공공 사이트 ‘악성 코드’ 배포 소동, 왜?

다운받았더니 -> 내려받았더니, 다운로드했더니 / 최신성? -> 신뢰성 / (인용 대목에서 수정한) 개판인 띄어쓰기 문제는 말하기도 싫음, 그 내용은 중요한 사실을 건드리고 있어 좋지만, 한편으로는 IT 시대 IT 기자들이 한국어 맞춤법을 재학습해야 함을 입증하는 데 증거 자료 가치가 충분한 기사이다.

공공 사이트 ‘악성 코드’ 배포 소동, 왜?
‘모바일 인증서 이동 서비스’ 부실 관리로 탐지 오인
지디넷 코리아 | 임민철 기자 (imc@zdnet.co.kr) | 입력: 2016.08.19.15:34 | 수정: 2016.08.19.15:52
...
지난 18일 제보자는 "SmartMobileSign.exe 프로그램을 내려받았더니 인터넷 익스플로러(IE)의 스마트 스크린 기능이 차단한다"고 전했고, 또 해당 파일을 "마이크로소프트 백신프로그램인 'MSE'에서 'TrojanSpy:MSIL/Omaneat.B' 바이러스가 있다며 삭제한다"고 설명했다.
...
제보자는 "다른 곳도 아니고 정부 사이트에서 제공하는 프로그램이 경보 수준 ‘심각’에 해당하는 트로이 모니터링 바이러스에 감염되어 있다는 게 믿기지 않는다"고 비판했다.
...
윈도우즈 7 PC에서 MSE를 비롯한 국내외 기업의 개인용 안티바이러스 SW 7종으로 앞서 18일 배포된 SmartMobileSign.exe 파일의 바이러스 내지 악성 코드 포함 여부를 놓고 원시적인 교차 검증을 수행했다. 모두 19일 오전까지 설치 가능한 최신 엔진 업데이트를 적용했다.
​결과는 하나같이 이상이 없다는 것이었다. MSE는 "위협이 검색되지 않았습니다", 이스트소프트 알약은 "탐지된 항목이 없습니다", 네이버 백신은 "발견된 악성 코드가 없습니다", 안랩 V3 lite는 "발견된 악성 코드가 없습니다", 하우리 바이로봇은 "모든 검사를 수행하였습니다", 어베스트는 "위협을 찾을 수 없음", 시만텍 노턴 시큐리티는 "위협 요소를 찾을 수 없음"이라는 메시지를 출력했다.
...
이같은 태도는 액티브X를 비롯한 비표준 플러그인 사용을 강제하는 여타 공공 웹사이트에서도 공통적으로 접할 수 있는 태도다.
이후 담당자는 19일 오전 "밤사이에 국가정보원과 (보안 관제 의뢰 업체인) 안랩 측과 함께 점검하며 확인한 결과 배포된 파일엔 문제가 없다는 통지를 받았다"며 "새로운 기능이 들어가면서 오인 탐지를 하는 부분을 MS에서 걸러내지 못한 것 같은데, 기존 버전의 프로그램에도 전혀 문제가 없지만 사이트 점검 후 (오인 탐지를 안 당하는) 새로운 파일을 게시하기로 했다"고 말했다.
...
어떤 이상이었는지는 시스템 점검 전후 바뀐 파일을 대조해 짐작할 수 있다. 두 exe 파일 모두 실행하면 프로그램 설치 파일 33개의 압축을 해제하고 각각을 PC에 저장, 시스템 정보에 등록하는 동작을 수행한다. 33개 중 원본 크기가 바뀐 파일은 'SmartMobileSign.ocx'뿐이다. 이건 디지털 서명을 포함하는 파일이다. 해당 액티브X 프로그램이 사용자 컴퓨터에 깔리고 실행돼도 괜찮다고 보장해 주는 신분증 역할을 한다.
...
이번 SmartMobileSign.exe 파일이 이런 사례에 해당할 가능성이 있다. 비유하자면, 변경 전의 파일은 알려진 유해SW를 품진 않았지만 그 신분증이 낡아서 '스마트 스크린 필터'라는 MS 치안 당국의 의심을 산 거다. 담당자가 "1~2개월마다 점검을 받고 있다"는 정부 사이트에서 배포되는 프로그램의 최신성이 그만큼 떨어진단 얘기다.
정부가 모바일 인증서 이동 서비스 운영을 10시간 넘게 멈추고 점검한 끝에, 사이트에서 배포하던 설치 프로그램에서 하필 SmartMobileSign.ocx라는 디지털 서명 관련 파일을 변경한 프로그램을 재배포하는 상황을 이와 다르게 설명할 만한 근거를 찾을 수 없었다.​
...