2022년 알약 랜섬웨어 오진 사태

1. 개요[편집]

---

2022년 8월 30일, 안티바이러스 소프트웨어인 알약이 오진을 해 사용자들의 PC를 먹통으로 만든 사고다.

2. 상세[편집]

---

오전 11:30분경 업데이트된 알약 공개용 버전 v.2.5.8.617에서 발생한 일로, 이스트소프트 측은 랜섬웨어 탐지 기능에 오류가 생겨 윈도우 업데이트 프로그램 등 정상 프로그램을 랜섬웨어로 오진하는 문제라고 주장했다.

알약 공개용 제품 관련 긴급 공지

[ 펼치기 · 접기 ]

㈜이스트시큐리티입니다.

항상 저희 알약 제품을 이용해 주셔서 감사합니다.

금일(2022.08.30 11:30) 업데이트된 알약 공개용에서 랜섬웨어 탐지 오류가 발생하여 현재 정확한 원인 분석 및 긴급 대응 중에 있습니다.

제품 사용 중 불편함을 드려 진심으로 사과의 말씀을 드리며, 조속히 정상화될 수 있도록 최선을 다하겠습니다.

알약 공개용 버전 v.2.5.8.617

* 알약 기업용 제품 영향 없음

개인용에서만 나타나는 오류이며 기업용 제품에는 해당되지 않는다고 한다.[1] 업데이트를 하지 않았다면 오류가 수정될 때까지 업데이트를 하지 않고 잠시 기다리면 되지만 알약을 지우고 다른 백신으로 갈아타는 것이 최선이었다.

사용자마다 겪은 문제가 다른 것으로 보이는데, 대체로 위의 메시지가 뜨며 이후 윈도우가 셧다운되거나 블루스크린이 뜬다고 하고, 몇몇 사용자들은 explorer.exe 예외 오류 발생 메시지, 작업 표시줄 먹통, 바탕 화면이 검은색으로 변하는 오류가 있다고 했다.

도대체 정확히 뭘 어떻게 건드려서 이런 문제가 발생하는지는 이스트소프트 측에서 '랜섬웨어 탐지 기능을 강화하다가 랜섬웨어 탐지 오류가 생겼다.'라고 두루뭉술 넘어가며 정확히 밝히지 않은 데다가 워낙 사용자별로 증상의 종류나 그 정도가 달라서 불명이다. 다만 어떤 프로그램이 랜섬웨어라고 뜨는지는 사람마다 다르고, 대다수가 svchost.exe나 검색(SearchApp.exe), 시스템 에러 리포트(WerFault.exe) 같은 윈도우의 백그라운드 호스트 프로세스인 exe 파일들을 랜섬웨어라고 띄우고 이후 즉시 혹은 잠깐의 시간 후에 PC가 문제를 일으켰다고 하며 PC를 복구해도 여러 프로그램들이 깨진 사례를 종합해 보면 exe 파일들을 전부 랜섬웨어라고 규정하고 무차별로 차단시키다가 윈도우 체계 관련 exe를 건드리는 순간 PC가 먹통이 되는 게 아니냐는 추측이 있다. 몇몇 사례는 심지어 메시지도 안 떴는데도 불구하고 전조 없이 PC가 먹통이 됐다고 한다.
'알약' 탐지오류로 PC 먹통 잇따라…이스트시큐리티 긴급 대응중
'알약' 업데이트 오류로 PC 먹통 행렬…직장인들 '발동동'

회사 측에서는 문제를 복구하는 툴을 만들고 있다고는 하지만 언제 정상화될지는 미지수였다. 9월 1일, 이 사건으로 인한 문제가 해결이 되지 않는 PC의 경우 고객지원센터로 접수하면 지원을 하겠다는 내용과 함께 사과문을 업로드했다.

[ 이스트시큐리티 측 사과문 ]

파일:알약 사과문.png

그러나 사과문에 나온 대로 고객 지원 센터로 연락해도 대응이 없다는 사례가 많다.

