맥아피 업데이트 사태, “시작부터 지금까지”

21일은 맥아피(McAfee) 제품을 사용하는 기업 IT 관리자들에게 힘든 날 중 하나였다. 일부에서는 맥아피로부터 안티바이러스 업데이트를 받은 후 윈도우 XP를 구동하는 기업의 PC 수백 대, 수 천대가 완전히 사용할 수 없게 되기도 한 것이다.

이 시점에서 정확한 사고 경위는 알 수 없으나, PC를 망치는 것이 아니라 보호할 임무를 갖고 있는 업체의 제품에 무슨 일이 일어났고, 누가 피해를 입었으며, 원인은 무엇인지 내용을 정리해보도록 하겠다.

무슨일이 일어났는가?

짧게 이야기 하자면 맥아피가 엉망이 됐다.

길게 답하는 것은 조금 더 복잡하다. 수요일에 맥아피가 기업 고객들에게 제공하는 일일 업데이트는 상대적으로 덜 위험한 “W34/wecorl.a” 바이러스를 추적해서 없애는 것이 목적이었다. 하지만 이것 대신에 이 업데이트는 윈도우 XP 서비스 팩 3에 들어있는 주요 파일인 “svchost.exe” 파일을 맬웨어로 인식해서 기존 위치에서 삭제해버렸다. 어떤 경우에는 이 파일을 완전히 삭제해버리기도 했다.

왜 PC들이 이번 업데이트를 받은 후 충돌하거나 다운되어 버렸는가?

Svchost.exe 파일은 다른 윈도우 DLL(dynamic link libraries)에서 구동되는 서비스들을 위한 특유의 호스팅 프로세스로 이 파일이 없으면 윈도우 PC가 적절히 부팅되지 않는다.

이에 따라 사용자들이 업데이트를하고 재부팅을 했을 때 PC가 충돌이 일어나면서 재부팅을 반복했다. 대부분은 모든 네트워크 기능이 마비됐으며, 일부는 USB 드라이브를 볼 수가 없었는데, 일반적으로 플래시 드라이브를 통해서 다른 컴퓨터에서 svchost.exe 파일을 재설치하면 복구가 가능하지만 USB 드라이브가 보여지지 않았기 때문에 더 큰 문제가 됐다.

어떤 PC가 영향을 받았는가?

맥아피에 따르면, 윈도우 XP 서비스팩 3를 구동하는 PC만 피해를 입었다.

하지만 맥아피 지원 사이트에서는 비스타 구동 PC도 영향을 받았다는 보고가 있기도 하다.

왜 윈도우 XP SP3 구동 PC 중에서도 일부만 피해를 입었는가?

맥아피에 따르면 바이러스스캔(VirusScan) 8.7 제품을 이용하는 PC만 영향을 받은 것으로 나타났다. 만일 엔터프라이즈 8.5 등 오래된 버전을 이용하고 있다면 피해가 없을 것이다.

맥아피의 위협 응답 팀의 책임자인 사만사 프라이스는 대부분의 바이러스스캔 8.7에 고정값으로 비활성화 되어있는 ‘스캔 프로세스 활성화” 옵션이 비활성화 되어 있으면, 피해가 없는 것으로 확인됐다고 전했다.

하지만 이것도 전부는 아니다. 한 제보자는 설정이 고정값으로 되어 있음에도 불구하고 피해를 입었다고 주장했다. 그리고 맥아피의 사용자 지원 문서는 바이러스스캔 8.7을 패치 1로 업데이트한 후 이 기능을 비활성화 시키라고 안내하고 있으며, 바이러스스캔 8.7 패치 3의 설명서 파일에도 같은 사항이 명시되어 있다.

네트워크 설계 및 지원 업체인 센트럴리티(Centrality) 관리 책임자인 마이크 데이비스에 따르면, 상황을 더욱 복잡하게 만드는 것은 맥아피의 EPO(Enterprise Policy Orchestrator)를 처음 설치할 때에는 스캔 프로세스 활성화가 비활성화로 기본설정이 되어 있는데, 업데이트에는 그렇지 않다는 것이다. 데이비스는 “조사결과, 만일 사용자가 최신 EPO로 업데이트를 했다면 기본으로 이것이 활성화 되어 있었다”라면서, “만일 EPO를 최신 버전으로 완전히 새로 설치한 것이라면 비활성화 되어 있을 것이라고 본다”라고 설명했다.

EPO는 맥아피의 기업 보안 관리 플랫폼으로, 기업 범위의 시그니처 업데이트를 할 때 사용된다.

어떻게 이런 일이 일어났는가?

맥아피는 모든 것에 대해서 설명을 하고 있지 않지만, “실수가 일어났다”라고 이야기 한다.

한편, 이와 관련해 가트너의 분석가 존 페스카토르는 맥아피가 분명 잘못한 부분이 있다고 지적한다. 먼저, svchost.exe 파일이 손상되거나 삭제되기 직전에 경고문구가 나타났어야 하고, 시그니처의 자동 QA(quality assurance testing)가 실패했다는 것이다.

맥아피측은 “현재 근본적인 원인에 대해서 포괄적으로 조사를 벌이고 있다. 가능하면 빨리 조사 결과에 대해서 공개하도록 하겠다”라고 밝혔다.

어떻게 이렇게 빨리 피해가 퍼졌는가?

푸시 업데이트 때문이다.

페스카토르는 안티바이러스 제품들이 새롭게 만들어진 맬웨어를 방어하기 위한 것으로 속도를 맞추기 위해서 모든 사람들이 푸시를 사용하고 있다는 점을 지적했다.

센트럴리티측도 페스카토르의 설명에 동의했다. 회사는 “전형적으로 맥아피의 EPO 사용자들은 바이러스 위험을 최소화 하기 위해서 공격적으로 업데이트를 설치할 수 있도록 설정을 해놓았다”라면서, “이러한 업데이트 프로세스 때문에 많은 PC가 이렇게 빨리 피해를 입었다”라고 말했다.

피해를 입은 PC를 복구하려면 어떻게 해야하는가?

수동으로 해야 한다.

가상적으로 피해를 입은 모든 PC는 네트워크에 연결할 수가 없어 기업은 각각의 PC를 일일이 확인하고 복구해야 한다.

맥아피는 복구 방법에 대한 설명을 발표했으며, 윈도우 안전모드로 들어가는 SuperDAT Remediation Tool 이라는 반 자동 툴도 배포했다. 이 툴을 다운로드 받으면 네트워크나 인터넷에 연결할 수 있다.

앞으로 이런 사태를 예방하려면 어떻게 해야 하는가?

페스카토르는 “7~8년 전에는 회사가 전체에 안티바이러스 업데이트를 배포하기 전에 테스트를 진행했다. 하지만 지난 5년 정도 사이에 이런 관행이 사라졌다”라면서, “안티 맬웨어 업데이트는 업체에서 오는 것인데다가 빠른 속도가 필요하기 때문에 이제는 일일이 테스트를 해보기 힘들어졌다. 대신에 다른 사람들의 사례를 먼저 확인할 필요가 있다”라고 지적했다. gkeizer@ix.netcom.com