네이버 메일 방역 시스템의 암호 걸린 압축 파일 진단

▶ 관련글 : 네이버의 메일 첨부 파일 검사 기능

제가 요즘 주로 사용하는 웹메일은 네이버입니다. 원래는 엠파스와 구글을 사용했었는데 엠파스는 망해버렸고, 구글은 로그아웃하지 않은 채로 탭을 꺼버리면 세션 문제인지 다시 로그인 암호를 요구하는 귀찮음(ID는 입력되어 있는 상태라 웹마의 자동 로그인 사용 불가 ㅜㅜ)  때문에 요즘에는 네이버 메일 하나에서 다 처리하고 있습니다.

네이버 메일 사용 중에 Thratexpert의 악성코드 분석 메일을 받았는데, 메일의 첨부 파일을 네이버 메일 방역에서 진단하는 것을 확인하였습니다. 아시다시피 악성코드가 활성화되었을 때의 시스템 변조 여부 등을 알려주는 Thratexpert 서비스는 분석된 정보를 웹사이트에서 보여줄 뿐만 아니라 사용자의 메일에 첨부파일로 담아 보내줍니다.

이때 첨부 파일은 mhtml 포맷을 암호(hreatexpert)를 걸어 압축한 형태인데, 이 파일을 아래와 같이 네이버의 메일 방역에서 진단을 합니다. 

진단명을 보니 악성코드를 실제로 진단한 것이 아닙니다. 검색을 해보니 시만텍의 메일 서버 방역 제품의 진단명중 하나인데 자세한 사항은 잘 모르겠습니다. 실험삼아 다양한 포맷의 파일을 압축해서 다운받아 보니 압축시에 암호가 걸려있으면 내부 파일의 포맷과 상관없이 무조건 진단하는 것을 확인할 수 있었습니다.

실제로 해당 압축 파일을 토탈에 돌리면 시만텍의 경우는 진단하지 않는 것을 확인할 수 있습니다. 악성코드가 아니니 당연한 결과입니다. 메일 서버 방역 기능에서만 동작하는 진단인 것으로 보입니다.

섭섭한 선벨트...암호 걸렸다고 무조건 진단하면 어떻하나 ~_~

참고로 "치료된 파일 저장"을 선택하며 아래와 같이 파일은 다운되지만 실제로는 파일이 깨진 것을 확인할 수 있습니다.

암호가 걸린 압축 파일 내부의 파일을 치료할리 만무

구글에서 동일 파일을 진단하지 않았기에 옛 메일을 찾아보니 아래와 같이 나타나 있습니다.  암호가 걸려있는 압축 파일이니 검사를 못한다는 경고 메세지만 보여줍니다.

암호가 걸렸다는 이유로 악성코드로 진단된 것처럼 보여주는 것이나, 치료할 수 없는 파일에 대한 치료 버튼이 활성화되는 것은 다소 문제가 있어 보입니다. 정상 파일이지만 보안 경고가 뜨면 일단 의심이가고 치료하고 싶어지는게 사용자의 일반적인 생각이 아닐까 합니다.

최근에 메일 첨부파일을 통한 악성코드 유포 방법은 악성코드를 암호를 걸어 압축하고 메일 내용에 해제 암호를 가르켜주어, 보안 제품의 진단을 회피한 후 사용자가 직접 풀어 실행하도록 유도한다고 하는 경우가 많기 때문에 위와 같은 진단 정책이 유용할 수도 있겠습니다만, 진단명에 대한 세부적인 정보 표시가 없기에 실제로 실효성이 있을 지 다소 의문입니다.

네이버 메일도 최근에 이런저런 기능들이 추가되고 있어 개인적으로 사용이 편리해지고 있다 생각하는데, 보안 부분도 사용자들이 위와 같은 경우에 혼란 없이 명확하게 판단할 수 있도록 세부적인 정보를 제공하고, 치료 기능 등을 개선해서 발전하는 모습이 필요하다고 봅니다.