C++Builder  |  Delphi  |  FireMonkey  |  C/C++  |  Free Pascal  |  Firebird
볼랜드포럼 BorlandForum
 경고! 게시물 작성자의 사전 허락없는 메일주소 추출행위 절대 금지
분야별 포럼
C++빌더
델파이
파이어몽키
C/C++
프리파스칼
파이어버드
볼랜드포럼 홈
헤드라인 뉴스
IT 뉴스
공지사항
자유게시판
해피 브레이크
공동 프로젝트
구인/구직
회원 장터
건의사항
운영진 게시판
회원 메뉴
북마크
볼랜드포럼 광고 모집

헤드라인 뉴스
[342] 변형된 델파이 바이러스 대응책 마련 시급
박지훈.임프 [cbuilder] 8483 읽음    2009-08-23 08:58
델파이 바이러스, 국내백신업체 바이러스 목록서 최초로 제외돼

최근 발견된 델파이 개발프로그램을 이용한 바이러스가 국내 개발자들 사이에서 생각했던 이상의 파급으로 이어져 주목된다. 물론 이 ‘Win32.Induc.a’ 바이러스 자체는 감염시키는 것 외에는 아무런 피해를 주지 않았다. 하지만 실제로 이 바이러스를 국내·외 백신프로그램들이 치료를 하지 않고 삭제를 해 실행파일 마저 실행되지 않는 혼란이 야기된 것. 더구나 이 바이러스를 응용하면 그 파괴력은 엄청날 것이란 것이 이들 델파이를 응용해 프로그램을 개발하는 개발자들의 목소리다.

국내 백신업체들, 바이러스 목록서 최초로 제외시키는 긴급조치 취해
이번에 발견된 ‘Win32.Induc.a’ 바이러스는 복제코드가 일반인 PC에서 문제를 일으키는 것은 아무 것도 없으며 복제조차도 하지 않는 것으로 알려지고 있다. 다만 델파이가 설치된 개발자 PC에서 스스로를 복제하도록 델파이를 조작할 뿐이지만 개발자 PC에도 아무런 피해를 끼치지는 않는다.

이에 박지훈 데브기어 기술팀장은 “델파이 개발자 PC에서만 그것도 복제만하는 Win32.Induc에 대해 만들어진 프로그램을 바로 삭제(또는 삭제 권고)를 하는 백신프로그램의 대응은 지나쳐도 너무 지나친 부적절한 조치”라며 “바이러스의 동작을 충분히 분석하고 기술적으로 이해한 상태에서 대책을 세우는 것이 가능한 전문가 집단인 개발자들임에도 불구하고 백신 업체들이 지나친 과잉대응을 해 델파이 개발자들이 직간적적으로 피해을 보고 있다. 바이러스로부터의 피해는 전혀 없는데 백신으로부터의 피해가 발생했다”고 말했다.

참고로 델파이 개발프로그램은 미국 볼랜드사가 처음으로 개발한 이후 미국 엠바카데로 테크놀로지사가 현재까지 개발·공급하고 있으며, 데브기어는 이 엠바카데로 테크노롤지사와 기존의 한국지사의 협력으로 전략적으로 국내에 엠바카데로 솔루션을 전문적으로 공급하는 기업이다. 그리고 이번에 이 바이러스로 감염된 델파이 개발프로그램 버전은 4.0, 5.0, 6.0, 7.0이며, 7.0 버전은 2002년도에 나온 제품이며, 델파이 2010버전은 다음 주중으로 발표돼 출시될 예정이다.

백신프로그램은 현재까지 바이러스에 감염된 실행압축 파일의 경우에는 압축을 풀고 치료를 한다고 하더라도 원본파일로의 복구가 이루어지지 않아 대부분이 감염된 실행 압축파일은 삭제를 하고 있다. 그러다 보니 이번에도 감염된 실행압축 파일을 진단한 백신프로그램들이 삭제처리를 하다보니 감염된 프로그램의 실행파일이 삭제돼 구동을 하지 못하게 하는 사태가 벌어진 것.

이에 현재 국내 백신프로그램들은 이 복제 코드를 진단해 삭제하지 않도록 바이러스 목록에서 빼는 긴급조치를 취한 것으로 알려지고 있으며, 델파이의 국내 벤더사인 데브기어 측은 현재도 계속 백신프로그램으로 인한 피해 상황들을 모니터링하고 있으며 문제를 일으키는 백신들에 대한 조치를 계속하고 있다고 전했다.

한편 조시행 안철수연구소 상무는 “델파이와 같은 개발프로그램에 바이러스가 심겨져 전파된 이번과 같은 독특한 사례는 국내에서는 처음 발생했다”며 “물론 바이러스 중 좋은 것은 결코 없다. 그런 만큼 치료가 안되면 삭제 시키는 것에는 변함이 없다. 하지만 이번과 같이 실행압축 파일을 삭제함으로써 피해가 늘어나고 있는 상황에서 정책만 고수할 수는 없어 이례적으로 안철수연구소에서는 처음으로 바이러스 목록에서 실행압축 파일에 대한 이 바이러스에 대해서는 유보시켜 일단은 목록에서 제외시켰다”고 말했다.

