제가 배포하는 모두의 프린터를 비롯 모두의 PDF, 모두의 리모트, 모두의 지우개 등은 대부분 시스템의 장치나 디스크, 윈도 레지스트리를 활용하여 이런저런 동작을 합니다.
이런 류의 프로그램들은 자칫 그 프로그램의 실제 안정성 여부를 떠나서 사용되는 기술만 볼 때에는 흔히 말하는 악성코드들이 사용하는 기술과 별 차이가 없을 수도 있습니다.
쉽게 보자면 과일 깍는 과도로 사람을 죽였다고 그 칼을 만든 사람, 판 사람이 문제라고 하지 않는 것과 같이 어떤 도구라도 사용하는 사람이 어떤 목적으로 사용하느냐 따라서 결과가 달라지는 것이라 할 수 있는데요.
인터넷이 발전되기 이전에는 컴퓨터 프로그램을 만드는 프로그래머도 흔치 않았고 바이러스라 칭하는 악성코드들의 숫자도 많지 않았기 때문에 각각의 바이러스의 실질적인 코드를 분석해서 해당 내용이 파일내에 존재하는지 여부등을 따져서 일일이 바이러스 판별을 하던 시절도 있었습니다.
요즘 같이 개발자도 많고 개발환경이 좋아서 누구나 인터넷 검색을 하면 쉽게 프로그램을 만들어 낼 수 있는 상황에서는 하루에도 수없이 쏟아지는 수 많은 프로그램들을 일일이 사람이 분석하고 악성코드 여부를 따질 어떤 특정 값을 판별해서 검사를 하고 위험성을 판별하기는 불가능한 세상이 되었습니다.
그런 이유로 대부분의 안티 바이러스 소프트웨어를 개발하는 회사들은 평판기반으로 위험성 여부를 판단하는 경우가 많습니다.
우선 알려지지 않은 파일들의 경우에는 무.조.건 위험한 것으로 판단하고 그러한 파일이 다수의 사용자에 의해 사용되어 지고 있으면 제대로 검사를 하던가 해서 위험성 리스트에서 제외를 시켜 준다던지, 또는 개발자나 사용자가 직접 리포트를 해 오면 검사해본 후 문제없으면 리스트에서 제외를 시켜준다던지 하는 식으로 많이 동작을 합니다.
모두의 프린터의 경우에도 배포하는 내내 바이러스 백신의 오진으로 위험한 프로그램 취급을 받아 다운로드 받자마자 삭제된다던지.. 회사에서 사용하다 보안팀에 불려 간다던지;;; 하는 등의 많은 일을 겪어 왔습니다만..
세상에 존재하는 수 많은 안티 바이러스 소프트웨어를 직접 제가 다 설치를 하고 일일이 하나하나 다 검사를 해서 문제가 없음을 확인한 후에 배포를 할 수는 없는 노릇이라 많은 고민을 하기도 했는데요..
그런 이유로 최근에 제가 배포하는 모든 프로그램들은
바이러스 토탈(VirusTotal)이라는 사이트를 통해서 검사를 하고 해당 검사 결과를 배포글마다 포함해서 배포를 하고 있습니다.
이 바이러스토탈이라는 사이트는 전 세계에 존재하는 주요 안티 바이러스 소프트웨어 수십 종을 가지고 사용자가 업로드한 파일을 동시에 검사해 줍니다. 이를 통해 6~70개 이상의 안티바이러스중 어떤 회사의 제품에서 위험성을 보고 하는지 등을 체크할 수 있습니다.
예를 들어 최근에 배포한 모두의 프린터 3.06 버전의 64비트 실행파일의 경우
68개의 안티 바이러스 소프트웨어 중에 1개에서 위험성 보고를 했다고 알려 주고 있습니다.
흔히 많이들 쓰시는 것들은 따로 표시를 좀 해봤습니다.