이후 다시 사과문과 함께 재발방지 방안을 발표했으나, 보상에 대해서는 일언반구가 없어 무시하고 넘어가리라고 예상되었고 대중의 반응도 좋지 않았다.

【알약 공개용 제품 오류 관련 재발방지방안 발표】

#

㈜이스트시큐리티입니다. ‘알약 공개용’ 제품 문제로 사용자분들께 불편을 끼쳐드린 점 진심으로 사과의 말씀을 드립니다. 먼저, 현재까지 파악된 현황 및 대응 상황을 공유드립니다.
현황 및 대응 상황

2022년 8월 30일 오전 11시 30분경 랜섬웨어 탐지 기능을 강화한 업데이트(v2.5.8.617)를 배포 후 랜섬웨어 탐지 오류를 최초 인지하고, 2022년 8월 30일 오후 1시 30분경 즉각 업데이트를 중지한 바 있습니다. 이후 2022년 8월 30일 오후 11시 30분경, 서비스 정상화(v2.5.8.625)가 이뤄졌습니다. 업데이트를 중지하기 전 해당 배포 버전에 영향을 받은 일부 사용자를 대상으로 곧바로 수동 조치 툴을 배포하고 안내하여 해당 문제를 해결할 수 있도록 조치하였고, 다양한 사용자 PC 환경으로 인해 정상화되지 못한 PC에 대해서는 고객지원센터를 통해 야간 및 주말/공휴일에도 전사적 비상경영 체제로 대응하며 해결에 만전을 기하고 있습니다. 무엇보다 향후 이 같은 랜섬웨어 탐지 오류로 인한 문제가 다시는 발생하지 않도록, 당사는 무거운 책임감을 느끼며 다음과 같이 재발방지 방안을 수립하였습니다.

재발 방지 방안

① 랜섬웨어 테스트 프로세스 강화 - 다양한 사용자 환경에서 충분한 검증이 될 수 있도록 랜섬웨어 탐지 기술 적용 전, 사전 검증 체계 정밀화 - 프로그램 안정성 사전점검을 위한 테스트베드 확보를 위해 대내외 전문기관 및 학계 등과 협력관계 강화
② 전략적 배포 프로세스 개선 - 다양한 조건별 배포 프로세스 정교화 - 배포의 전 과정을 상세하게 모니터링하고 통제할 수 있는 배포 시스템 고도화
③ 오류 조기 발견/차단 시스템 고도화 - 랜섬웨어 탐지 오류를 포함한 오작동을 신속하게 인지하고 선제적 대응을 위한 통계적 모니터링 시스템 개선 - 수집된 오류의 범위와 수준에 따른 자동화된 차단 시스템 수립
④ 실시간 대응 시스템 개선 - 랜섬웨어 차단 오류 방지 위한 조기 발견/차단 시스템과 딥러닝 기반의 악성코드 위협 대응 솔루션 쓰렛 인사이드(Threat Inside) 연계, 최단 시간 내 정상 엔진 복구를 위한 대응 구조 강화
정보 보안 산업은 지능화되는 다양한 공격에 대한 방어를 위해 지속적인 기술 개발과 숙련된 전문가 양성이 수반되는 장기적인 관점의 준비와 노력이 필요합니다. 난도 높은 기술과 안정적인 서비스를 제공한다 하더라도 한순간에 그 간의 노력이 퇴색될 수 있는 위험요소가 산재해 있습니다. 이에 재발방지 방안에 더하여 ㈜이스트 시큐리티는 고도화된 보안 위협에 대한 장기적인 대응 및 인식 제고의 일환으로 기업 이윤의 일부를 사회에 환원하는 기업의 사회적 책임과 역할 방안을 추가로 마련하였습니다.

