공공 사이트 '악성코드' 배포 소동…왜?

'모바일인증서 이동서비스' 부실관리로 탐지오인

컴퓨팅입력 :2016/08/19 15:34    수정: 2016/08/25 18:39

정부가 관리하는 공공 웹사이트에서 악성코드를 포함하는 소프트웨어(SW)를 배포한 것으로 오해할 수 있는 상황이 발생해 논란이다.

배포된 SW에 유해성이 있었다고 단정하기는 어렵다. 하지만 전국민이 이용하는 사이트 관리에는 문제가 있다는 지적이 나오고 있다. 제대로 관리를 했다면 사용자들로 하여금 오해를 일으킬 수 있는 상황은 막을 수 있었다는 얘기다.

이번에 문제가 생긴 것은 '모바일 인증서 이동 서비스'다. 이 서비스는 공공 웹서비스를 위해 필요한 공인인증서를 PC에서 모바일 기기로 옮길 수 있게 해준다. 스마트폰으로 공인인증서를 다루는 정부의 조세, 사법, 군과 국방, 기타 행정업무용 모바일 애플리케이션을 이용할 때 쓰인다.

행정자치부 '모바일 인증서 이동 서비스'에서 공인인증서 이동을 위해 설치해야 한다고 안내되는 프로그램을 내려받을 때 출력되는 경고 메시지. 2016년 8월 18일 윈도 인터넷익스플로러 브라우저에서 접할 수 있었던 이 메시지는 이튿날인 19일 해당 사이트의 점검 이후 사라다.

처음 이 사이트를 이용하려 할 때 방문자는 'SmartMobileSign.exe'이란 이름으로 배포되는 '인증서이동 프로그램' 설치파일을 내려받아 실행하라는 안내를 받게 된다. 그런데 이 파일에 이상한 점이 있다는 제보가 들어 왔다. 설치파일에 바이러스가 섞여 있다는 내용이었다.

■ 정부 사이트가 방문자에게 안전하지 않다?

지난 18일 제보자는 "SmartMobileSign.exe 프로그램을 다운받았더니 인터넷익스플로러(IE)의 스마트스크린 기능이 차단한다"고 전했고, 또 해당 파일을 "마이크로소프트 백신프로그램인 'MSE'에서 'TrojanSpy:MSIL/Omaneat.B' 바이러스가 있다며 삭제한다"고 설명했다.

마이크로소프트 백신 시큐리티에센셜 실행 화면 예시.

이런 얘기다.

우선 IE의 '스마트스크린(SmartScreen) 필터'는 윈도PC로 피싱 사이트와 유해SW 다운로드를 막아 주는 브라우저 보안 기능이다. 유해성이 확인됐거나 확인되지 않았지만 유해성이 의심스러운 경로와 파일에, 사용자가 접근하지 않도록 경고와 차단 동작을 수행한다. 차단된 파일은 IE 브라우저에서 "안전하지 않은 다운로드"로 분류된다. 스마트스크린 기능을 해제하지 않는 한 이런 파일을 PC에 저장할 수 없다.

그리고 MSE는 마이크로소프트(MS)가 제공하는 윈도용 무료 백신 프로그램으로, PC에 저장된 파일 가운데 바이러스나 악성코드가 있는지 찾고 그 유형을 분류해 알려 주는 탐지 동작을 수행한다. 여전히 사용자 비중이 큰 윈도7 환경에 설치될 수 있는 형태로 배포된다.

윈도는 인터넷익스플로러에서 내려받는 파일이 스마트스크린 필터를 통과하지 못할 경우 이같은 경고를 보여 주며 PC에 파일을 저장하지 않는다.

한마디로 요약하면 MS가 개인 사용자들에게 '이 파일 받지 말고, 받아도 실행하지 말고, 실행하지 않더라도 갖고 있지 말라'고 일단 경고한 셈이다.

이런 MS의 메시지는 무료 웹메일 서비스인 '아웃룩닷컴'과 최신 운영체제(OS)에도 이어진다.

아웃룩닷컴에서 이 파일을 (exe 실행파일 형식은 막히기 때문에) ZIP으로 압축해서 첨부하려고 하면 "바이러스가 탐지됐다"며 이를 막아버린다.

그리고 윈도10 PC에서 exe 확장자를 수정해 첨부하려 하면 "파일에 바이러스 또는 기타 사용자 동의 없이 설치된 소프트웨어가 있기 때문에 작업이 완료되지 않았습니다"라는 시스템 메시지가 뜬다. 이는 윈도10에 내장된 통합 보안 기능 '윈도디펜더(Windows Defender)'가 스마트스크린 필터, MSE 백신과 비슷한 판단을 했다는 얘기다.

