머니투데이

알약 '독약' 만든 오탐지…보안업계선 "그런 일, 흔해요"

머니투데이 홍효진 기자 2022.09.10 09:28

글자크기

"악성코드 오탐지, 백신에는 치명적 결함 아냐…관리의 문제"
'무료' 백신 책임성 높이도록…관리 지침 필요

지난달 30일 이스트시큐리티 백신 프로그램 '알약'에서 랜섬웨어 오탐지가 발생했다. /사진=이스트시큐리티 홈페이지 캡처지난달 30일 이스트시큐리티 백신 프로그램 '알약'에서 랜섬웨어 오탐지가 발생했다. /사진=이스트시큐리티 홈페이지 캡처




'국민 백신' 알약의 랜섬웨어 오탐지로 사이버 백신 자체에 대한 신뢰가 낮아질 수 있다고 우려한다. 오탐지가 사이버 백신에서 흔히 발생하는 장애인 만큼, 검증 시스템을 개선하고 특히 무료 서비스에 대한 기업의 책임이 강화돼야 한다는 지적이 제기된다.

PC '블랙리스트' 관리 방해하는 '오탐지'
백신은 일종의 '블랙리스트' 명단을 관리한다. 블랙리스트에 오른 누군가가 특정 조직이나 공간에 들어갈 수 없듯, 백신은 PC나 모바일에 출입할 수 없는 악성 프로그램을 사전에 차단한다. 버전이 업데이트 되는 것도 블랙리스트에 오른 악성 프로그램을 새로 추가하기 위해서다. 업데이트 중 정상 프로그램이 블랙리스트에 잘못 들어갈 경우 관련 파일이 삭제될 수 있는데, 이를 '오탐지'라고 부른다. 설정 목표에 따라 특정 프로그램·데이터를 식별하는 과정에서 의도와 다른 프로그램과 데이터를 구분해내는 오류다.

오탐지는 치명적인 기술 결함이라기보다 프로그램 운영에서 발생하는 오류로 볼 수 있다. 지난달 30일 이스트시큐리티 '알약' 오탐지도 랜섬웨어 탐지기능을 강화한 업데이트 버전이 배포되면서 확인됐다. 이스트시큐리티는 "당일 즉각 업데이트를 중단했고 같은 날 오후 11시30분쯤 서비스 정상화가 이뤄졌다"고 설명했다.



김용대 카이스트(KAIST) 교수는 "모든 악성코드를 잡을 수 있는 백신은 없다"며 "악성코드도 하나의 프로그램인데, 악성코드를 정상 프로그램과 비슷하게 만든다고 가정하면 탐지를 못 할 수도 있다"고 말했다. 오탐지가 아예 없는 사이버 백신은 있을 수 없다는 뜻이다.

실제 오탐지는 백신 프로그램에서는 흔히 벌어지는 장애라고 보안업계는 설명한다. 2020년 2월 안랩 (83,100원 ▼700 -0.84%) 백신 'V3 Lite 4.0'과 'V3 365 클리닉 4.0'이 업데이트되면서 일부 정상 프로세스를 악성코드로 인식한 바 있다. 당시 안랩 공지에 따르면 이는 버전 업데이트 중 벌어진 시스템 장애가 원인으로, 악성코드 진단 시 일부 정상 프로세스 탐지 오류가 발생한 것으로 확인됐다.

체코 보안기업 어베스트도 2017년 2월 업데이트 진행 후 PC 내 정상 파일을 멀웨어(악성 소프트웨어)로 오진했다. 당시 멀웨어 치료를 실시한 이용자들은 윈도 주요 파일들이 삭제되면서 부팅이 제대로 되지 않는 등 피해를 겪어야 했다. 같은 해 9월 미국 보안기업 '시만텍'(현 노턴라이프락)에서도 오탐지가 발생했다.

"오탐지 100% 다 잡을 순 없어…시스템 개선은 필요"
/사진=AV-테스트 홈페이지 캡처/사진=AV-테스트 홈페이지 캡처
이용자 PC에 영향을 끼칠 수 있는 만큼 오탐지 최소화를 위한 시스템 개선이 필요하다는 지적이 나온다. 김승주 고려대 정보보호대학원 교수는 "정상적인 파일, 특히 윈도 시스템 관련 파일이 함부로 삭제될 경우 (사용자 PC가) 먹통이 될 수 있다"며 "구동되는 백신 프로그램이 블랙리스트를 만들 때는 이중·삼중으로 검증해야 하는데 이번 (알약 오탐지)에는 이러한 검증이 제대로 안 된 것 같다"고 말했다.

김용대 카이스트 교수도 "오탐지 자체가 문제라기보다는 발생 이후의 조치에 문제가 있느냐에 집중해야 한다"며 "이용자 PC 시스템을 멈추게 하는 등의 오류가 일어나지 않도록 보안기업에서 조치 방법에 신경쓸 필요가 있다"고 강조했다.

무료 서비스에 대한 보안기업들의 책임 수준이 강화돼야 한다는 목소리도 나온다. 무료 백신 배포는 이용자 데이터 확보가 목적이다. 무료다 보니 그만큼 이용자 수는 늘어나고, 백신이 탐지한 고객 PC의 악성코드 정보를 전송받는 기업 입장에선 백신 관련 빅데이터를 축적할 수 있다. 요금을 받진 않지만, 기업은 분명한 이익을 얻는 만큼, '공짜라고 대충 관리해선 안 된다'는 지적이다.

손승우 중앙대 산업보안학과 교수(한국지식재산연구원장)는 "백신을 유료와 무료로 구분해 제공하고 있는 경우 마케팅의 차이가 있을 뿐 책임에서 벗어날 수 없다"며 "정부에서 보안 기업의 무료 백신 배포 관련 약관을 심사해, 불공정한 행위를 할 수 없도록 조치하는 것도 대안이 될 수 있다"고 전했다.


이용자로선 관성적으로 무료 백신을 찾아 설치하기보다는 윈도가 기본 제공하는 '마이크로소프트 디펜더'를 활용하는 것도 방법이다. 지난 6월 백신 프로그램 평기 기관 'AV-테스트'의 평가 결과에 따르면 디펜더는 보호·성능·이용성 3가지 부분에서 모두 6점 만점을 받았다. 안랩·맥아피(McAfee) 등 보안기업의 총 19개 제품 중 디펜더 포함 14개 제품이 모두 만점을 받았다.

김승주 교수는 "최근에는 윈도 디펜더처럼 운영체제 자체에 보안 기능이 들어가는 추세"라며 "이런 기본 기능을 잘 활용해도 웬만한 백신 프로그램은 쓰지 않아도 될 정도로 (수준이) 향상됐다"고 말했다.
TOP