현재 국내 백신업체들의 경우 일반파일에 대해서는 치료를 하지만 이 바이러스에 감염된 실행압축 파일의 경우 치료가 아닌 삭제처리를 함으로써 문제가 발생한 이번 사건은 이후 백신업체들에게 큰 과제를 남겨준 셈이다. 물론 백신업체 스스로가 해결할 수 있는 문제만은 아니지만 이에 대해서는 이후 다시금 살펴보도록 한다. 그리고 무엇보다 이번 사건이 중요한 것은 이 바이러스를 응용하면 그 파괴력은 더욱 엄청날 것이며 그런 만큼 그에 대한 대책마련이 시급하다는 점이다.

“변형된 바이러스로 공격된다면 그 파괴력은 엄청날 것”
델파이 프로그램으로 압축프로그램인 빵집을 개발한 양병규씨는 “Win32.Induc.a 바이러스 자체는 감염시키는 일 외에는 아무 것도 하지 않기 때문에 전혀 해가 없다고 해도 과언은 아니지만 이 바이러스를 응용하면 그 파괴력은 엄청날 것”이라고 주장한다.

이 바이러스는 바이러스 자체에 Sysconst.pas가 컴파일된 실행코드와 그 소스코드가 함께 포함돼 있어서 소스를 컴파일해서 라이브러리화해서 개발자가 바이러스코드가 포함된 최종목적파일을 생성해 내는 방식이다. 바이러스를 컴파일하는 과정에서 소스에 사용자(개발자) 이름이나 아이피주소를 넣거나 혹은 함수를 여러 개 만들어서 호출하는 함수를 랜덤하게 결정한다는 등의 방법으로 소스를 수정한 후 컴파일하면 그 사용자(개발자)만의 독특한 패턴을 가진 EXE를 만들어낼 수 있을 것이란 것이 양병규씨의 말이다.

또한 양병규씨는 “백신프로그램은 그렇게 패턴변경된 바이러스를 체크하려면 ‘Virus.Win32.Induc.a 삼X PC매니저용’, ‘Virus.Win32.Induc.a XX프로그램용’의 식으로 백신을 개발해야 한다. 바이러스는 하나인데 패턴은 수백가지가 될 수 있고 그 중 몇가지만 치료가 안돼도 멸종되지 않을 것이며, 그러면 문제는 정말 심각해 질 수 있다”는 설명이다.

다행히도 이번 바이러스는 EXE에서만 동작을 하고 DLL에서는 동작하지 않는 것으로 알려지고 있다. 만약 이번 바이러스의 개발자가 DLL에서도 동작하게 만들었다면 액티브X에 포함된 바이러스도 실행이 될 것이고 그렇게 되면 사실상 델파이로 만든 액티브X가 모든 컴퓨터에 깔려 있다고 해도 과언이 아닌 대한민국은 이 바이러스에 모든 컴퓨터가 감염될 수도 있었을 것이다. 그것이 만약 트로이목마이고 트로이동작 날짜 전에 발견되지 않는다면 최악의 바이러스 사태가 발생했을 수도 있었다는 말이다.

여기에 양병규씨는 “더군다나 이번 바이러스는 바이러스 자체에 소스까지 다 들어있어서 델파이를 조금만 할 줄 알면 금방 변형이 가능하다”며 “이 바이러스를 변형해서 배포하는데는 몇 시간이면 충분하다”고 경고했다.

특히 그런 점에서 양병규씨는 “이 방식이 대부분의 개발툴에 적용될 수 있는 만큼 델파이뿐만이 아니라 MS 등의 개발툴 개발 업체들이 모여서 공동으로 이 문제에 대한 대책을 강구해야 한다”고 덧붙였다.

한편 미국 델파이 벤더사인 미국 엠바카데로 테크놀로지사는 현재 이번과 같은 사태는 미국이나 유럽 등이 아닌 한국에서만 국한돼 발생된 것으로 파악하고 있다. 이에 한국 밴더사인 데브기어 박지훈 기술팀장은 “델마당(www.delmadang.com) 등과 같이 국내처럼 델파이 개발자들의 커뮤니티가 이렇게 활성화된 나라가 전세계적으로 없다. 그런 활성화된 커뮤니티를 통해 이 바이러스가 전파된 것 같다”고 말하고 “현재까지의 상황을 종합해보면 이번 Induc 코드는 올해 2월 정도부터 퍼지기 시작했던 것으로 보이며, 그렇게 오랫동안 검출되지 않았던 이유들에는 실제 피해를 입히지 않았던 이유도 있지만 구버전이라는 이유도 있다. 델파이 4~7버전은 본사에서 더 이상 기술지원을 하지 않는 구버전이기 때문에 완전히 관심사에서 벗어나 있었던 것이다”고 말했다.

이어 박지훈 기술팀장은 “이와 같은 방식으로 마찬가지로 MS의 구버전인 비주얼스튜디오 6.0과 같은 구버전에서 이같은 악성코드가 퍼지기 시작하면 그 피해는 델파이의 경우보다는 훨씬 압도적일 것”이라며 “하지만 사실 벤더 측에서 이 문제에 대한 근본적인 해결책을 세우는 것은 그리 어려운 일은 아니지만 벤더가 문제의 심각성을 어느 정도 인지하느냐가 더 큰 문제라고 본다”고 덧붙였다.

김정완 기자(boan3@boannews.com)

원문 : http://www.boannews.com/media/view.asp?idx=17550&kind=1
김병주 [webspys]   2009-08-28 08:14 X
백신 다운받으세요! http://tmcs.co.kr/delphi

+ -
이전글:  
다음글:  
Google
Copyright © 1999-2015, borlandforum.com. All right reserved.