![[레벨:52]](http://itviewpoint.com/modules/point/icons/warrock/52.gif "포인트:247380point (42%), 레벨:52/100"){kind=icon}
떡이떡이안철수연구소가 난리가 났습니다. 기사나 공지사항으로 잘 알려져 있으니 아래 공지만으로 대강의 내용을 확인하시면 되겠습니다. 요점인 즉 윈도 운영(보안 로그인)에 필수적인 lsass.exe를 바이러스로 오인, 강제 삭제하는 일이 발생한 것이죠.
<공지사항>
안녕하십니까. 안철수연구소입니다.
금일(7/10) 배포된 빛자루 엔진에서 특정 파일을 악성코드로 잘못 진단하여 시스템이 부팅되지 않는 사례가 발견되어 이에 대해 고객님께 아래와 같이 안내 드립니다.
1. 오진 발생 엔진버전: V3 2008.07.10.01
2. 진단명: Win-Trojan/Infactlsass.13312
3. 진단파일: MS 윈도우 XP 서비스팩 3에 포함된 lsass.exe (13,312 바이트)
4. 피해증상: 진단파일 삭제로 인한 시스템 부팅 불가
오진이 발생했던 엔진의 배포는 현재 중단된 상태이며,
오진사항을 수정한 엔진(엔진버전:2008.07.10.02)을 제작, 배포 완료 하였습니다.
윈도우 XP 서비스팩 3를 사용하시는 고객님 중 빛자루의 엔진버전이 2008.07.10.01 인 경우는 시스템 재부팅을 하지 않은 상태에서 아래와 같은 방법으로 해당 파일을 복구해 주시기 바랍니다.
즉 V3나 빛자루 하에서 윈도 XP SP3를 사용하면서, 7월 10일자 패치를 한번이라도 받은 사람(즉 이 말은 7월 10일 이후 아직 컴퓨터를 켜지 않았는데 지금에서야 제 글을 본 분들은 관련이 없다는 뜻)으로서 부팅시 로그인이 안되고 검은 화면에서 멎는 증상이 발생할 경우가 해당이 됩니다.
아마도 SP3에서는 lsass.exe의 형태나 크기 등이 바뀌었을 것이고, 이러한 로직을 안철수연구소가 미처 고려하지 않은 채 SP2까지만 내부 테스트를 거친 뒤 배포됐을 가능성이 크다고 하겠습니다. SP3에 문제가 있어서 MS가 자동 배포를 중단시켰다가, 지난 5월에 다시 시작하는 등 복잡한 과정을 거친 것도 영향을 줬다고 하겠죠.
혹시 SP3를 사용하는데 V3를 함께 사용하신다면 포맷 하실 필요 없고, lsass.exe만 복구하시면 됩니다. 다만, 문제는 이게 ‘부팅’이 안되는 문제다 보니 프롬프트 상태의 복구 모드나 긴급 복구CD 등을 가지고 있지 않는 경우가 많고, GUI에만 익숙한 초보자들은 헤맬 수 있다는 데 있습니다.
안철수연구소에서는 보도자료를 통해 오후 3시에 배포해 4시에 배포를 중단했다고 하지만, 얼마나 엔진 업데이트 파일이 히팅 됐는지 밝히지 않고 있습니다. 백신 업체의 배포 속도나 배포 능력으로 볼 때 한 시간 정도라면 당시 PC를 켜 두었던 거의 대부분의 백신에게 배포가 완료됐을 가능성이 큽니다. 개인보다는 기업 쪽이 영향이 매우 크겠지요. 기업들은 SP3업데이트를 한 경우가 많을 겁니다. 안랩은 향후 어느 정도 피해가 있었는지 밝힐 필요는 있다고 봅니다.
안철수연구소(대표 오석주. www.ahnlab.com)는 7월 10일 배포된 V3 엔진이 윈도 XP SP3의 일부 파일을 악성코드로 잘못 진단했으며 시급히 조치를 취하고 있다고 밝혔다.
