"정상 파일을 악성 파일로 둔갑"··· 가짜 악성코드 해결 업체 '주의보'

스캐머와 애드웨어를 뿌리는 사람들은 오래전부터 더 많은 피해자를 꾀기 위해 자신에게 도움이 되는 인터넷의 속성을 악용해 왔다. 검색 엔진이 이런 방해와 교란을 걸러내려 최선을 다하고 있지만, 스캐머 또한 피해자가 불필요한 소프트웨어, 때론 악성 소프트웨어를 설치하도록 속이거나 부추기고 있다. 그리고 흔하지 않은 전술, 사람을 현혹하는 정보를 사용해 피해자를 부추기는 데 성공한 사례가 꽤 많다. 필자가 최근 겪은 사례가 좋은 예가 될 수 있을 것이다.



최근 필자는 마이크로소프트 아웃룩을 사용할 때 컴퓨터가 느리고 이상하게 작동하는 것을 발견했다. 다시 부팅을 하자 전혀 공지가 없었던 마이크로소프트 오피스 패치를 자동으로 설치하려는 했다. 전에도 이런 일을 2~3번 있었다. 즉, 마이크로소프트 오피스 앱에서 패치가 적용되려 하면서, 앱이 잠기면서 작동을 멈추는 경우였다.

패치를 설치한 후 마이크로소프트가 무료로 제공하는 프로세스 탐색기(Process Explorer)를 실행하고 바이러스토탈(VirusTotal) 옵션을 활성화했다. 컴퓨터가 느려지거나, 이상하게 작동할 때 필자가 항상 하는 일이다. 이렇게 하면 악성코드를 제외할 수 있다. 패치 문제가 ‘부정 오류(진짜를 가짜로 잘못 판단)’인지 판단할 수 있는 것이다.

프로세스 탐색기는 모든 활성 실행 파일 및 프로세스의 해시 결과를 구글 바이러스토탈 데이터베이스와 비교한 후 얼마나 많은 바이러스백신 엔진이 해당 인스턴스를 악성으로 분류했는지 알려준다. 아마 대부분의 경우에는 0/70식으로 결과가 나타날 보고될 것이다. 70개 바이러스 백신 엔진 가운데 해당 인스턴스를 악성으로 분류한 엔진이 단 한 개도 없다는 의미, 즉 아무 문제가 없다는 것이다.

하지만 유감스럽게도 1~2개의 바이러스 백신 엔진은 적법하고 악성이 아닌 프로세스를 악성으로 분류해 보고하곤 한다. 수많은 컴퓨터에서 프로세스 탐색기를 오랜 기간 사용한 필자의 경험상, 1/x(바이러스 백신 엔진의 수)나 2/x는 부정 오류일 확률이 거의 100%이다. 통상 이런 부정 오류는 업체에 보고되고, 업체는 1~2일 이내에 이 문제를 해결한다. 프로세스 탐색기에서 3개 이상의 바이러스 백신 엔진이 악성으로 분류하는 경우만 걱정하면 된다. 대부분의 악성 프로그램은 10개 이상의 바이러스 백신 엔진이 이를 발견, 악성으로 분류한다. 

이번 경우 프로세스 탐색기를 실행시켜 몇 개 정도에서 1/70, 1개에서 1/67이라는 보고를 받았다. 이 가운데 악성이 존재하는 것을 걱정하지는 않았지만, 부정 오류 보고서에 매번 conhost.exe가 표시되고 있으므로 이를 좀더 살펴보기로 했다. 사실 Conhost는 윈도우 명령창 환경에서 실행되는 프로그램이라면 어떤 프로그램에도 해당될 수 있다. 정확한 설명은 아니지만, 구식 DOS 프롬프트 환경에서 실행해야 하는 프로그램이 이렇게 표시되는 것으로 보인다.



더 자세한 정보를 확인하기 위해 보고된 각 conhost 인스턴스를 열었다. 처음 2개는 필자가 워크스테이션 모니터링 및 보호 목적에서 내 컴퓨터에 설치한 보안 소프트웨어와 관련이 있었다. 그런데 세 번째는 필자가 잘 모르는 pcdwr.exe라는 실행 파일과 관련이 있었다. 새로 발견한 잘 모르는 실행 파일에 대해 항상 하던 대로, 구글 검색을 했다. 그러자 다음과 같은 검색 결과가 나왔다.



