이 사건으로 인해 약 25천여개 이상의 윈도우 파일들이 격리보관(Quarantined)되는 바람에 윈도우가 부팅되지 않는 등의 심각한 문제가 발생한 것으로 알려지고 있습니다.
Clam AV 개발자가 이 문제의 해결책으로 배치파일을 제시했지만, 사실상 복구가 불가능하다고 판단되고 있습니다. 해결책은 Clam AV에서 격리보관할 때 기록하는 로그 파일을 통해 원래의 위치를 찾아 되돌리도록 하는 것이었지만, 문제는 이 로그의 크기가 1MB밖에 되지 않아 25천 여개의 파일에 대한 정보는 극히 일부분만 포함하고 있기 때문입니다.
Win7 and Vista: C:\Users\All Users\.clamwin\log\ClamScanLog.txt
XP:
C:\Documents and Settings\All Users\.clamwin\log\ClamScanLog.txt
따라서, 대부분 피해를 입은 사용자들은 윈도우의 덮어쓰기 또는 재설치해야 할 것을 예상됩니다.
이와 같이 거의 매년 유명한 안티바이러스 제품의 윈도우 파일 오진 사태가 꾸준히 발생하고 있습니다. 이 문제의 해결을 위해서는 화이트리스트 방식이 널리 사용되고 있지만, Clam AV에서 사용되고 있는지 여부는 모르겠습니다(!)
보안 관련 기업인 Secunia에 따르면 취약점은 libclamav/pe.c 소스에 있는 cli_scanpe() 함수에서 발생한 것으로 이번 주 월요일에 취약점이 공개되어 알려졌다. Secunia에 따르면 이 취약점은 높은 위험도(highly cirtical) 등급으로 가장 높은 등급 바로 아래에 위치한다.
ClamAV는 안티 바이러스 제품뿐만 아니라 이메일을 통해 감염되는 바이러스 등을 차단하는 이메일 게이트웨이 장비(소프트웨어)에서도 자주 사용된다. 한편 애플에서는 운영 체제에서 패키지를 구성하는데 ClamAV를 사용하며 Mac OS X 서버 10.5에서 실제로 포함하고 있다.
외국의 유명한 안티 바이러스 제품 중에 ClamAV라는 무료 제품이 있습니다. 이 제품은 GPL(General Public License, 쉽게 설명하면 소스 공개, 무료)을 따르는 것으로 국내에서는 그리 사용자 층이 넓지는 않습니다.
ClamAV는 우리가 사용하는 안티바이러스 월 장비, 방화벽, UTM, 메일 서버의 안티 바이러스 등으로 알게 모르게 많이 사용되고 있습니다. 예를 들어 보면, 국내 드림위즈 포탈 메일이 ClamAV를 사용하는 것으로 추적(!)되고 있으며, 일부 메일서버에서도 이러한 모듈이 탑재되고 있습니다.
하지만, 이제 ClamAV는 소스파이어(SourceFire)라는 보안 업체에 매각되었다는 소식입니다. 그리고 2008년부터는 더 이상 GPL 라이선스를 따르지 않고 OEM 라이선스를 채택하여 공급한다고 합니다.
다행인 것은 그래도 ClamAV라는 브랜드 이름은 그대로 사용된다고 하니 추억의 멋진 안티바이러스 제품으로 우리 기억 속에 남지 않을까요?