7월 10일 오후 3시경에 배포된 엔진이 윈도 XP 서비스팩3의 lsass.exe 파일을 트로이목마로 진단해 삭제하는 문제가 발생해 즉시 엔진 배포를 중단하고 한 시간 뒤인 4시부터 정상적인 엔진(버전 : 2008.07.10.02)을 배포했다. 또한 삭제한 파일을 복구할 수 있는 프로그램을 배포 중이다. 이 프로그램은 홈페이지 첫 화면(www.ahnlab.com)에서 다운로드할 수 있다. 윈도 XP SP3의 사용자가 V3 7월 10일자 01 버전으로 진단해 Win-Trojan/InfectLsass.13312라는 파일을 삭제한 경우 컴퓨터를 재부팅하지 말고 이 복구 프로그램을 실행하면 된다. 윈도 XP SP3인지 여부는 '내 컴퓨터'의 '도음말'에서 'Windows 정보'를 클릭하면 확인할 수 있다.
이미 재부팅을 시도한 경우 부팅이 되지 않는 문제가 발생한다. 이에 대해서는 대책을 강구 중이며 대책을 마련하는 대로 공지할 계획이다. <Ahn>
안철수 연구소 블로그 안내
- http://blog.ahnlab.com/ahnlab/307
공식 홈페이지 안내
- http://kr.ahnlab.com/info/noticeView.ahn?num=50069157
- http://kr.ahnlab.com/info/customer/html/2008_lsass_fix.html
- http://www.vitzaru.com/bluebelt_customer/custom_news.do
블로거 반응
- http://dowajo.tistory.com/663
- http://hummingbird.tistory.com/373
- http://orangeflower.tistory.com/33
- http://withsage.net/blog/?p=456
- http://binuya.tistory.com/211
- http://mycom.kr/743
- http://alcoo.tistory.com/83
- http://human109.tistory.com/16
- http://www.mogoon.pe.kr/48
- http://revblog.tistory.com/7
그런데 도대체 lsass.exe가 뭐길래 이 난리일까요. Local Security Authority Subsystem Service라는 놈입니다. 아래 영문 설명에서도 아실 수 있듯이, 윈도 보안 로그인을 도와주는 핵심 파일입니다. 이게 없으면 PC에 로그인이 안됩니다. 메모리에 항상 상주하고 있고, 프로세스 강제 종료도 안 될 겁니다.
문제는 Win-Trojan/Infactlsass 이란 놈은 마치 lsass.exe 인 것처럼 상주하며 사용자들을 골탕 먹이는 트로이안이라는데 있습니다. 이름을 똑 같이 해 위장을 하는 것이죠. 벌써 전 근대적인 공격 방식이 되 버렸네요. 위험도나 로직 면에서는 중하급이지만, 트로이안이니까 백신 소프트웨어로서는 당연히 제거해야겠지요.
물론 안철수처럼 정상 프로세스를 지워 버리면 안되겠습니다만..gif)
That's because lsass.exe is an essential part of the Windows operating system. LSASS, the Local Security Authority Subsystem Service, is responsible for helping Windows manage security and logins. You should be able find the lsass.exe file in the C:\windows\system32 or C:\winnt\system32 folder, depending on your version of Windows. You should NOT delete this file, and in fact, Task Manager will not allow you to terminate the lsass task.
I have heard reports of a virus, trojan horse or spyware bearing the lsass.exe filename, so it IS possible to have a rogue LSASS on your system.
- http://askbobrankin.com/what_is_lsass.html <출처>
- http://www.bullguard.com/forum/8/Isassexe-or-Lsassexe-which-one_9185.html <바이러스 관련 설명>
아래는 복구 방법을 안내하는 안철수연구소 자료와 오석주 대표의 사과문입니다. 안철수연구소의 신속한 대응, 그리고 대표의 사과까지 솔직한 대응에는 전적으로 공감하며, 노력에도 공감합니다. 신속한 조치에 박수를 보냅니다. 누구나 실수는 할 수 있지만 누구나 실수를 만회할 수 있는 건 아니죠. 적어도 이미 절반은 만회했다고 후하게 평가해도 될 것 같습니다. 다만 보안 업체의 특성상 일체의 실수가 용납되지 않는 업계 분위기로서는 기업 운영에는 적잖은 타격이 예상됩니다. 아마 지금 안랩 전화통에는 불이 났겠죠?
--------------------
보도자료 2008/07/10
안철수연구소, 윈도 XP SP3 사용자 부팅 이상시 복구 방법 안내
- 전사 긴급 대응 체제 가동..홈페이지, SMS, 언론 공지 및 복구 CD 제작 배포
- 윈도 XP SP3 사용자만 해당.. PC 부팅이 안 될 경우 복구 프로그램 사용해야
- 부팅 안 되는 원인은 데이터 파일 손상 등과 무관..복구하면 다른 문제는 없어
안철수연구소(대표 오석주. www.ahnlab.com)는 7월 10일 오후 3시경에 배포된 자사의 백신 엔진(버전 : 2008.07.10.01)이 윈도 XP SP3의 lsass.exe 파일을 악성코드로 잘못 진단해 삭제한 것과 관련해 전직원 비상 체제를 구축해 고객지원에 나서고 있다고 밝혔다.