정말 악성코드일까
이 중에서 끝에서 두 번째 결과에 “PCdrwi.exe는 유해하고, 파괴적인 트로이의 목마···”라는 내용이 시선을 끌었다. 클릭하자 PCThreatKill.com이라는 정보성 경고 페이지로 연결됐다. 무서운 내용이 가득한 페이지였다. 내 아이가 역병에 걸렸을지 모른다는 내용이 없는 것이 이상할 정도로 공포를 유발하는 정보가 가득했다. 예상했던 대로, 아주 위험한 악성코드를 제거하기 위해 자신의 소프트웨어를 다운로드할 것을 권장했다.

SpyHunter와 Wipesoft라는 바이러스 백신 소프트웨어였다. 물론 이것이 적법한 소프트웨어인지, 애드웨어나 악성 프로그램이 아닌지 알 수 없었다. 그러나 불필요하다는 확실했다. 다행히, 필자는 이런 사이트가 ‘공포’ 전술을 사용하는 사이트라는 것을 잘 알만큼 경험이 많다. 아무 파일이나 악성 파일로 둔갑시킬 수 있다.

이 사이트를 빠져나와, 다른 구글 검색 결과 페이지를 클릭했다. Dell PC-Doctor와 관련이 있는 적법한 실행 파일이라는 정보를 얻을 수 있었다. 필자는 델 노트북 컴퓨터를 쓰고 있고, 델에 이런 프로그램이 있다는 것을 알고 있었다.

이것이 바이러스 프로그램이 아니고 적법한 PC-Doctor 프로세스인지 확인하기 위해, 프로세스 탐색기로 직접 pcdwri.exe 프로세스를 조사했다. 그리고 PC-Doctor 파일 위치에서 서명되고 실행되는 프로세스라는 것을 확인했다. 실제 파일 해시를 바이러스토탈로 보내자 깨끗하다(0/71)는 결과가 나왔다. 최초 발견한 conhost가 ‘부정 오류’에 해당하며, PCThreatsKiller.com의 정보는 무시할 수 있다고 결론내렸다.

악성코드와 악성코드 ‘해결’ 사이트 모두 조사
조금 더 조사를 해보니 PCThreatsKiller.com이 많은 적법한 파일을 악성 파일로 둔갑시켜 경고하고 있음을 알게 됐다. 이번에는 PCThreatsKiller.com의 ‘평판’을 조사했다. 그리고 다른 사용자들에게 이 사이트, 이 사이트가 추천하는 소프트웨어를 사용하지 말라고 경고하는 다양한 결과를 발견했다.

이런 리뷰에 매우 놀란 것은 아니다. PCThreatsKiller.com이나 관련 소프트웨어가 악성인지 여부는 모른다. 그러나 발견한 사실에 도움이 될 세부 정보를 제공하지 않으면서 무엇이 좋다, 나쁘다고 말하는 사이트는 경계해야 한다.

악성 파일은 원하는 대로 이름을 지을 수 있다. 적법한 파일 이름 아래 숨기는 경우도 아주 많다. PCThreatsKiller.com은 pcdwri.exe가 PC-Doctor와 관련이 있을 수 있다는 정보를 제공하지 않고, 불필요한 소프트웨어 설치를 권장했다. 이는 필자 개인이 앞으로 절대 사용하지 않을 부류로 분류하는 사이트, 소프트웨어다.

오래전부터 이런 사이트가 존재했다. 예전에 적법한 드라이버를 검색한 적이 있었다. 구글과 빙에서 찾는 드라이버가 위치한 사이트를 찾았다. 드라이버에 대한 검색 광고로 인해 표시된 사이트였다. 그런데 이런 사이트에는 적법한 드라이버가 없었다. 모두 악성코드, 스파이웨어, 기타 애드웨어 프로그램이었다. ‘진정성’ 여부와는 상관없이, PCThreatsKiller는 이때를 생각나게 했다.

꽤 오랫동안 이런 사이트가 검색 결과에 만연했다(이른바 'SEO 중독'이다). 마이크로소프트와 알파벳 모두 오랜 기간 이런 (잠재적인) 악성의 불필요한, 나쁜 검색 결과를 없애려 노력을 했다. 그러나 힘든 싸움이고 사실상 패배하고 있다. 악성인 것, 또는 유용하지 않은 것은 항상 빠져나갈 구멍을 찾는다.

따라서 기업은 동료나 관리자에게 이런 종류의 사이트를 조심해야 한다고 충고하고 이에 대해 교육해야 한다. 도움이 되는 것처럼 보이지만 실제로는 그렇지 않은 사이트를 구별할 수 있어야 한다. 만약 어떤 사이트가 상세한 정보 없이, 파일 이름만으로 악성 여부를 주장한다면 시간을 낭비할 필요가 없다. 이런 사이트의 충고는 어떤 종류의 충고이든 나쁜 충고다. 오히려 문제를 일으킬 수 있다. ciokr@idg.co.kr