현재까지의 바이러스 대처 상황 #2

지난 목요일에 문제를 일으키기 시작했던 V3(안연구소)와 바이러스체이서(에스지어드밴텍) 백신 프로그램들에 대해 해당 업체로 연락하여 해당 백신들에서 시정 조치를 하였다는 말씀은 아래에 드렸고...

금 요일에 바이로봇(하우리)이 업데이트하면서 뒷북치듯이 역시  Win32/Induc 감염 델파이 개발환경에서 개발된 프로그램들을 삭제하고 있어서 긴급 연락을 시도중입니다. 백신 업체들이 왜 이리 제대로 된 전화 연락처 하나 없이 메일 연락처만 달랑 남겨놓고 있는지 모르겠네요. 안연구소 정도가 예외일 뿐, 긴급 대응을 해야 할 백신 업체들이 긴급 대응을 위한 기본이 안되어있는 듯...

바 이로봇이 아직 시정이 안된 것으로 보여서, 월요일 아침에 다시 한번 대란이 발생할 수도 있는 상태입니다. 만약 문제가 더 장기화될 경우 문제를 일으키는 백신 프로그램들에 대해서는 저희 데브기어 차원에서 벤더로서 델파이 개발자 및 개발업체 분들에게 백신 작동 중지 권고를 드려야 할 지도 모르겠습니다.

그리고, IT 미디어인 보안뉴스와 디지털데일리를 통해서 이번 사태가 비교적 자세하고 객관적으로 기사화되었습니다. 이번 사태와 관련한 초기 기사들에서는 그동안 백신 업체들의 목소리만을 대변하는 기사들 일색이었는데, 이제 델파이 개발자들의 입장도 상당부분 반영되고 있습니다. (우리의 스타 델파이 개발자 양병규님의 활약이 돋보입니다 ^^) 당장 사고에 직면한 상태에서 설득이 어려운 고객사에게 제시할 수도 있을 것입니다.

보안뉴스: 변형된 델파이 바이러스 대응책 마련 시급!
http://www.boannews.com/media/view.asp?idx=17550&kind=1

디지털데일리: 델파이 바이러스 ‘백신’ 과잉대응 논란
http://www.ddaily.co.kr/news/news_view.php?uid=53343

앞 서도 말씀드렸다시피, 데브기어에서 이런 대응은 단기적인 대응책이며, 장기적인 대응책은 별도로 추진중입니다. 장기 대응 측면에서, 데브기어에서는 이와 같이 개발툴을 이용하여 전파하는 새로운 방식의 바이러스가 나타나는 것을 근본적으로 막기 위한 기술적인 조치를 마련하기 위해 본사와 계속 연락을 주고받고 있습니다. 너무 늦어지지 않도록 노력을 다하고 있습니다.

장기적인 대응의 다른 한 축으로서, 벤더인 엠바카데로/데브기어 외에, 각각의 개발자분들의 주의도 필요합니다. 엄밀하게 말하자면, 이번 사태와 같이 개발환경에 바이러스가 감염되어 (무해하다고 해도) 바이러스가 퍼져나가는 데 대한 1차적인 책임은 각 개발자분들에게 있다고 말할 수 밖에 없습니다. 물론 새로운 기법이며 또 사전에 알려지지 않았다는 면에서 억울한 면도 많기도 합니다. 하지만 이런 큰 사고가 발생하게 되면 최종의 결과에서부터 거꾸로 되짚어 책임 소재를 따져나가는 것이 일반적으로 기업 내에서 그리고 기업간의 사고 처리 방식이죠. 쉽게 말하자면, 자신의 PC 내에 설치된 개발환경 및 여러 파일들에 대해서는 1차적으로 각 개발자분들이 챙겨야 한다는 것입니다.

하지만 역시 벤더로서 저희도 최대한의 지원과 노력을 아끼지 않고 있습니다. (혹시라도 벤더에서 개발자에게 책임을 전가한다는 뉘앙스로 받아들여지지는 않았으면 합니다) 벤더와 개발자 여러분 모두 함께 이 난국을 잘 헤쳐나갈 수 있기를 바래봅니다.

-----------------------------------------------
추가 사항

엠바카데로 본사에서는 현재 공지 사항 내용을 알리기 위해 준비하고 있으며, 이 내용의 초고를 지난 금요일(21일)에 데브기어를 포함한 전세계 엠바카데로 지사들에서 회람한 바 있습니다. 또한, 엠바카데로의 델파이 개발팀의 최고참 개발자인 앨런 바우어는 20일에 이 바이러스와 관련하여 초기 대응 상황을 블로그 글을 쓴 바 있습니다.

