커뮤니티토픽게시판

https://code.google.com/p/google-security-research/issues/detail?id=675

 

요약:

 

AVG 백신을 크롬 브라우저와 연동시키는 "Web TuneUP"이라는 플러그인에 심각한 보안취약점 발견. 사용자의 쿠키, 세션, 인터넷 방문기록 등이 모두 노출될 수 있으며 SSL도 무용지물이 되어버린다고 함. AVG 측에서 패치를 내놓았으나 전혀 고쳐진 것이 없어서 크롬 스토어에서 거부당함. 다시 패치했으나 이번에는 AVG 공식 홈페이지의 XSS 취약점을 사용해서 이 플러그인 사용자를 해킹할 수 있다는 것까지 알려짐.

 

뒷이야기:

 

AVG에서 제공하는 플러그인은 크롬 자체의 보안기능을 강제로 우회하고 설치되기 때문에 구글에서도 손을 쓸 수가 없음. 구글 개발자 빡쳐서 취약점을 공개해 버림. 원래 보안 취약점은 90일간 엠바고를 유지하여 문제의 플러그인을 수정할 기회를 주는 것이 구글 정책이지만, 백신 만드는 회사가 자기네 공홈에 XSS 취약점도 못 고치고 있으니 크롬 플러그인도 제대로 고칠 의지가 없어 보인다고 판단한 듯...

 

다른 개발자들의 반응:

 

AVG뿐 아니라 어베스트, 카스퍼스키 등 대부분의 외산 백신이 똑같음. 백신 자체가 악성코드라고 주장하는 사람도 많음.

 

다른 회사에서 제공하는 무료 백신을 쓰느니 차라리 MS에서 제공하는 MSE를 써라. 윈도우8 이후 버전에는 MSE가 Windows Defender에 기본으로 내장되어 있다. 치료 능력이 다소 떨어지긴 하지만, 얘는 그래도 악성코드는 아니다.

 

백신이 브라우저 플러그인을 설치하려고 하거나, SSL 연결을 감시하는 기능을 제공한다면 꺼야 한다. 이런 기능을 안전하게 제공하는 것은 불가능에 가깝다. (SSL 감시 기능은 사실상 해킹임.)
 

글쓴이 기진곰

profile
GitHub 아이디는 @kijin입니다. 사람을 위한 인터넷 생태계의 발전과 웹 보안에 많은 관심을 가지고 있습니다.
오픈소스 도로명주소 검색서버 및 API Postcodify를 개발, 운영하고 있습니다.
우리가 만들어 가는 XE의 새 이름, 라이믹스(Rhymix) 프로젝트에 참여하고 있습니다.
국내외 서버 및 클라우드서버 세팅, 이전, 튜닝해 드립니다.
  • profile
    백신프로그램들 의심이 들긴하는게 창과 방패인데.. 방패 만드는회사에서 창의 공격이 없으면 방패수요가 없으니 바이러스를 생산해 내는 곳이 백신회사라는 이야기가 완전 설득력이 있어보여서 저도 그렇겠지 ?? 이런 정도로 생각하고 있네요....
  • ?
    사용하는 백신은 아니지만, 플러그인들은 전부 잠재적인 취약점이라고 생각해요.
    기능이 하나도 없지만 어쩌면 MS 엣지의 정책은 선견지명일지도 모릅니다. @[email protected]
    약간 극단적인 예긴 하지만요.
  • ? profile
    브라우저 플러그인이 무섭긴 하죠... 내가 인터넷에서 뭘 하는지 다 볼 수 있으니까요. 예전에는 좋다는 거 이것저것 다 깔아보고 그랬는데, 요즘은 신뢰할 만한 오픈소스 플러그인 외에는 건드리지도 않으려고 노력하고 있어요.
  • ?
    판다 안티바이러스 쓰고있는데 가볍고 괜찮은거 같아요!
  • profile
    백신회사들이 마음만 먹으면 백신을 최고의 해킹도구로 사용할 수 있죠.... 양날의 검..

    사용자입장에서는 그들이 그렇게 하지않길 바랄 수밖에요..ㅠ
  • ?
    mse는 백신 벤치 사이트에서 0점 뜨던데요... ms에서도 그건 최소한의 가이드라인으로만 사용하고 다른 백신프로그램 사용하라고 권장하고 있더군요
  • ? profile
    그렇긴 한데, 잘 잡는 녀석들은 대부분 악성코드에 가까운 짓거리를 일삼기 때문에... 이열치열? ㅠㅠ

    BitDefender와 MalwareBytes가 그나마 깨끗해 보이던데, 이것도 요즘은 어떤지 모르겠네요. SSL 감시(라고 쓰고 해킹이라고 읽는) 기능이나 브라우저 플러그인 따위를 제공하지 않는 무료버전이 오히려 유료버전보다 나을지도...

    근데 익스플로러 안쓰고 액티브X 안쓰고 플래시 안쓰고 (크롬 내장 플래시 사용) 어도비리더 안쓰고 (이것도 크롬 내장 PDF뷰어 사용) 파일공유 사이트 들락거리지 않고 아무거나 클릭 안하면 요즘은 바이러스 걸릴 일도 거의 없어요. 맨날 바이러스 걸리는 분들은 사이버공간에서의 자기 위생상태를 점검해 볼 필요가 있습니다. 손 안씻고 얼굴 만지면 감기 옮아요.
  • profile
    와 심각하네요..
    알는분은 저기 백신 좋다고 사라고 하시던데 ㅋㅋㅋ;
    역시 ;
  • profile profile
    AVG가 바이러스는 잘 잡는 편이예요. 지가 하는 짓이 바이러스랑 다를 바가 없어서 문제지... ㅋㅋ
  • ?
    avg쓰다가 avast로 넘어왔는데 그나마 다행일까요ㅠ
    다른 개발자의 반응에 외산백신은 대부분 이열치열이라고 적혀있는데 국산백신은 외산백신과 다른가요?
  • ? profile
    국산이나 외산이나 다 거기서 거기...
  • ?
    참고하겠습니다.

서버에 요청 중입니다. 잠시만 기다려 주십시오...