윈도10에 내장된 통합 보안 기능 '윈도디펜더'도 상황에 따라 모바일 인증서 이동 서비스에서 배포하는 프로그램 설치 파일을 맬웨어로 인식했다.

제보자는 "다른곳도 아니고 정부 사이트에서 제공하는 프로그램이 경보수준 심각에 해당하는 트로이 모니터링 바이러스에 감염되어 있다는게 믿기지 않는다"고 비판했다.

■오인 탐지가 유력

스마트스크린 필터 기능에서 안전하지 않은 다운로드로 분류했다는 사실만으로, 해당 파일이 반드시 악성코드나 바이러스를 포함했다고 단언할 수는 없다. MSE같은 개인용 백신 프로그램이 실제로는 사용자에게 해로운 동작을 하지 않는 파일을 유해SW로 오인하는 경우도 있다.

앞서 웹메일 파일 첨부 과정에선 문제의 파일에 "바이러스가 있다"던 윈도 디펜더는, MSE와 같은 개별 파일 대상의 바이러스 검사에선 이상이 없다는 결과를 냈다. 웹메일 서비스의 이상여부 안내도, MS의 아웃룩닷컴과 구글의 G메일은 모종의 보안상 우려를 표시했지만, 네이버메일이나 다음의 한메일 등 국내 포털에서는 첨부된 파일의 이상을 지적하지 않았다.

2016년 8월 18일 모바일 인증서 이동 서비스 사이트에서 배포되던 SmartMobileSign.exe 파일을 구글 G메일과 MS 아웃룩닷컴 등에 첨부해 전송을 시도했으나 실패했다. exe 파일이 아닌 확장자로 변경하거나 압축을 할 경우에도 마찬가지였다.

윈도7 PC에서 MSE를 비롯한 국내외 기업의 개인용 안티바이러스SW 7종으로 앞서 18일 배포된 SmartMobileSign.exe 파일의 바이러스 내지 악성코드 포함 여부를 놓고 원시적인 교차 검증을 수행했다. 모두 19일 오전까지 설치 가능한 최신 엔진 업데이트를 적용했다.

결과는 하나같이 이상이 없다는 것이었다. MSE는 "위협이 검색되지 않았습니다", 이스트소프트 알약은 "탐지된 항목이 없습니다", 네이버백신은 "발견된 악성코드가 없습니다", 안랩 V3 lite는 "발견된 악성코드가 없습니다", 하우리 바이로봇은 "모든 검사를 수행하였습니다", 어베스트는 "위협을 찾을 수 없음", 시만텍 노턴시큐리티는 "위협 요소를 찾을 수 없음"이라는 메시지를 출력했다.

정부에서 배포한 파일이 바이러스를 포함하고 있다는 MSE 백신의 탐지 내용을 알린 제보엔 문제가 없었다. MSE 백신의 탐지 결과가 하룻밤새 바뀌었을 뿐이다. 한 보안솔루션 업체도 해당 파일을 지난 18일 오후 대략적인 분석을 수행할 동안에는 몇몇 외국계 백신 솔루션에서 MSE와 비슷한 탐지 결과가 나왔으나, 하루 뒤인 현재는 그 결과가 재현되지 않았다고 전했다.

종합하면 18일 MS와 일부 백신을 통해 탐지된 정부 사이트 배포 파일의 바이러스는 오인일 가능성이 높다. 오인이 맞다면, MS의 아웃룩닷컴이나 구글의 G메일 등에서 첨부파일을 차단하는 동작도, 윈도10에 내장된 윈도디펜더의 경고 메시지도, 각 보안시스템의 갱신에 따라 바뀔 수 있다. 19일 정오 현재 아웃룩닷컴에선 첨부가 가능하고, G메일에선 여전히 차단된다.

모바일 인증서이동 서비스 웹사이트(2016년 8월 18일 캡처). 법무부, 국세청, 국방부, 검찰청, 방위사업청, 행정자치부 관련 모바일앱 이용시 요구하는 공인인증서를 PC에서 스마트폰으로 옮길 때 들르게 되는 사이트다.

■ 행자부 "사이트 중단, 점검 후 새 파일 게시"

19일 정오 현재 해당 사이트는 이상 없는 프로그램 설치 파일을 배포하고 있다. 지난 18일 저녁부터 19일 오전까지 사이트 운영을 일시 중지하고 시스템 점검을 진행한 결과다. 여기엔 "시스템 안정화를 위한 서비스 점검 작업으로 서비스 이용을 잠시 중단한다"는 간단한 안내가 있었으나, 어떤 이유에서 뭘 점검하는지 설명하는 내용은 없었다.

모바일 인증서 이동 서비스 웹사이트 관리는 행정자치부 소관이다. 사이트 이용자로부터 제보를 받은 지난 18일 오후, 행자부 담당자에게 해당 사이트에서 배포되고 있는 파일에 이상이 있는 게 아닌지 문의했다. 그는 문제의 설치 파일이 스마트스크린 필터 기능에 걸려 위험한 다운로드로 분류되는 상황을 인정하면서도 오인탐지 가능성이 높다는 취지로 답변했다.