이에 따라 lsass.exe 파일을 복구할 수 있는 대책을 자사 홈페이지(http://kr.ahnlab.com/info/customer/html/2008_lsass_fix.html)에 자세히 공지했다.
이에 따르면 재부팅 시 로그인 창이 나오지 않고 블랙 화면 상태로 멈추는 현상이 발생하면 윈도 XP CD로 복구할 수 있다(http://kr.ahnlab.com/info/customer/html/2008_lsass_fix_02.html). 윈도 XP CD가 없거나 윈도 XP CD로 복구가 안 되는 경우에는 복구 CD 제작이 가능한 iso 파일을 내려 받으면 된다(http://kr.ahnlab.com/info/customer/html/2008_lsass_fix_03.html). 또한 PC를 사용할 수 없는 사용자를 위해 복구 프로그램이 담긴 CD를 보내드리고 있으니 개인 고객은 T. 02-2186-3000, 기업 고객은 T. 02-2186-3082로 신청하면 된다.
또한 'Windows 파일 보호’ 창이 뜨고, V3 진단 로그에 lsass.exe 파일 진단 내역이 있는 경우에는 삭제된 lsass.exe 파일을 복구 프로그램으로 복구할 수 있다(http://kr.ahnlab.com/info/customer/html/2008_lsass_fix.html). 복구 프로그램을 실행하면, 별도 메시지 없이 자동으로 복구된다. 2008.07.10.03 엔진을 사용하는 고객은 엔진 업데이트 후 자동으로 복구 프로그램이 실행되어 복구되므로, 복구 프로그램을 다운로드할 필요가 없다.
한편, 이 경우 부팅이 정상적이지 않은 것은 하드 디스크나 다른 파일이 손상되어서가 아니므로 복구 후 정상 부팅을 하면 기존 데이터 및 시스템 설정은 전혀 이상이 없다. 또한 이번 오진으로 인한 피해는 모든 사용자에게 해당되는 것이 아니라 윈도 XP SP3가 설치되어 있는 PC에서 안철수연구소 백신 엔진(버전 : 2008.07.10.01)으로 검사한 경우에만 해당된다. 윈도 XP SP3인지 여부는 '내 컴퓨터'의 '도움말'에서 'Windows 정보'를 클릭하면 확인할 수 있다. 따라서 윈도 XP SP3가 설치되어 있지 않은 사용자는 안심해도 된다.
오늘 새벽 해외 출장 중 급거 귀국한 오석주 대표는 “뜻하지 않은 오진으로 사용자 여러분께 불편을 드려 머리 숙여 사과드린다. 질책을 겸허히 받아들이고 깊은 반성을 거듭하겠다. 이번 일을 계기로 더욱 안전하고 신뢰할 수 있는 PC 환경을 제공하기 위해 심기일전하여 분발하겠다.”라고 밝혔다.
이에 앞서 안철수연구소는 7월 10일 오후 3시경에 배포된 엔진이 윈도 XP 서비스팩3의 lsass.exe 파일을 트로이목마로 진단해 삭제하는 문제가 발생해 이를 발견한 즉시 엔진 배포를 중단하고 한 시간 뒤인 4시부터 정상적인 엔진을 배포했다.
CD 배포 문의처 : *개인 고객 T. 02-2186-3000 *기업 고객 T. 02-2186-3082 *http://www.ahnlab.com <Ahn>
<사과문 전문>
머리 숙여 사죄드립니다.
무엇보다도 안전한 PC 환경을 제공하여야 할 사명을 가진 저희 안철수연구소가 고객님께 불편함을 드린 점 진심으로 사과드립니다.
저희 회사가 어제(10일) 오후 3시경에 배포한 백신 엔진(버전 : 2008.07.10.01)이 윈도 XP SP3의 lsass.exe 파일을 악성코드로 잘못 진단해 삭제한 일이 있었습니다. lsass.exe 파일이 삭제된 상태에서 재부팅을 하면 부팅이 정상적으로 되지 않는 문제가 발생합니다. 부팅이 안 되더라도 절대 PC 내 기존 정상 데이터나 파일이 손상되는 일은 없으니 안심하셔도 됩니다.