사회적 책임과 역할

첫째, 국민이 보다 안전할 수 있도록 정보 보안 전문가 양성에 앞장서겠습니다.
둘째, 누구나 쉽게 PC를 사용하며 안전하게 다룰 수 있도록 PC 사용 및 보안 교육 프로그램을 운영하겠습니다. 본 랜섬웨어 탐지 오류로 인한 문제가 종결될 때까지, 당사 임직원 모두가 끝까지 책임감을 가지고 마무리할 것이며, 저희가 수립한 재발방지 방안을 늘 마음속에 새기고, 세부적 실천 방안에 따른 진행사항을 매년 정기적으로 홈페이지에 게재하여 공개하도록 하겠습니다. 감사합니다.'''

3. 해결 방법[편집]

---

알약 공개용 긴급 수동 조치 방안

[ 펼치기 · 접기 ]

㈜이스트시큐리티입니다.

알약 공개용 제품으로 인하여 불편을 끼쳐드려서 사과의 말씀 드립니다.

아래 현상이 발생하지 않는 대부분의 알약 공개용 사용자분들은 정상적으로 사용이 가능합니다.

(기업용 제품은 본 이슈와 무관합니다)

알약 공개용 사용자 중 일부 화면 멈춤 현상이 있는 경우, 하기 안내에 따라서 조치 시 정상 복구할 수 있습니다.

금일 발생한 오류는 랜섬웨어 탐지 기능 고도화 적용 후, 랜섬웨어 탐지 기능 오작동으로 인한 것으로 확인되었습니다. 본 오류로 인하여 사용자 PC에 전혀 손상을 끼치지 않으며, 아래 가이드에 따라서 조치 시 즉시 정상 복구됩니다.

즉시 복구를 희망하실 경우 아래 수동 가이드를 참고하여 조치 가능하며, 빠른 시간 내 자동 업데이트를 통하여 원상 복구할 수 있도록 책임 있는 자세로 최선을 다하겠습니다.

- 안 내 -

1. 수동 조치툴 다운로드 가능한 경우

① 수동 조치툴 다운로드[1]

그 와중에 초기 몇 시간 동안 이 다운로드 링크를 일반 글과 동일하게 강조 표시가 전무한 상태로 해 놓아 찾지 못하는 경우가 많았다.

후 실행

2. 수동 조치툴 다운로드 불가능한 경우

① PC 강제 재부팅 3번 시도하여 안전모드(네트워킹 사용) 진입

(참고 : Windows 안전모드 진입방법)

* PC 강제 재부팅 : Power Off 버튼 5초 이상 누름(3회 반복)

② 수동 조치툴 다운로드 후 실행

③ 재부팅

※ 참고: 마이크로소프트 Windows 10 및 Windows 11 안전모드 진입방법

※ 참고: 마이크로소프트 Windows 7 안전모드 진입방법

이스트소프트 측에서 당일 직접 올린 수동 복구 방법이다. 그러나 사 측의 주장과는 달리 일부 유저에게만 유효하고 구동이 되지 않거나 구동 직후 무반응으로 종료되는 사례가 속출하고 있는 것으로 보인다.

만일 다시 시작될 경우 팝업이 뜨기 전에 알약 프로그램을 강제 종료시킨 뒤 삭제하는 것이 가장 좋은 시나리오다.[2]

안전 모드로 다시 시작이 가능하다면 알약 프로그램을 제거하면 문제가 해결되는 경우도 있다.# 안전 모드로 다시 시작 후 제어판을 통해 알약 프로그램을 삭제하더라도 진행 중간에 먹통이 되어[3] 삭제가 안 된다는 사례가 쏟아지고 있어 만약 삭제가 안 될 경우 내 컴퓨터 - 프로그램 파일에 있는 알약과 관련된 폴더를 모두 삭제하고 휴지통을 비운 다음 제어판을 통해 한 번 더 삭제 후 다시 시작하면 된다.#[4]

문제를 다 해결하고 윈도우의 정상 구동에 성공했다고 해도 일부 사용자는 랜섬웨어 알림 오류가 발생한 시점을 기준으로 구동되고 있었던 프로그램들이 다시 시작 후에는 실행되지 않거나 열려있던 파일들이 깨진다고 한다. 해당 프로그램을 재설치하거나 윈도우 자체 복구 시점으로 PC를 롤백하는 방식으로 그나마 정상적인 사용이 가능하도록 개인적인 조치를 취할 수밖에 없는 듯하다.

