테크레시피

마이크로소프트 디펜더, 이 텍스트 파일 만나면 오탐지

윈도에는 마이크로소프트가 개발한 안티바이러스 소프트웨어인 마이크로소프트 디펜더(Microsoft Defender)가 탑재되어 있어 일반 사용자라면 서드파티 보안 제품을 설치하지 않아도 강력한 바이러스 대책이 가능한 것으로 알려져 있다. 하지만 이런 마이크로소프트 디펜더에서 특정 텍스트 파일을 심각한 위협으로 간주하는 버그가 발견됐다.

한 엔지니어(yappy)가 엑스 계정을 통해 마이크로소프트 디펜더가 이 콘텐츠는 더 이상 사용할 수 없다(This content is no longer available)고 쓰인 텍스트 파일로 인해 오작동하는 현상을 보고했다.

이에 따르면 이 문구나 또 다른 텍스트(This content is no longer available!) 행을 포함한 텍스트 파일을 탐지하면 마이크로소프트 디펜더는 이 텍스트 파일을 트로이 목마로 플래그를 지정하고 시스템에서 삭제한다고 한다. 이 처리는 파일먕과 관계없이 빠르게 이뤄져 표면적으로는 잠재적인 심각한 위협으로부터 보호됐다고 보인다.

이 엔지니어는 처음에는 이 오탐지가 암호화 해시 함수인 SHA-256의 충돌이 아닐까 추측했다. 하지만 다른 엑스 사용자로부터 이는 SHA-256 해시 충돌이 아니라 해당 텍스트 행을 포함한 텍스트 파일이 멀웨어 데이터베이스에 업로드됐기 때문이 아니겠냐는 지적을 받았다.

실제로 다른 보안 소프트웨어에서는 트로이 목마로 탐지되지 않았으며 오탐지는 마이크로소프트 디펜더 특유의 문제였다. 보도에선 이 버그는 그다지 심각하지 않다며 텍스트 자체는 윈도 11에 위협이 되지 않으며 구두점을 변경하거나 끝에 공백을 추가하거나 다른 텍스트를 추가하면 오탐지는 사라진다고 밝혔다.

다만 앞선 2개 텍스트 행을 포함한 텍스트 파일을 저장해야 할 경우 저장 위치를 마이크로소프트 디펜더 스캔 예외 디렉토리로 지정하지 않으면 파일이 삭제되어 버린다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사