이 같은 부팅이 안 되는 현상은 모든 사용자에게 해당되는 것이 아니라 윈도 XP SP3가 설치되어 있는 PC에서 백신 엔진(버전 : 2008.07.10.01)으로 검사한 일부 경우에 해당됩니다. 윈도 XP SP3인지 여부는 '내 컴퓨터'의 '도움말'에서 'Windows 정보'를 클릭하면 확인하실 수 있습니다.
저희 회사의 모든 임직원은 어제 백신 엔진의 문제점을 발견하고 즉시 엔진 배포를 중단하고 홈페이지, 언론, 전화, 문자메시지(SMS) 등 가능한 여러 방법을 통해 고객들에게 긴급 안내를 드려 피해가 최소화될 수 있도록 하는 동시에, 실제 PC 부팅이 안 되는 고객들을 위해 밤새 별도의 복구 프로그램을 개발 제작해 긴급히 배포하고 있으며 전직원 비상 대응 체제로 상시 고객지원에 나서고 있습니다.
저도 어제 일본 출장 중 소식을 듣고 모든 해외 일정을 포기하고, 오늘 긴급히 귀국해 고객 한 분 한 분 모두의 불편과 염려를 조금이라도 덜어드리기 위해 최우선적으로 이번 사고의 피해 최소화에 혼신의 노력을 다하고 있습니다.
이번 일을 계기로 다시는 이러한 일이 발생하지 않도록 겸허한 반성과 함께 앞으로 더 안전하고 신뢰할 수 있는 모습을 보여드리기 위해 심기일전하여 분발하겠습니다. 그리고 이제까지 그러했듯이 안전한 IT 환경을 만들겠다는 사명을 묵묵히 실천해나가겠습니다.
저희 회사의 잘못으로 PC 사용에 불편이 발생하고 혼란을 끼쳐드린 점 다시 한번 머리 숙여 사과의 말씀을 올립니다
2008년 7월 11일
오석주 안철수연구소 대표이사 올림
人터넷에서 놀자 카테고리의 다른 글
안녕하세요. ITViewpoint 스타터이자 공동 에디터 '서명덕 기자' 입니다. 닉네임은 떡이떡이 입니다.
이 곳은 블로그미디어이며, 개인 공간은 http://itviewpoint.thoth.kr/ 을 메인으로 옮겨 갈 생각입니다.
개인적인 목적이라면 콘텐츠 막펌을 전면 허용 http://itviewpoint.com/blog/54971 합니다. 다만 비상업적인 용도에 한하며, 상업적인 용도라면 별도로 문의하세요. RSS http://itviewpoint.com/blog/rss 는 전문 제공합니다.
정말 화가 납니다. 은행에서 제 컴퓨터의 보안을 신경써주는 건 좋은데, 개인적으로 알아서 처리하도록 옵션을 열어줘야 할거 아닐까요? 강제로 ActiveX를 마구 설치하고, 그게 싫으면 인터넷뱅킹을 사용하지 말라고 하니... 참으로 답답합니다.
V3를 서버에서 쓰는건 언제 터질지 모르는 폭탄을 지고 다니는것과 비슷하더군요.
![[레벨:2]](http://itviewpoint.com/modules/point/icons/warrock/2.gif "포인트:430point (15%), 레벨:2/100"){kind=icon}
꿈을꾸는자갑자기 그날 PC 끄지 말고 퇴근을 하라더니 다음날 V3패치업그레이드를 하라고
하네요. 그 사이에 재부팅 했는 PC는 복구 CD로 하는 수 밖에 없다네요~
안철수 연구소에서 빨리 대응을 했기에 망정이지 안 그랬으면 큰일 날뻔 했네요.
저야 이날 PC 재부팅을 못하는 관계로 개발 작업이 중단이 되어서 재미있는 글을
찾다가 서명덕 기자님의 블로그에 오게 되어서 글을 50여개 읽게 되는 행운을 얻었지만요~
앞으로도 좋은 글 자 부탁 드립니다~
![[레벨:16]](http://itviewpoint.com/modules/point/icons/warrock/16.gif "포인트:24765point (58%), 레벨:16/100"){kind=icon}
호랭이
thoth
부팅이 되지 않아 iso 파일을 굽지 못하는 사람들에게는 퀵 서비스로 복구cd 를 배송까지 해주다니...
이례적인것 같아요.~~