본문 바로가기
보안경고 & et cetra

ClamAV의 comres.dll 오진의 건

by 글벌레 2013. 2. 21.
반응형

 

 

ClamAV라는 백신이 있습니다 .

ClamAV 홈페이지 - http://www.clamav.net/lang/en/

파이어폭스가 그러한 거처럼 ClamAV는 오픈 소스 프로그램(프로젝트)이고 ,

GNU General Public License에 의거한 무료 프로그램이면서

윈도우 및 리눅스 등등의 멀티 운영체제를 지원한다는 점에서는 획기적인 백신입니다 .

그러나 국내에는 ClamAV 사용자들이 그리 많지 않았던 거로 여겨집니다 .

 

그리고 제가 3 년인가 4 년 전쯤에

http://mtc.sri.com/ (SRI)에서 제공되던 바이러스토탈에서의 검출율에 의거한

백신 순위를 지켜보던 기억에 의하면 ClamAV는 순위에 드는 뛰어난 백신은 아니었습니다 .

 

현재는 SRI의 백신 순위가 제공되지 않고 있지만 ,

당시에는 바이러스토탈에서 매일매일 검사되어지는 파일들에 대한 검출율로

매겨진 백신들의 순위를 SRI가 매일 공개했었습니다 . (1위에서 아마도 ?? 20 위까지 공개를 했음 .)

 

그 당시 기억을 더듬어 보면

안랩의 V3는 10 위이든가 , 12 위이든가를  자주 했었는데

V3 밑으로 맥아피와 시만텍이 있었고 , V3 위로 트렌드마이크로의 백신이 있었습니다 .

(트렌드마이크로는 한동안 줄곧 1 위를 지키는 기염을 토하기도 했었습니다 .)

 

그런데 그 순위에서 ClamAV를 본 기억은 없습니다 .

 

또한 ClamAV는 바이러스 불레틴에 한 번도 참가를 한 적도 없고요 .

 

바이러스 불레틴 Vendor 별 역대 평가 결과 보기 페이지 -

http://www.virusbtn.com/vb100/archive/vendors

 

저 또한 ClamAV는 사용을 해본 적이 없고 ,

ClamAV의 엔진을 차용한 Clamwin free antivirus를 한 번 설치해서 사용해 보았는데

그 느린 속도에 질려서 , 채 한 번 검사가 끝나기도 전에 제거를 했던 기억이 있었고요 .

Clamwin free antivirus 홈페이지 - http://www.clamwin.com/

위와 같은 이유 때문에 ClamAV가 오진을 하든 말든 그건 제 관심 밖이었는데요 ......

 

최근에 다음 지식과 네이버 지식iN을 통해 아래 박스에 첨부된 링크들의 질문들에

답변을 하게 되었습니다 .

 

 http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=11002&docId=167432295

 

 http://k.daum.net/qna/view.html?qid=539to

 

 http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=11002&docId=167699387

 

질문들을 보니까 프로세스클린에 부가된 ClamAVcomres.dll을 진단한다는 내용들이었는데요 .

 

ClamAVcomres.dll 진단은 오진입니다 .

바이러스토탈을 통한 정상 comres.dll 파일의 진단 결과 -

검사 결과 페이지를 직접 방문하려면 여기를 클릭  

 

(아래 그림을 클릭하시면 원본 이미지를 보시는 게 가능합니다 .)

 

 

위 그림에서 보이는 거처럼 ClamAV만 comres.dll을 진단하고 있는데 ,

제가 comres.dll에 대한 답변을 처음한 게 2월 16일이었고

위 검사는 21일에 한 것이니

 

ClamAV는 comres.dll을 현재 6 일 이상 잘못 진단을 하고 있는 겁니다 .

comres.dll은 없다고 해서 시스템이 부팅이 안 되거나 하는 파일은 아닌 거로 보이지만

 

comres.dll이 없으면

시스템 복원이 안 되고 ,

실행이 안 되는 프로그램들이 생기고 ,

rundll32.exe를 통해 실행되는 라이브러리들이 실행이 안 된다고 합니다 .

 

그렇다면 이건 상당히 치명적인 오진인데

다행히 ClamAV는 comres.dll을 제거 못하는 거로 보이는데

 

박스 내 질문들 중 세 번째 질문을 하신 분은 어떻게든 comres.dll에 대한 조치를

취하려고 애를 쓰는 모습을 보이고 있습니다 ..... ㅠ ㅜ

 

다시 말씀드리지만

ClamAVcomres.dll 진단은 오진이고

ClamAVcomres.dll을 치료/삭제하지 못한다고 사용자는 어떠한 조치도 취해서는 안 됩니다 .

 

오해가 소지가 있을 거 같아서 밝혀 놓으면

이 글은 ClamAV에 대한 글이지

프로세스클린에 대한 글이 아니란 겁니다 .

저는 프로세스클린은 단 한 번도 사용을 해 본 적이 없기 때문에

프로세스클린의 主 기능에 대하여는 어떠하다고 평가할만한 위치에 있지 않으니까요 .

다만 , 백신은 제가 관심을 가지는 분야라서 좀 알기에

 

다음과 같은 이유들로 이 글을 쓴 겁니다 . 

 

그 첫째 이유는

혹시라도 박스 내 세 번째 링크 질문자처럼 comres.dll에 어떠한 조치를 취하려는

사용자들이 있을까 봐 염려가 되서이고

 

둘째 이유는 

소스 코드를 공개하고 무료로 배포한다면 어떻게 사용해도 좋다는

ClamAV의 GNU/GPL 라이선스에 따라

좋은 뜻으로 무료 프로그램인 프로세스클린에 ClamAV를 부가 기능으로 넣으셨을

프로세스클린 개발자님께서 자신의 잘못이 아닌 것으로 욕을 듣는 일이 생길까 염려가 되서입니다 .

 

글은 여기까지인데요 ......

 

여담을 조금만 적으면

 

아무리 GNU/GPL 라이선스의 오픈 소스 프로그램이라지만

ClamAV의 오진에 대한 대응은 해도 해도 너무한다 싶습니다 .

2008년이든가요 ?

안랩은 단 두 시간의 오진으로 (안랩 측에서 밝히지는 않았지만 , 제가 추산하기로는) ,

오진에 대한 복구를 지원하기 위하여 2 억원 정도를 날린 것으로 추정됩니다 .

당시 안랩은 무료로 제공되던 V3 Lite의 오진까지도 복구에 대한 책임을 졌었죠 .

 

그러한 사실을 감안해 본다면 6 일 이상 시스템 파일에 대한 오진을 하고 있다는 것은

안랩 또는 이스트소프트 등 국내 보안 업체 , 아니 전 세계 보안 업체들에서도 보기 드문

예일 거로 여겨집니다 .

 

안랩이나 이스트소프트는 오진이 일어나면 보통 거의 곧바로 오진을 수정한 엔진을 배포하죠 ...

 

그런 면에서 보면 ClamAV의 이런 모습은

오픈 소스 프로젝트의 단점일까요 ?

아니면 ClamAV 프로젝트만 유난히 대응이 늦는 걸까요 ?

반응형

댓글