A Tempest in a Teapot or something more sinister?
http://blogs.embarcadero.com/abauer/2009/08/20/38892

일부만 발췌하면,

At this point, here at Embarcadero, we’re actively analyzing situation and overall impact to our community. We’re also working on recommendations about how to find out if you’re infected and what to do once you see that you are.

현재 엠바카데로의 우리는 적극적으로 현 상황과 우리의 커뮤니티 전반에 대한 충격을 분석하고 있습니다. 또한 우리는 감염되었는지 여부를 확인하는 방법과 감염되었을 경우 해야 할 일에 대한 권고 사항을 작업중에 있습니다.

또한 유명한 델파이 개발자로 서적 집필자이자 강연자인 마르코 칸투씨는 이번 바이러스에 대해 다음과 같은 바이러스 예방 가이드라인을 제시했습니다.

How to Stop W32/Induc-A Virus (or the Delphi Virus)
http://blog.marcocantu.com/blog/stopping_delphi_virus.html

요약하자면,
1. dcc32.exe 파일을 다른 디렉토리로 이동시킨다
2. lib 디렉토리에 가짜 SysCont.bak 파일을 만들어둔다
3. lib 폴더에 접근 제한을 걸어둔다

이중에서 lib 폴더의 권한 문제를 약간 설명하자면... 기본적으로 윈도우 비스타 이상에서는 프로그램 설치 디렉토리에 대한 접근 권한이 주어져 있지 않습니다. 그런데 델파이7 이하의 구버전(비스타 권한 구조에 대한 고려가 되어 있지 않음) 사용자들은 비스타에서 이런 구버전을 사용하기 위해 접근 권한을 해제해버리고 사용합니다. 반면 델파이 2007 이상 버전에서는 비스타를 정식 지원하기 때문에, 이런 권한 해제를 하지 않고, Admin 계정이 아닌 권한으로도 개발을 정상적으로 할 수 있게 설계되어 있습니다.

2 comments for “현재까지의 바이러스 대처 상황 #2

  1. 장소팔
    2009.08.25 at 11:16 오전

    백신 업체에 근무하고 있습니다.. 문제를 일으킨건 델파이 개발프로그램에 삽입된 악성코드이지 백신 제품이 아니죠. 걸려있는거 보니까 우리나라 대표업체들도 많고 우리나라 PC의 몇십%는 걸렸을 것 같은데 백신이 심했다고 하시는건 좀 그러네요. 당장 빼달라고 강력하게 요구를 하셔야 할게 아니라 최대한 빨리 새로운 버전을 배포할터이니 조금 기다려달라고 강력하게 부탁을 해야 하지 않을까요?
    만약에 이 바이러스가 DDoS때처럼 시스템에 문제가되는 것이었다고 가정했을때 제작해서 배포한 업체가 다 책임지진 않으실거잔어요..
    제작자가 DDoS때와 같이 악성의 기능을 안넣었으니 고객들이 모르고 지나가지.. 제가 개발해서 배포한 입장이라면 몇십만명을 한방에 감염시켰다는 괴로움에 밤잠을 설칠 것 같네요.

  2. 안마루
    2009.08.25 at 11:45 오전

    안녕하세요. 저도 백신업체에서 근무하고 있습니다.
    일련의 기사 및 블로그 그리고 댓글을 보면서 한말씀드리겠습니다.
    백신업체에서 정상파일 내에 수상한 코드 그게 분석해서 바이러스 코드로 판명되면 진단 및 치료하는 것은 당연한 겁니다. 설령 그것이 단순히 감염활동만 하더라도...

    그런데 일련의 소식들을 보면 마치 백신업체가 과잉대응 그리고 잘못한 것처럼 비춰지고 있고 또한 시그니처를 빼달라 요청하는 것은 저로써는 납득이 되지 않습니다.
    일련에서는 심하게 싸우기도 했다는 소문이 있더군요...저는 해당업체 연구원은 아니고 타업체 연구원이고 저희쪽에서는 실행압축된 파일에 대해서는 진단하지 않지만...

    만약 입장을 바꿔서 데브기어 측이 백신업체라면 어떻게 하셨겠습니까? 이점도 묻고 싶네요! 이번 문제를 보면 개발자나 개발사들의 문제점이 무엇인지 집어보지 않고 그냥 간단하게 넘어가는 것 같아 아쉽구요. 추후 이런 문제가 발생하지 않도록 데브기어에서도 주기적으로 온라인이든 오프라인이든 간에 안전하게 코딩하는 방법에 대해서도 개발자와 개발사들에도 공유를 해야 할 듯 싶네요.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.