정용환 기자
윈도에는 마이크로소프트가 개발한 안티바이러스 소프트웨어인 마이크로소프트 디펜더(Microsoft Defender)가 탑재되어 있어 일반 사용자라면 서드파티 보안 제품을 설치하지 않아도 강력한 바이러스 대책이 가능한 것으로 알려져 있다. 하지만 이런 마이크로소프트 디펜더에서 특정 텍스트 파일을 심각한 위협으로 간주하는 버그가 발견됐다.
한 엔지니어(yappy)가 엑스 계정을 통해 마이크로소프트 디펜더가 이 콘텐츠는 더 이상 사용할 수 없다(This content is no longer available)고 쓰인 텍스트 파일로 인해 오작동하는 현상을 보고했다.
my gf just found out that a text file solely containing the string "This content is no longer available." trips up windows defender lol pic.twitter.com/8RyHW3nltV
— yappy 🍉 (@rari_teh) June 21, 2024
이에 따르면 이 문구나 또 다른 텍스트(This content is no longer available!) 행을 포함한 텍스트 파일을 탐지하면 마이크로소프트 디펜더는 이 텍스트 파일을 트로이 목마로 플래그를 지정하고 시스템에서 삭제한다고 한다. 이 처리는 파일먕과 관계없이 빠르게 이뤄져 표면적으로는 잠재적인 심각한 위협으로부터 보호됐다고 보인다.
이 엔지니어는 처음에는 이 오탐지가 암호화 해시 함수인 SHA-256의 충돌이 아닐까 추측했다. 하지만 다른 엑스 사용자로부터 이는 SHA-256 해시 충돌이 아니라 해당 텍스트 행을 포함한 텍스트 파일이 멀웨어 데이터베이스에 업로드됐기 때문이 아니겠냐는 지적을 받았다.
oh my fucking god it’s a sha256 collision lmfao pic.twitter.com/7CBVJt8pFH
— yappy 🍉 (@rari_teh) June 21, 2024
실제로 다른 보안 소프트웨어에서는 트로이 목마로 탐지되지 않았으며 오탐지는 마이크로소프트 디펜더 특유의 문제였다. 보도에선 이 버그는 그다지 심각하지 않다며 텍스트 자체는 윈도 11에 위협이 되지 않으며 구두점을 변경하거나 끝에 공백을 추가하거나 다른 텍스트를 추가하면 오탐지는 사라진다고 밝혔다.
in a now deleted thread about this find by vxunderground, someone pointed out that it wasn’t a SHA256 collision, but a case of someone uploading that exact text file to a malware database. the match is only a few bytes long and all checksums coincide.
— yappy 🍉 (@rari_teh) June 23, 2024
다만 앞선 2개 텍스트 행을 포함한 텍스트 파일을 저장해야 할 경우 저장 위치를 마이크로소프트 디펜더 스캔 예외 디렉토리로 지정하지 않으면 파일이 삭제되어 버린다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