물론 이것들은 다 재부팅이나 구동이라도 될 때의 이야기이다. 윈도우 시스템을 날려먹은 것으로 추정되거나 부팅 파일이 손상 또는 삭제된 만큼이나 아예 블루스크린만 주구장창 뜨거나 하는 식으로 제대로 된 구동이 안 되는 사례도 있다. 이런 경우에는 그냥 윈도우 재설치와 포맷이 답이다.

4. 피해[편집]

---

이 사태로 개인 작업 자료를 날린 학생들이나 프리랜서들이 피해를 호소하는 안타까운 사례들이 다수 보고되었다. 그뿐만 아니라 인터넷 커뮤니티들에는 기업체에서도 공개용을 사용한 경우에 기업체의 컴퓨터가 망가졌다는 글들도 꽤 올라왔다.[5]

【기업용 라이선스 정책】

기업체에서 계약 없이 공개용 버전을 사용하면 불법이다.

단 기업, 공공, 교육용 라이선스를 구매한 상태에서 개인용 제품을 사용한 경우는 불법이 아니며 단속에서 제외된다.#

거기다 그냥 꺼졌으면 또 몰라도 알약이 '랜섬웨어를 차단했다'고 하며 PC를 먹통으로 만들었기 때문에 '진짜 랜섬웨어 때문에 컴퓨터가 망가졌구나' 싶어서 PC를 포맷해 버린 사람도 굉장히 많았다. 시간이 지나 언론의 긴급 속보와 각종 온라인 커뮤니티를 통해 소식을 접한 후 안전모드로 재부팅이 된다면 포맷을 할 필요 없이 안전모드로 프로그램만 삭제하면 된다는 것을 알고 난 뒤 망연자실한 사람이 대다수였다.

향후 알약의 점유율이 크게 하락하는 것은 불가피하며[6][7] 사태 이전의 점유율을 회복하는 것도 당분간은 불가능할 것이라는 전망이 나왔다.

동네 컴팔이들에게는 엄청난 호재로 작용해 동네 컴퓨터 가게들에서 컴맹들에게 덤탱이를 씌우는 경우가 폭증했다.[8]#, # 애초에 소프트웨어 문제이므로 끽해야 포맷 후 윈도우 재설치가 할 수 있는 처치의 한계라 출장비와 용역비를 받는 게 최대이지만 당연히 동네 컴팔이가 그럴 리가 없고 평소에 하던 것보다 더 부풀려서 여러 가지를 팔아치운 것이다. 엄연한 사기다.

5. 여론[편집]

---

당연히 좋지 않다. 원래도 알약은 소비자들에게 악명이 매우 높았다. 극단적으로는 바이러스와 동급, 혹은 그것보다는 조금 나은 수준으로 취급하는 사람들도 많았을 정도다. 그런 부정적인 인식에 그야말로 마침표를 찍은 것이다.

이스트소프트 측 대응은 크게 두 가지가 문제로 꼽혔다. 일단 첫 번째는 상황을 매우 축소하여 선동한 점. 공지나 사과문 등에서 지속적으로 '일부 사용자', '일부 pc에서', '현상이 발생하지 않는 대부분의 알약 사용자들' 같은 식으로 마치 굉장히 소수의 사용자들만 피해를 입은 것처럼 말했다. 또한 '본 오류로 인하여 사용자 PC에 전혀 손상을 끼치지 않는다'고 주장했으나, 프로그램이나 파일이 깨져 있거나 안전모드로 재부팅은커녕 컴퓨터가 아예 멈추거나 블루스크린만 계속 띄우는 등 윈도우 프로세스에 치명적인 손상을 입은 사람들도 있기에 이는 거짓말이다.

