이라는 사이트인데요 전 세계에 존재하는 수십 종의 바이러스 백신으로 검사해주는 유용한 사이트입니다. 가능하면 모르는 사람이 보내는 파일은 열어보긴 커녕 다운로드 조차 받지 않지만 부득이하게 받아서 열어봐야 하는 경우 또는 처음 보는 프로그램을 부득이하게 실행해봐야 하는 경우에 자주 이용하는 편인데요..

 

수십 종 이상의 백신으로 한 번에 검사를 해야 할 필요가 있느냐?

 

가장 큰 이유는 일반적으로 동일 컴퓨터에 다수의 백신을 설치하여 사용하는 경우는 거의 없고 바람직하지도 않은 데다백신이라는 프로그램의 구조상 늘 오진을 할 수 있다는 것이지요 내가 지금 사용 중인 바이러스 백신이 특정 파일을 자꾸 바이러스라고 지우는데 이게 정말 바이러스가 있어서 지우는 건지 내가 쓰는 백신이 ㅂㅅ인 건지 모든 백신을 찾아서 다 깔아 볼 수는 없으니까.. 이런 서비스도 존재하는 겁니다.

 

최근에는 다양한 형태의 보안 위협이 있다 보니 과거와 같이 단순히 파일을 검사하는 것뿐만 아닌 다양한 클라우드 등으로 명시된 빅데이터의 분석을 통해서도 위험을 고지합니다만 이 또한 오진의 확률이 항상 존재하는 것이지요.

 

그런 이유로 대부분의 백신 회사들은 오진에 대해 리포트를 받는 체계를 가지고 있고 이를 통해 피해받는 프로그램들이 없도록 바이러스 검출 로직이나 위험 프로그램의 목록 등을 지속적으로 관리하고 있습니다. 말이 좀 길었네요.. 각설하고방금 업데이트하여 업로드한 모두의 프린터 1.87 버전의 실행파일을 한번 체크해 보도록 하겠습니다.

 

 

 

총 72개의 백신중 13개가 바이러스가 있다고 탐지하였습니다. 내역을 한번 보도록 하지요

 

 

위와 같은 놈들이 모두의 프린터의 실행파일에 바이러스가 있다고 검출을 했다는 건데요 모두의 프린터 내부에 포함된 기능에 대해 풀어보자면 프린터를 설치하고 프린터의 설정을 변경할 수 있어야 하니 관리자 권한이 필요하고, 프린터의 레지스트리에 접근을 해야 하고요 프린터를 제거도 할 수 있지요 프린터의 속성이나 제어판을 열 수도 있고 관리 페이지가 웹을 통해 구성되기 때문에 웹서버가 내장돼있습니다 그리고 IP프린터를 구성해야 하니 이 또한 TCP/IP 서버 기능이

포함되겠고요. 민원 24등에서 쓰이는 UPnP설정이나 가상 머신을 연동하는 경우엔 가상 머신과 통신도 돼야 합니다. 그러한 이유로 모두의 프린터 실행 시에 모두의 프린터를 윈도 방화벽에서 허용되도록 추가하는 기능이 포함되어 있습니다.

 

방화벽에 모두의 프린터를 추가하도록 한다?

 

 

검출된 13개의 바이러스 백신중 8개가 Trojan.FirewallBypass가 붙어 있습니다. 이름을 보시면 아시겠지만 프로그램 내부에서 윈도 방화벽을 제어하는 기능이 있으면 바이러스로 오진을 하고 있는 겁니다. 물론 세상 어딘가의 특정 바이러스는 그런 방법을 통해 사용자의 컴퓨터에 외부에서 접속이 가능하도록 방화벽을 조작하는 놈들이 있기 때문에 무식하게 해당 기능이 포함돼 있으면 무조건 바이러스로 오진을 하는 몇몇 놈들이 생겨나는 것이지요..

 

정식으로 코드사이능을 한 프로그램이 아니고 그리 유명한 프로그램이 아닌 개인이 개발한 프로그램이라 그런지는 모르겠습니다만. 저뿐만 아니라 오픈소스고 아니고 간에 개인이 배포하는 인디 프로그램들은 대부분 같은 문제를 격고 있는 편입니다.

 

재미난 사실은 저 72개의 백신이 모두 다 다른 백신이 아니란 겁니다 모든 백신회사가 엔진까지 개발하는 것은 아니고 다른 회사의 유명한 엔진을 사다 쓰는 경우도 많이 있습니다. 위 백신들의 엔진이 무엇인지 한번 찾아볼까요?

