악성코드 여부를 확인하는 방법 >> 온 세상의 AV 업체를 통해 진단해봐~

개인 사용자들 중에는 컴퓨터에 익숙치 않아서 악성코드의 종류에 대해서 구분을 짓지 못하는 부류가 대부분이며, 영세 개인 사용자들은 하나의 AV(Anti-Virus) 프로그램도 구입하기 힘들기 때문에 주변 사람들과 공유를 하게 마련이다.
그렇기 때문에 설사 신종 바이러스나 스파이웨어에 피해를 입어도 AV 업체에 직접 의뢰를 하기 어려우며, 분석 의뢰 및 신고를 통해 이루어지는 샘플 접수가 활발하지 못한 연유가 이것이다.
일부의 제품 구매 사용자들이 접수하는 샘플 만으로는 AV 업체들이 악성 코드에 실시간으로 대응하기가 어렵기 때문에 AV 업체들 사이에는 서로 접수된 샘플을 공유하는 프로토콜을 갖고 있으며, 일부의 통합 AV 진단 홈페이지들을 통해 샘플을 공유하기도 한다.

이러한 사이트들은 주로 사용자가 올리는 파일들 각각에 대해 전 세계 유명 AV 업체들의 진단 결과를 보여주며, 기존에 등록된 적이 없는 새로운 샘플인 경우에는 등록된 AV 업체들에 전송하여 이를 공유한다. 덕분에 전 세계 AV 업체들이 대부분 유사한 대응 속도를 가질 수 있으며, 악성코드에 의한 사용자들의 피해를 줄일 수 있었다.

이러한 사이트 들은 여러 곳이 있지만, 가장 유명하고 빠른 속도를 자랑하는 곳을 소개한다.

URL : http://www.virustotal.com/ko  (바이러스 토탈 한국 사이트)

아래에는 바이러스 토탈 사이트를 이용할 수 있는 간단한 사용법을 적는다.

1. 홈페이지에 접속한 모습
 상당히 간단한 인터페이스를 제공하여 사용자들이 페이지의 구조를 쉽게 알 수 있다.
 맨 위에는 전 세계 주요 국가들에 대해 차별화된 언어 서비스를 지원하기 위한 링크가 있다.
 페이지 중간에는 사용자가 악성코드로 의심되는 파일을 올릴 수 있도록 업로드 창이 구현되어 있다.

2. '찾아보기' 버튼을 통해 의심 파일을 선택한 모습

3. 선택 후 바이러스 토탈 페이지 모습

4. 바이러스 토탈로 전송되는 의심 파일
이렇게 전송이 되면 바이러스 토탈에서는 파일에 대한 주요 HASH 를 통해 기존에 접수 되었던 파일인지 여부를 확인한다.

5. 전송 완료 후 기 등록 여부를 사용자에게 제공하는 페이지
예제에서 전송된 파일은 이미 전 세계의 어느 누군가에 의해 등록된 파일이었다.

이 경우 바이러스 토탈에서는 사용자에게 두 가지 선택을 지원한다.
하나는 전에 검사했던 결과만 볼 경우,
또 하나는 최신 엔진들을 통해 다시 검사할 경우...

※ 만약 등록이 안되었던 파일이라면 검사 버튼만 사용자에게 보여준다.

6. 기존에 진단했던 결과만 보는 경우의 페이지 모습
아래의 모습과 같이 세계 유명 AV 업체들의 엔진들을 통해서 해당 파일을 진단한 결과를 보여준다.

아래와 같은 경우는 대부분의 업체들이 트로이잔(Trojan)으로 진단을 하였으며,
BHO가 있는 것으로 보아 IE나 탐색기에 대한 Browser Helper Object로도 등록된다는 것을 확인할 수 있다.

여기서 주의할 점은 단순히 보이는 이름 만으로는 정확한 기능을 확인할 수 없으며,
각 진단명에 대해 AV 업체에서 제공하는 설명을 보는 것이 가장 정확하다.

7. 다시 검사하기를 누른 경우
이 경우는 최신 AV 엔진들을 통해 재검사를 한다.

위에서 본 것과 같이 악성 코드에 대해 잘 모르는 사용자들도 바이러스 토탈과 같은 사이트를 통해서 의심되는 파일들에 대해 악성 여부를 쉽게 확인 할 수 있다.
이것은 개별 사용자들에게 명쾌하고 속 시원한 기분을 안겨주는 것 뿐만 아니라,
AV 업체들에게 악성코드에 대한 새로운 샘플들을 제공하여,
그 악성코드에 의해 전 세계 어느 누군가가 입을 수 있는 2 차 피해를 막을 수 있는 '정의'로운 행위라는 것을 이 글을 읽는 사용자들이 알아줬으면 좋겠다.

p.s. 다만 AV 업체 직원들은 일거리가 많아진다고 저를 미워할지는 모르겠지만 ㅋㅋㅋ