노턴 제품의 네이버 카페 및 블로그 오진 문제

<수정> 7.8일 현재 아직 오진 문제가 해결이 안되었습니다.
<추가> 7.11일 현재 오진 수정

참고글 : 2009/07/08 - 노턴의 네이버 진단 제외 방법


오늘 노턴 제품에서 네이버의 특정 url을 통해 이루어지는 파일 전송을 오탐하여 차단하고 있는 사실을 확인하였습니다.

이미지 출처 : 바제2

진단명은 'HTTP Trojan Zbot Domain'으로 특정 서버에서의 패킷 전송을 진단하는 것으로 보입니다. 진단하는 url의 공통점은 mfiles.naver.net/** 하위 경로 **/ 으로, 주로 네이버에서 사용자가 첨부하는 파일이 저장/전송되는 서버입니다. 따라서 해당 서버를 이용하는 네이버 카페의 대문 이미지부터 시작해서 블로그의 파일 첨부등의 다운을 차단되고 있습니다. 이번 진단이 mfiles.naver.net에서 파일 전송 방법이 악성 도메인의 그것과 유사하여 진단을 하는지, 특정 블로그나 카페의 첨부파일이 악성으로 판별되어 해당 서버를 악성 서버로 오진하여 진단하는지는 모르겠습니다.

다행히 큰 피해를 준 오진은 아닙니다만, 아쉬웠던 점은 비록 악성코드 샘플을 취급하는 분석 기관은 없긴 하나 국내에 지사가 진출한 업체에서 이러한 오진이 발생한다는 점입니다. 매출 및 점유율 전세계 1위 보안 업체라는 타이틀을 생각해보면 이런 오진이 나왔다는 게 사실 이해가 잘 안 갑니다. 특히, 국내의 웹사정을 잘 알고 있었다면 일부 문제가 있었다 한들 국내 대표 포털인 네이버의 mfiles.naver.net 서버 자체를 진단을 하는데 쓰이는 주요 근거로 사용하지는 않았을 것입니다. 국내에 분석 기관이 없기에 외국의 분석가로 인해 발생한 문제라고 하더라도, 국내에서 안정성에 대해 추가적인 테스트가 필요한 것은 아닌가 합니다.

현대의 보안 제품에서 오진이 없을 수는 없기 때문에 오진 하나에 너무 난리친다 할 수도 있겠습니다만, 비슷한 사례가 이전에도 있었기 때문에 언급하게 되었습니다. 대표적인 예로 08년 12월 경에도 HTTP Acrobat PDF Suspicious File Download 이라는 진단명으로 nIPS 기능에서 국내 포털의 페이지를 다수 오진하였습니다. 이로인해 네이버 카페에서는 글을 클릭할 때마다 네트워크 침입 탐지 차단경보가 울렸습니다.

특정 정상 파일을 오진하는 것도 문제이지만, 백만 단위의 사용자가 몰리는 국내 포털을 진단하는 것은 상당히 문제입니다. 이전에 안티버나 노드에서 네이버 카페의 일부 페이지를 오진하는 사례가 있었는데, 국내에 지사가 존재하는 시만텍도 웹 서비스에 대한 오진은 그들과 별반 차이 없는 수준을 보여주는 것 같습니다. 노턴하면 안정성이 뛰어난 점을 강점으로 내세우는 제품인데, 국내에 분석 기관 등을 포함하여 완벽하게 진출한 기업이 아닌 이상 안정성에는 문제점이 있을 수 밖에 없다는 것을 보여주는 사례인 듯 싶습니다. 

다른 이야기를 추가하자면 노턴의 웹사이트 필터링 기능인 SafeWeb기능에서 특정 다음 카페나 블로그에 올라온 악성 파일 문제로 daum.net가 들어간 모든 웹사이트 페이지를 위험 사이트로 표현했던 사례가 있었습니다. 특정 페이지의 문제를 전체 페이지에 일괄적으로 적용하는 노턴의 정책도 일리가 있는 정책입니다만, 국내 상황에서는 잘 맞는 정책은 아니라고 생각합니다.


- 이상입니다.