모프 3.06 의 실행파일은 Trapmine 이라는 놈 하나에서 Malicious.high.ml.score 라는 놈이 검출된다고 하고 있습니다만.
https://blog.virustotal.com/2018/11/virustotal-trapmine.htmlVirusTotal += TrapmineWe welcome Trapmine scanner to VirusTotal. In the words of the company: “Trapmine ThreatScore is a machine learning-powered malware dete…blog.virustotal.com
바이러스토탈에서 제공하는 Trapmine 의 정보를 보면
보기 편하시라고 .. ㅎㅎ 구글 번역으로..
앞서 간단히 설명 드렸듯이 .. 이 Trapmine 이라는 놈도 흔히 말하는 딥러닝, AI기술을 활용해서 멀웨어등을 판별한다는 건데요 이런류의 것들은 우선 판단할 근거 데이터가 부족한 상황에서는 일단 위험한 것으로 판단하고 지속적으로 데이터 수집을 통해 제외시키는 형태로 돌아갑니다. 쉽게 말해서 Trapmine 이라는놈 기준으론 처음보는 듣보잡인데 막 파일도 기록하고 그러네? 일단 위험하다고 쳐!!
이런거죠 ㅎㅎ
바이러스토탈이 이렇게 다수의 안티 바이러스로 검사를 해주는 이유는 우선 악성 코드를 판별하기 위한 근거 데이터를 얻기 수월한 것도 있고 이런 식으로 정보를 보여주면 정말 이 프로그램이 위험한 건지 일부 안티 바이러스가 오진을 하는건지 그 일부 안티 바이러스의 정책상 일어나는 일인지 사용자가 판별할 수 있도록 하기 위함입니다.
가끔 이런 문의를 받습니다..
“매번 바이러스토탈인가 하는 사이트 결과를 올리고 안전하다는듯 말하는데 그 사이트가 믿을만 한지는 누가 보장하죠?”
라는 말씀을 하시는 분들이 계시는데요.
VirusTotal이라는 회사는 2004년에 창립된 회사고 2012년에 구글에서 인수를 해서 현재까지 구글의 소유 입니다.
쉽게말해 이 사이트를 통해서 수집되는 정보도 구글의 여러 서비스들에서 위험성 체크를 위해 사용되고 있을것이다 라고 유추해볼 수 있습니다.
제가 이 글을 쓰기 시작한 주의해야할 이유를 말씀 드리자면..
이 바이러스토탈이 매우 유용한 사이트인것은 사실입니다만. 이 사이트에 검사를 위해 업로드하는 파일들은 기본적으로 인터넷에 ‘공유’ 된다고 생각하시면 됩니다.
모두의 프린터 개발자 피로곰이 모두의 프린터를 배포하면서 안정성 체크를 위해 사용하는 사이트니 믿을만 하겠네? 라는 생각으로 이파일 저파일 아무 파일이나 막 이 사이트에다 업로드 하시면 안 된다는 겁니다.
기밀 또는 민감한 정보를 포함하였거나 개발중인 내부 실행파일 이라거나..
지금은 직접적으로 바이러스토탈에 업로드된 파일을 다운로드 받을 수 있는 방법이 없어진 걸로 알고 있습니다만. 과거에 바이러스토탈에 업로드된 검사 대상 파일을 다운로드 받을 수 있던 시절엔 이러한 점을 악용하여 악성코드 개발자가 악성코드가 포함된 실행파일을 바이러스토탈에 업로드하고 이 파일을 다운로드 받은 사람들이 악성코드에 감염되는 사건도 있었습니다.
내가 업로드한 파일이 다른 누군가가 다운로드가 가능하다 않하다 문제를 떠나서.
바이러스 검사를 위함이지만 외부 업체에 파일이 업로드가 되고 저장이 되어 있다는 말이 됩니다. 그게 유출이 되어서 정보유출에 의한 어떤 피해가 발생 하고 안하고의 문제를 떠나서.. 때론 그 행위 자체가 문제가 되는 상황이 발생하기도 합니다.
그런 이유로 이 사이트에 바이러스 검사를 위해 파일을 업로드 할 경우에는 그 파일이 외부로 전송되어도 되는 파일인지의 여부는 반드시 확인하시고 이용하시기 바랍니다.
이상입니다.