 

백신명	엔진	검출된 바이러스
Ad-Aware	BitDefender	Gen:Trojan.FirewallBypass.@BX@aq0Nf
ALYac(알약)	BitDefender + 자체엔진	Gen:Trojan.FirewallBypass.@BX@aq0Nf
Arcabit	BitDefender	Trojan.FirewallBypass.EE21B0
BitDefender	BitDefender	Gen:Trojan.FirewallBypass.@BX@aq0Nf
BitDefenderTheta	BitDefender	Gen:NN.ZexaF.34096.@BX@aq0Nf@ei
Bkav	자체엔진	W32.AIDetectVM.malware
eGambit	자체엔진	Unsafe.AI_Score_100%
Emsisoft	BitDefender + 자체엔진	Gen:Trojan.FirewallBypass.@BX@aq0Nf@ei (B
eScan	BitDefender + 자체엔진	Gen:Trojan.FirewallBypass.@BX@aq0N
FireEye	BitDefender + 자체엔진	Gen:Trojan.FirewallBypass.@BX@aq0Nf
GData	BitDefender + 자체엔진	Gen:Trojan.FirewallBypass.@BX@aq0N
MAX	자체엔진	Malware (ai Score=84)
Trapmine	자체엔진	Malicious.moderate.ml.score

위 표를 보시면 ㅎㅎ 바이러스가 검출된 13개의 백신중 비트디펜더(BitDefender)를 사용하지 않는 백신은 딱 4개입니다.그 4종도 멀웨어 등을 주로 검출하는 형태의 제품들이고요.. ( 사용해본 적은 없지만 사이트 설명상 )

 

결국  Gen:Trojan.FirewallBypass. 라고 트로이로 분류시킨 엔진은 비트디펜더 하나라는 것이고요. 비트디펜더의 엔진을 사다 쓰더라도 자체적으로 수정해 쓰거나(알약같이) 받아 쓰는 버전이 다소 차이가 있을 수 있기 때문에  검출 안된 백신중에서도 비트디펜더를 쓰는 백신도 있습니다.

 

이렇듯 하나의 백신에서 바이러스 검출을 하였다 해서 바이러스가 존재하는 건 아닙니다. eGambit이나 MAX, Bkav의 경우 AI를 통해 수집된 자료 등으로 판단하여 위험할 수도 있다는 AI의 판단이 나왔다는 정도이고요 모두의 프린터가 개발하여 배포한 지 2년이 넘었지만 한국 외에서 사용될 일도 일반적으로 많이 쓰는 프로그램이 아니기 때문에 그리고 업데이트가 꽤 자주 있는지라 저런 평판 기반의 검출 시스템에 안전하다고 인식될 정도의 오랜 데이터가 쌓이긴 어렵습니다.

 

가장 큰 건... 저 백신들을 국내서 쓰는 사람들이 거의 없다는 것이지요 예를들어 V3의 경우 바이러스가 검출되지  않는데요, 모두의 프린터 초반에는 안랩의 V3도 자주 오진을 하던 편이었습니다. 다만 많은 사용자들이 오진 정정을 요청하고 예외로 처리하거나 허용하는 등의 여러 행동을 하시면서 데이터베이스에 관련 정보가 누적이 되었을 것이라 판단하는 중입니다.  (최근에는 v3 가 오진하는 경우는 많지 않으니까..)

 

마지막으로..

 

 

이 두 댓글단 유져놈아 사람이 말이다 오랜 시간을 무료든 유료든 어떤 프로그램을 개발해서 배포를 하고 있다면

 

"내가 XX백신을 사용 중인데, XXXXXX라는 바이러스가 있다고 나옵니다. 확인 좀 부탁드립니다."

 

라고 하는 게 사람으로서 기본적인 예의인 것이고 하다못해 백신회사에 리포트해서 결과를 받아 본 뒤에 욕을 해도 하는 거란다 하루 평균 최소 100명 이상이 다운로드하여 설치하고 있고 수천 명 이상이 아무 이상 없이 사용하고 있는 프로그램을.. 

 

그럼 그 사람들은 다 백신을 모르고 컴퓨터를 모르는 컴맹이라 바이러스 뿜뿜한 프로그램 헬렐레하고 ㅂㅅ같이 쓰고 있을까? 유튭 영상이나 기타 등등 여러 곳에 늘 하는 말이지만 돈 벌려고 하는 짓 아니고, 제발 써달라 부탁한 적 없고

너 같은 유저 놈 내가 사양하니까.. 넌 내가 만든 거 근처도 오지 마라 콱 ㅡㅡ+