비트디펜더 탐지엔진, LGU+ 제공 그룹웨어 메신저 악성코드로 오탐

국내 대표 백신인 알약 등에서 LGU+사가 서비스하는 그룹웨어 메신저를 악성코드로 탐지하는 어이없는 일이 발생했다.
이와 관련 LGU+의 그룹웨어 메신저를 사용하는 모 기업 A씨는 “갑자기 알약을 사용하는 직원 중 한명이 메신저 프로그램이 동작하지 않는다며 불평했다. 이후 직원들의 PC에서 메신저의 일부 파일이 삭제됐다는 경고 창과 함께 메신저가 실행되지 않는 사건이 연이어 발생했다”며 당시를 회상했다.
이에 본지가 해당 기업의 알약 치료 로그 기록을 살펴본 결과 그룹웨어 프로그램에 포함된 특정 파일에서 ‘Trojan.GenericKD.1718711’이 탐지됐다는 것을 확인할 수 있었다. 즉 그룹웨어 메신저에서 트로이목마로 의심 또는 확인된 파일이 발견돼 삭제된 것이다.
이처럼 17일부터 18일 오전까지 모 기업에서 알약을 쓰는 직원들은 그룹웨어에 접속하지 못해 업무 교류에 차질을 빚어야만 했다. 또 직원들이 메신저를 삭제하고 다시 설치하는 번거로움을 겪었다.
이와 관련 백신업체의 한 보안전문가는 “이번 경우 진단률을 높이기 위해 자체 탐지엔진과 외산 백신인 비트디펜더의 탐지엔진을 함께 사용하는 백신업체 대부분에서 이 같은 문제가 발생했다”며 “이 처럼 두가지 엔진을 쓰는 경우 으레 있는 일이나 기업의 그룹웨어인 만큼 탐지 제외 처리를 해주는 것이 급선무”라고 전했다.
이어 그는 “이번에 피해를 입은 기업의 경우 직원 간 소통의 어려움만 겪었지만 만약 콜센터나 다른 팀과 업무 교류가 원활히 이뤄져야 하는 회사의 그룹웨어 메신저가 정상적으로 동작하지 않았다면 문제는 더욱 심각해질 것”이라고 밝혔다.
이에 알약 제공업체인 이스트소프트 측은 “오탐으로 밝혀졌다”며 “대부분의 백신은 아직 알려지지 않은 악성코드 탐지를 위해 프로그램 동작 자체에 일정한 규칙을 적용해 탐지하는 기법을 사용한다. 이 때 일부 정상적인 프로그램도 악성코드와 유사한 구조를 가졌다면 악성코드로 잘못 탐지될 수 있다”고 설명했다.
이와 함께 이스트소프트 측은 “최신 버전으로 업데이트하고 악성코드로 인식되는지 다시 한번 확인해줄 것”을 당부했다.
한편 그룹웨어는 기업에서 직원간 협력업무 지원을 위해 사용되는 소프트웨어로 파일전달, 간단한 업무보고, 정보공유 등으로 이용되고 있다.

원문 : http://www.boannews.com/media/view.asp?idx=41541&kind=1&sub_kind=