이스트시큐리티 CI[사진=이스트시큐리티]
30일 이스트시큐리티에 따르면 이날 오전 11시 30분 업데이트를 진행한 알약 공개용 버전(v2.5.8.617)에서 랜섬웨어 탐지 오류가 발생했다. 알약의 랜섬웨어 차단 기능이 윈도우 주요 서비스를 악성 행위로 탐지하고, 이를 차단한 것으로 추정된다. 기업용 버전의 경우 해당 문제에 영향을 받지 않는다.
이스트시큐리티는 오후 3시 30분께 공지문을 통해 "금일 업데이트된 알약 공개용에서 랜섬웨어 탐지 오류가 발생해 현재 정확한 원인 분석 및 긴급 대응 중"이라며 "제품 사용 중 불편함을 드려 진심으로 사과의 말씀을 드리며, 조속히 정상화될 수 있도록 최선을 다하겠다"고 밝혔다.
앞서 알약을 사용하고 있는 이용자들은 PC에서 일부 프로그램 접속 시 '랜섬웨어 차단 알림 메시지'가 표시되면서 해당 프로그램을 사용하지 못했다. 알약이 윈도우에 설치된 기본 프로세스를 랜섬웨어로 잘못 인식하고 이 같은 메시지를 띄우는 것으로 전해졌다.
알약은 랜섬웨어에 대한 행위기반 차단 기능을 갖추고 있다. 이날 진행된 업데이트에 코드 오류가 포함된 것으로 추정되며, 이로 인해 윈도우 정상 프로세스를 랜섬웨어로 인식해 차단하는 것으로 보인다.
이스트시큐리티에 따르면 해당 오류는 랜섬웨어 탐지 기능 고도화 적용 후, 랜섬웨어 탐지 기능 오작동으로 인한 것으로 확인됐다. 이 오류는 특정 프로세스에 대한 차단이 목적이기 때문에, 주요 프로세스가 삭제되는 등 사용자 PC에는 손상을 끼치지 않는다고 덧붙였다.
이와 함께 조치를 위한 복구 도구도 배포했다. 사용자가 PC 부팅이 가능한 상황이라면 이스트시큐리티 홈페이지에 접속해 수동 복구도구를 내려받아 실행하면 된다.
만약 부팅이 불가능한 상황이라면 PC를 강제로 3회 재부팅한 뒤 안전모드(네트워크 사용)로 진입해야 한다. PC 재부팅을 위해서는 전원 버튼을 5초 이상 눌러 강제로 종료해야 하며, 이를 3회 반복해야 한다.
이후 로그온 화면에서 우측 하단에 나타나는 전원 버튼을 키보드 시프트(Shift) 키를 누른 상태에서 클릭한다. 파란 화면이 나타난 상태에서 문제해결 > 고급옵션 > 시작설정 선택 후 다시 시작을 누른 뒤 재부팅 후 나타나는 '시작설정' 화면에서 키보드 F5 키를 눌러 안전모드로 부팅할 수 있다. 부팅 완료 후 이스트시큐리티 홈페이지에 접속해 복구도구를 내려받아 실행하면 된다.
한편, 보안 업계에서는 백신 등 보안 소프트웨어에 대한 최신 버전 유지를 사용자 보안 강화를 위한 주요 대책으로 꼽는다. 하지만 이번 사례 같은 개발사의 업데이트 배포 오류는 사용자의 업데이트에 대한 불신을 낳게 한다. 특히 알약은 국민 백신으로 꼽힐 만큼 인지도가 높기 때문에 이러한 사태가 재발하지 않도록 소프트웨어 공급망에 대한 보완이 필요할 것으로 보인다.
