CWN(CHANGE WITH NEWS) - 어도비 애크로뱃, PDF 파일 실행 시 바이러스 방지 프로그램 차단

어도비 애크로뱃(Adobe Acrobat)으로 PDF 파일을 열 때 보안 기능을 제대로 사용하지 못할 수도 있다는 경고가 제기되었다.

사이버 보안 전문 매체 블리핑컴퓨터는 이스라엘 사이버 보안 기업 미네르바 랩스(Minerva Labs) 연구팀의 발표를 인용, 어도비 애크로뱃이 PDF 파일을 열 때 바이러스 방지 프로그램 30가지를 차단한다고 보도했다. 이 때문에 어도비 애크로뱃으로 PDF 파일을 실행하면, 악성 활동을 감시하지 못할 수도 있다.

PDF 파일은 과거에도 시스템에 멀웨어를 실행할 수단으로 악용된 적이 있어, 이번 문제를 가볍게 볼 수 없다.

어도비 애크로뱃이 차단하는 보안 프로그램 중에는 비트디펜더(Bitdefender), 아바스트(Avast), 이셋(ESET), 카스퍼스키(Kaspersky), 트렌드 마이크로(Trend Micro), 시맨텍(Symantec), 멀웨어바이츠(Malwarebytes) 등 인기 기업의 제품이 다수 포함되었다.

보안 툴이 제대로 실행하려면, 시스템의 모든 과정을 볼 수 있어야 한다. 이 과정은 동적 링크 라이브러리(DLL)을 소프트웨어 제품에 투입하여 실행할 수 있다. 시스템 질의는 크로뮴 임베디드 프레임워크(Chromium Embedded Framework) DLL인 ‘libcef.dll’로 처리할 수 있다.

현재 크로뮴 DLL(Chromium DLL)은 충돌 문제 때문에 블랙리스트로 포함되었으나 보안 프로그램 공급사는 어느 정도 변경 사항을 적용하고 원하는 DLL을 직접 추가할 수 있다.

미네르바 랩스는 어도비 애크로뱃의 DLL 투입 과정에서 어도비가 프로그램 등록 키의 bBlockDllInjection 기본값이 1로 설정되었는가 확인했다. 기본값이 1로 설정되면, 바이러스 방지 프로그램의 DLL 투입을 막을 수 있기 때문이다.

실제로 연구팀은 기본값이 1로 설정된 탓에 바이러스 방지 프로그램이 차단되었다는 사실을 발견했다.

어도비 관계자는 블리핑컴퓨터의 문의에 “보안 툴의 일부 DLL 호환 문제가 발생한 사실을 인지했다”라며, “추후 DLL 차단 상태를 구체적으로 설명하는 글을 게재하고, 관련 정보를 업데이트할 예정이다”라고 밝혔다.

한편, 미네르바 랩스 연구팀은 어도비가 호환성 문제를 해결하더라도 보안 소프트웨어의 시스템 보호 기능 차단 때문에 발생하는 실제 사이버 공격 위험성이 계속 발견될 수 있다고 지적했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]