둘째는 당연히 무책임한 태도. 문제를 일으킨 것은 축소하더라도 인정했지만 제대로 연결되지도 않는 고객센터에 연락하면 복구를 도와주겠다고만 했을 뿐, 본 사태에 대해 책임을 지고 피해자들에게 보상하겠다는 언급은 전혀 없다. 대신에 한다는 게 자사의 정책 변경과 사회환원인데, 그건 애초에 기업이 자기 좋으라고 하는 행위이다. 소비자들에 대한 보상을 논해야 할 자리에 자사의 기업광고를 박아 넣은 어이없는 짓을 했다는 이야기. 거기다 그 사회환원조차도 굉장히 두루뭉술하고 구체적인 내용조차 적혀있지 않아서 진짜 하겠다는 것인지도 불명이다.

이러한 막장 대응 덕에 앞으로도 알약과 이스트소프트는 믿고 거른다는 사용자들이 굉장히 많아졌다. 그리고 이 사태로 인해 컴퓨터 백신이나 보안 관련 단편 지식들이 대중들에게 어느 정도 알려진 덕에 앞으로는 그냥 Microsoft Defender 정도만 유지하고 말겠다는 일반인들도 상당히 많아졌다.

6. 배상 여부[편집]

---

누가 봐도 이스트소프트 측의 100% 과실이고, 그냥 웃음거리로 넘어갈 수준의 사고가 아님에도 불구하고 현실적으로 피해 보상을 받는 것은 매우 힘들어 보인다.

일단 처음 프로그램을 설치할 시 동의해야 하는 약관에 '문제가 발생해도 책임은 사용자의 몫이다'라는 내용이 포함되어 있기 때문에 이스트소프트 측이 배상 요구를 철저히 무시하고 설령 공론화되더라도 약관을 들먹이며 배상 요구를 거부할 가능성이 매우 높다. 나중에 올린 사과문에도 역시 '사회환원' 따위를 운운했을 뿐 정작 직접 피해를 입은 피해자들에게 어떻게 보상하겠다는 문구는 일언반구도 없다.

다만 무료 백신이지만 광고와 프로그램 설치를 유도해 수익을 올렸고 이렇게 개인용 버전을 실험대로 써서 기업용을 만들기 때문에 사실상 소비자가 대가를 지불하고 사용한다고 볼 수도 있어서 소송을 갈 여지 자체는 있다. 또 이런 소비자 친화적이지 않은 형태의 약관이 으레 그렇듯이 불공정 약관으로 관련 국가 기관으로부터 시정명령을 받을 가능성이 없는 건 아니다.

하지만 결국 개인이 소송을 걸어서 지난한 법정 싸움을 통해서 배상액을 받아내야 하고, 배상 비용도 유의미한 수준이 아닐 것이라서[9] 사실상 힘들다.

그나마 개인이 아닌 기업이 사용하다 문제가 생긴 건들은 기업 수준에서 기업 대 기업으로 붙어볼 가능성이라도 있지만, 알약의 개인용 버전은 원칙상 비영리 목적 사용만 가능하므로[10] 보상을 받을 수 없을 가능성이 크다. 특히 기업에서 계약 없이 임의로 개인용 버전을 이용한 경우 역으로 불법 복제로 손해배상을 해야 할지도 모르는 상황이다.

2011년에도 V3 Lite의 오진으로 윈도우 중요 파일을 삭제해 부팅이 불가능해지자 안랩에서 복구 CD를 퀵배송으로 보내며 배포하는 등 후속지원에 나섰지만 금전적 보상은 이루어지지 않았으며, 2017년 어베스트에서 일어난 대량 오진 사건 역시 배상은 이루어지지 않은 만큼 이 사태 역시 배상이 이루어질 가능성은 매우 낮다.

• ‘알약’ 오류 PC 먹통 사태 후폭풍… 집단소송 움직임에 상장 차질 우려까지
• 독약된 백신 프로그램 알약··· 사용자 ‘피해보상’은 어렵다?
• ‘알약 오류’ 월말 업무 망친 이용자들…피해보상은
• '알약 오탐지 오류' 재발방지책 내놨지만… 소비자 보상은 없었다