포스팅 내용

전문가 기고

백신이 죽었다? Kill AV 기능을 가진 악성코드 주의

나도 모르게 백신이 삭제된다면? 백신무력화(Kill AV) 기능을 가진 악성코드 주의


악성코드에는 여러 종류가 있습니다. 특징적인 행위에 따라서 사용자의 특정 정보를 탈취하고 전송한다면 스파이웨어(spyware), 자기자신을 복사하여 다른 폴더나 드라이브에 저장한다면 웜(worm). 하지만 근래의 악성코드들은 이러한 주 기능 외에 또 다른 기능들을 많이 내포하고 있습니다. 


그 중 가장 보편적인 기능이 되어 버린 것이 바로 백신무력화(이하 Kill AV) 기능입니다.


Kill AV 기능이란?

악성코드가 실행되기 전에 자기자신을 탐지할 보안 소프트웨어, 즉 백신 프로그램에 대한 프로세스 및 서비스를 강제로 종료시키는 행위. 


Kill AV 기능은 가끔 사용자 분들의 걱정이나 오해를 불러일으키기도 합니다. ㅠㅠ 그도 그럴것이, 시스템 권한이 관리자보다도 높게 설정되어 있기 때문에 프로세스 종료가 어렵기 때문이지요. 이는 알약뿐만 아니라 다른 백신들도 마찬가지인데요. 백신 서비스를 누구나 쉽게 종료할 수 있게 되면 공격자의 악성코드 공격에 대해 취약점을 가질 수 있기 때문입니다.



하지만 최근에 확인된 Kill AV 기능 중 위에서 언급한 프로세스나 서비스를 종료 시키는 것이 아닌, 대놓고 언인스톨 하는 악성코드가 발견되었습니다. 이는 과거 Kill AV 기능과 많이 다르지만 악성코드가 설치된 시스템의 보안 소프트웨어의 무력화를 진행한다는 점에서 같은 맥락으로 볼 수 있습니다. 


이러한 악성코드는 정상적인 경로가 아닌 P2P 사이트나 블로그를 통해 마구잡이식으로 유포됩니다. 이 때, 프로그램 다운로드 시 자동으로 체크박스에 설정되어 있는 스폰서 프로그램 다운로드에 동의하여 설치된다는 것이 특징입니다. 이렇게 비정상적인 경로로 다운로드된 스폰서 프로그램은 Program Files에 자기 자신을 설치하는 것 외에 임시폴더에 보안 프로그램을 삭제하는 악성코드를 생성합니다.


보안 프로그램을 삭제하는 악성코드가 생성된 화면


생성된 “C:\Documents and Settings\(사용자계정)\Local Settings\Temp\svchost.exe” 파일은 “WinLogon” 서비스 항목을 등록하여 시작 시 자동실행 하도록 구성되어 있습니다. 또한 실행된 해당 악성코드는 특정 웹 서버와 계속적인 통신을 하게 되며, 자기 자신이 설치된 시스템의 Windows 방화벽 기능을 비활성화하고 설치된 백신을 찾은 후 언인스톨을  실행하게 됩니다.


백신 프로그램 삭제 메시지


위와 같은 메시지는 알약 언인스톨이나 제어판의 프로그램 추가/제거를 통해 알약을 삭제했을 때 확인할 수 있는 메시지입니다. 기존 백신의 프로세스나 서비스를 종료하는 보편적인 Kill AV기능과는 다르기 때문에 사용자는 자신의 의도와 다르게 이미 백신이 삭제되어, 삭제 안내 메시지를 받게 되는 황당한 일을 경험할 수 있습니다.



백신 무력화는 보안 등급 '빨간불' 의미... 대응 방법은?


국내에는 수많은 프로그램이 공인되지 않은 웹사이트, 블로그 등 비정상적인 경로를 통해 유포되는 경우가 많습니다. 악성 프로그램에 감염되어 백신이 삭제된다는 것은 곧 악당을 잡을 경찰이 없어진다는 의미와 다를 바 없지요. 따라서 사용자의 보안 환경이 심각하게 위협받을 수 있습니다. 이를 사전에 예방하거나, 대처할 수 있는 방법에는 어떤 것들이 있을까요?



1. 프로그램 다운로드는 반드시 '공식 사이트'를 이용하기


Kill AV 기능을 탑재한 악성코드는 다양한 형태로 존재할 수 있습니다. 또한 이러한 악성코드가 유포되는 경로도 다양합니다. 웹사이트의 취약점을 악용하여 해당 악성코드가 탑재된 파일을 설치할 수도 있고, 공인된 경로가 아닌 P2P 사이트나 블로그 등을 통해 확산될 수도 있습니다. 실제로 Kill AV 기능을 가진 악성코드 유포지는 대부분 감염된 웹사이트 혹은 블로그를 통해 정상 파일(실제로는 감염되었음)로 위장하여 퍼지는 경우가 대부분입니다. 따라서 치명적인 악성코드 감염을 예방하기 위해서는 특정 프로그램을 다운로드 받을 때 반드시 공식 홈페이지 등 안전한 경로를 이용해야 합니다.



2. 백신은 항상 최신 업데이트 유지! 


백신이 삭제됐다면? 먼저 안전모드에서 악성코드가 실행되기 전 백신을 재설치한 후, 최신 업데이트를 유지하여 악성코드를 치료해 주셔야 합니다. 또한 이러한 Kill AV 기능을 가진 악성코드는 시스템에 설치하기 전 치료하는 것이 중요합니다. 따라서 평소 백신의 상태를 '실시간 감시'를 유지하시는 것이 좋습니다. 그러나 백신을 재설치해도 동일한 증상이 지속적으로 반복된다면 '전용백신'을 이용하시길 권해 드립니다. 

(▶전용백신 관련 자세한 내용은 여기를 참고)




  1. eun 2014.06.27 10:08  수정/삭제  댓글쓰기

    악성코드에서 백신을 삭제할 때 위의 그림과 같은 '백신 프로그램 삭제 메시지'가 나오는 건가요?

    • 알약(Alyac) 2014.06.27 13:58 신고  수정/삭제

      안녕하세요. 알약입니다. 타 백신의 경우는 확인이 되지 않았으나, 알약이 삭제될 경우 언인스톨이 완료된 후에 시스템 재부팅 메시지가 저러한 형태로 띄워집니다. 따라서 악성코드에서 삭제 메시지를 띄우는 것은 아닙니다. 더 궁금한 사항이 있으시면 댓글에 추가 부탁 드리겠습니다. 감사합니다. ^^

  2. 2016.12.08 01:02  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 알약(Alyac) 2016.12.08 09:13 신고  수정/삭제

      안녕하세요. 알약에서는 별도의 포상 제도(버그바운티)는 운영하고 있지 않습니다. 다만 한국인터넷진흥원(KISA)에서 신규 취약점 신고 포상제(http://www.kisa.or.kr/notice/notice_View.jsp?mode=view&p_No=4&b_No=4&d_No=1251)를 운영하고 있으니, 그 부분을 확인하시면 좋을 것 같습니다. 더불어 저희 쪽으로는 알약 [신고하기]를 통해 신고해주시면, 확인 후 신속하게 처리할 수 있도록 노력하겠습니다. 감사합니다. ^^

티스토리 방명록 작성
name password homepage