담당자는 "점검을 해봐야 할 것 같다"고 말했지만, 부서에서 사용 중인 안랩 백신 프로그램은 이상 여부를 나타내지 않았다고 언급했다. 그는 스마트스크린 필터 기능은 오인 탐지일 경우가 빈번하기 때문에, 그 기능을 해제하고 파일을 정상적으로 내려받을 수 있으며, 이를 설치했을 때 서비스를 정상 이용할 수 있다고도 설명했다.

정부의 모바일 인증서 이동 서비스 웹사이트는 2016년 8월 18일 저녁부터 19일 오전까지 시스템 점검을 위해 서비스를 일시 중단했다.

급히 서비스를 이용해야 하는 처지라면 이를 친절한 안내로 받아들일 수 있겠지만, 보기에 따라서는 보안 기능을 해제했을 때 실제로 피해를 야기할 수 있는 보안 위협도 감수하라는 뉘앙스로도 읽힌다.

이같은 태도는 액티브X를 비롯한 비표준 플러그인 사용을 강제하는 여타 공공웹사이트에서도 공통적으로 접할 수 있는 태도다.

이후 담당자는 19일 오전 "밤사이에 국가정보원과 (보안관제 의뢰업체인) 안랩 측과 함께 점검하며 확인한 결과 배포된 파일엔 문제가 없다는 통지를 받았다"며 "새로운 기능이 들어가면서 오인탐지를 하는 부분을 MS에서 걸러내지 못한 것 같은데, 기존 버전의 프로그램에도 전혀 문제가 없지만 사이트 점검 후 (오인탐지를 안 당하는) 새로운 파일을 게시하기로 했다"고 말했다.

■하룻밤새 정상화…바뀐 건?

악성코드가 아닌데도 일부 백신이 악성코드로 오인하는 상황이 벌어지는 것과 관련해 웹사이트 운영하는 정부는 책임에서 자유로운 것일까?

담당자 설명대로 사이트는 재가동되고 있고, 새로 게시된 파일에선 더 이상 바이러스가 탐지되지 않고 있다. 그러나 이걸로 당초 위험할 수 있다고 의심을 산 공공웹사이트와 거기서 배포된 파일에 아무 문제가 없었다는 얘긴 아니다. 현행 사이트 운영 및 관리 체계가 유지될 경우, 앞으로도 MS가 윈도나 브라우저 보안 기술 정책을 바꿀 때마다 비슷한 상황을 반복할 가능성이 크다.

과연 기존 SmartMobileSign.exe 파일에 전혀 이상이 없었을까? 엄밀히 말해 이상이 없었다면 정부가 굳이 새로운 파일을 게시할 필요는 없다. 스마트스크린 필터의 차단목록을 관리하는 MS에, 잘못 걸러진 사례가 있으니 고치라고 전달하고 끝낼 일이다. 뒤집어 말해, 새로운 파일을 게시했다는 사실 자체가 해당 파일의 '이상'을 방증한다. 다행히 바이러스를 포함했을 만큼 심각한 문제가 아니었다.

어떤 이상이었는지는 시스템 점검 전후 바뀐 파일을 대조해 짐작할 수 있었다. 두 exe 파일 모두 실행하면 프로그램 설치파일 33개의 압축을 해제하고 각각을 PC에 저장, 시스템 정보에 등록하는 동작을 수행한다. 시스템 점검 후 그 33개 중 일부 파일이 교체됐다. 이에 시스템 점검 전 배포되던 exe 파일은 스마트스크린 필터에 탐지됐고, 시스템 점검 후 배포하는 exe 파일은 필터를 통과했다.

관련기사

특히 실제 프로그램 구동을 위한 실행파일로 추정되는 Launcher.exe 파일이 원본 크기는 그대로였지만 압축된 크기가 바뀐만큼, 내용에 변경이 있었을 수 있다. 설치프로그램에 포함된 액티브X 모듈 SmartMobileSign.ocx 파일도 변경된 것으로 파악됐다. 다만 구체적으로 변경 전후 배포된 파일간의 어떤 차이가 스마트스크린 필터의 탐지 요인으로 작용했을지는 확인하기 어려웠다.

한국MS 담당자는 해당 파일을 차단한 사례가 "스마트스크린 필터의 패턴인식 알고리즘이 악성코드와 유사한 형태의 동작을 자동으로 잡아낸 결과"라면서도 "본사 엔지니어링팀의 확인 분석 결과 (차단됐던) 파일에는 악성코드가 없었고, 스마트스크린 필터의 오탐이었다"고 설명했다.