공개용 백신에서 오탐지 발생…윈도OS 필수요소를 랜섬웨어로 오인·차단

공개용 알약 오탐지에 대한 이스트시큐리티 긴급공지. [source=이스트시큐리티 홈페이지]
공개용 알약 오탐지에 대한 이스트시큐리티 긴급공지. [source=이스트시큐리티 홈페이지]

개인용 보안 소프트웨어(SW)의 오류로 다수의 PC가 다운되는 대형 보안사고가 발생했다.

이스트소프트가 개인 사용자 대상으로 배포하는 안티바이러스 소프트웨어(SW) ‘알약’이 윈도 업데이트 등 정상 프로그램을 랜섬웨어로 인식해 차단하면서 PC가 정상 작동하지 않는 문제가 일어난 것이다. 

30일 오전 11시 30분께 배포된 알약 공개용 버전 v.2.5.8.617이 오탐지를 일으킨 버전이다.

이스트소프트는 긴급 공지를 통해 오탐지 사실을 알리고, 긴급조치 방안을 공지했다. 또 오탐지는 공개용 버전만 해당되며, 기업용 알약은 영향 받지 않는다고 전했다.

먼저 이스트소프트가 발표한 긴급조치는 ▲수동조치툴 다운로드 후 실행이다. 만약 수동조치툴 다운로드가 불가능한 경우라면, ▲3회 PC 강제 재부팅으로 안전모드(네트워킹 사용) 진입 ▲수동조치툴 다운로드 후 실행 ▲재부팅하면 된다.

31일 오전 1시 기준, 긴급 조치를 위한 툴이 배포되고 있지만 파장은 적지 않다. 공개용 알약은 개인 사용자라면 누구나 무료 사용 가능한 보안 SW로 다수의 PC에 설치돼 있어 피해 규모가 매우 클 것으로 전망된다.특

특히 알약은 개인 사용자 대상 무료 백신 이슈를 끌어올린 SW로 지난해 네이버 소프트웨어 다운로드 순위에서 1위를 차지하기도 했다. 

사용자마다 증상도 다르게 나타난다는 보고도 있다. 긴급조치를 위한 리부팅 불가능을 호소하는 사용자도 존재하며, 윈도 시작바가 사라졌다고 말하기는 사용자도 종종 보여지고 있다.

오탐지 사실을 모른 일부 사용자는 PC가 갑자기 먹통이 되면서 랜섬웨어 증상으로 오해, 컴퓨터 포맷을 실행했다면서 허무함을 표시하기도 했다. 

이번에 단행된 불완전 업데이트로 인해 알약, 나아가 이스트소프트는 신뢰성 하락이 불가피할 것으로 예상된다. PC 안전을 지키는 보안 SW가 PC를 정지시키는 오류를 발생시켰다는 점에서 더 치명적이다.

일부 사용자들은 지나치게 잦은 알약의 오탐 문제를 제기하기도 했다. 초창기 하우리의 바이로봇에 대한 오탐, 알약 업데이트 파일에 대한 스파이웨어 오탐이 대표적이다.

지난해 엔비디아, AMD의 선행 드라이버를 악성코드로 오탐지하는 사고가 일어나기도 했다. 

이러한 잦은 오탐은 정상적인 적용이 가능한 지의 여부를 확인하는 검토작업 등 업데이트 배포 이전에 이뤄져야 할 필수 검증과정에 대한 의구심을 갖게 한다. 특히 이번 사고가 윈도 필수 파일에 대한 오탐지로 의심된다는 점에서 의혹은 증폭되고 있다.

피해 사용자들은 PC 다운이전 알약으로부터 ‘랜섬웨어 공격을 시도한 svchost.exe를 차단한다’는 메시지를 받았던 것으로 알려졌다.

svchost.exe는 다양한 서비스를 하나의 프로세스로 그룹화해 리소스 사용량을 줄이는 윈도우 백그라운드 호스트 프로세스로, 윈도OS의 필수 프로그램 중 하나다.

오탐이 발생하지 않아야 하는 부분에서 치명적인 오탐지가 발생한 것으로, 업데이트 검증 절차가 제대로 이뤄졌다면 발생할 수 없는 사고라는 게 업계의 목소리다.

관련기사

저작권자 © IT비즈뉴스(ITBizNews) 무단전재 및 재배포 금지