진짜 바이러스일까?

크롬을 사용하다 특정 사이트를 방문하면 바이러스 감염 메시지가 나타난다. 많은 사람들이 이 메시지를 보고 방문을 포기한다. 그런데 이 메시지를 자세히 읽어 보면 방문하려는 사이트가 바이러스에 감염된 것이 아닌 때가 많다. 즉, 방문하려는 사이트가 감염된 것이 아니라 감염된 사이트의 링크를 포함하고 있는 것이다. 따라서 이 글에서는 이런 메시지가 왜 나타나며, 이런 메시지가 뜨면 어떻게 조치해야 하는지에 대해 알아 보겠다.

내 사이트가 바이러스에?

은 제가 상당히 좋아하는 브라우저입니다. 속도가 빠르고 안정적이기 때문입니다. 크롬(Chrome)을 사용하는 분은 알겠지만 특정 사이트를 방문하면 사이트가 바이러스에 감염되었으므로 주의하라는 메시지가 뜹니다. 이 메시지가 뜨는 이유는 여러 가지가 있습니다. 그러나 이런 메시지가 뜨는 이유는 대부분 다음 두가지 중 하나입니다.

  1. 방문하려는 사이트가 과거에 바이러스에 감염된 경우
  2. 방문하려는 사이트에 감염된 사이트의 링크가 있는 경우

블로그 댓글이나 트위터에도 크롬(Chrome)으로 접속하면 바이러스 경고 메시지가 뜬다는 이야기를 종종 듣곤 합니다. 그런데 지금까지 그 이야기를 무시해 왔습니다. 그 이유는 아주 간단합니다. 이런 메시지는 대부분 위의 두가지 중 하나이며, '제 블로그는 두번째에 해당된다'는 것을 알고 있었기 때문입니다. 또 이런 사실은 구글의 안전 브라우징 메시지에도 그대로 나타납니다. 즉, 해당 메시지를 자세히 읽으면 제 블로그는 바이러스와는 무관하다는 것을 쉽게 알 수 있습니다.

위의 그림을 보면 알 수 있지만 먼저 offree.net을 통해 감염된 사이트가 없습니다. 또 악성 소프트웨어 유포 항목ㅢ을 보면 악성 소프트웨어를 호스팅하지 않았다는 것 역시 알 수 있습니다. 마지막으로 Google 사이트 방문 결과를 보면 총 2221개의 페이지 중 101개의 페이지에 의심 콘텐츠가 있으며 jingjing2.co.cc, hwagoon.co.cc, window20.co.cc를 포함한 6개 도메인에서 악성 소프트웨어를 호스팅하고 있다고 나와 있습니다. 즉, 제 사이트를 악성 소프트웨어와는 관련이 없으며 jingjing2.co.cc, hwagoon.co.cc, window20.co.cc와 같은 도메인의 링크가 있기 때문에 안전 브라우징 메시지가 뜬다는 것입니다.

이러한 일이 왜 발생할까?

텍스트큐브 사용자라면 블로그 아이콘이라는 기능을 잘 알고 있을 것이라고 생각합니다. '블로그 아이콘'은 텍스트큐브(Textcube)에서 지원하는 기능으로 댓글을 남긴 사람이 블로그 주소를 남기고 해당 블로그가 텍스트큐브면 해당 사이트에서 블로그 아이콘(index.gif)[1]을 불러와 표시해 주는 기능입니다. 바로 이 블로그 아이콘 기능으로 바이러스에 감염된 사이트의 블로그 아이콘을 불러오기 때문에 발생한 일입니다.

위의 그림을 보면 알 수 있지만 <IMG>로 jingjing2.co.cc라는 블로그에서 index.gif라는 블로그 아이콘을 가져오고 있기 때문에 악성 코드 감염 의심을 받은 것을 알 수 있습니다. 즉, 제 블로그는 바이러스나 악성 코드와는 무관하지만 제 블로그를 방문, 댓글을 남긴 분 중 일부가 바이러스에 감염되었기 때문에 제 블로그가 악성 코드 배포 의심 사이트로 분류된 것입니다. 이런 경우라면 크롬이 안전 브라우징 메시지를 내 보내도 무시하고 계속하기를 클릭해도 아무런 문제가 없습니다.

무시해도 괜찮을까?

블로그 댓글로 여러 차례 바이러스 보고가 있었습니다. 또 트위터(Twitter)를 통해서도 비슷한 보고가 있었습니다. 그런데 제 경험으로 이런 메시지는 대부분 무시해도 큰 문제가 없습니다[2]. 그 이유는 대부분의 이유가 위에서 설명한 두가지 중 하나이기 때문입니다. 또 위의 두가지 중 하나가 아니라 실제 해당 사이트가 악성 코드를 배포하는 사이트라고 해도 큰 문제가 되지 않습니다. 크롬은 Internet Explorer와는 달리 시스템에 영향을 끼치는 ActiveX를 설치할 수 없습니다. 즉, 해당 사이트에 접속, 파일을 받아 설치하지 않는 한 브라우저를 통해 악성 코드를 배포하는 것이 그만큼 더 힘들다는 뜻입니다.

중요한 점은 문제가 있는지 없는지는 출력되는 메시지만 읽어 보면 바로 알 수 있다는 점입니다. 위 그림에서 설명했지만 메시지를 읽어보면 이 블로그의 문제가 아니라 다른 사이트의 문제라는 것을 쉽게 알 수 있습니다. 다른 사이트도 비슷합니다. 다만 트위터를 쓰면서도 느낀 것이지만 '트위터의 140자 메시지 조차 읽지 않고 트윗을 올리는 사람이 태반'입니다. 그런데 무려 2 페이지에 걸처 2000자나 되는 메시지를 읽을 사람이 얼마나 있을지는 저도 의문입니다.

어떻게 조치할까?

조치하는 방법은 의외로 간단합니다. 앞에서 설명했지만 텍스트큐브의 블로그 아이콘 때문에 발생한 일입니다. 따라서 '관리도구/플러그인'에서 블로그 아이콘 플러그인을 비활성화 시키면 간단하게 이 문제를 해결할 수 있습니다. 즉, '관리도구/플러그인/블로그 아이콘'을 클릭하는 것으로 조치는 끝납니다. 물론 이외에 본문에 직접 입력한 링크가 문제되는 때도 있습니다. 이 부분은 구글 웹마스터 도구를 이용해서 해당 페이지를 찾아 링크를 제거하면 됩니다.

재검토 요청은?

일단 블로그 아이콘 기능을 죽여도 악성 코드 감염 메시지가 바로 사라지지는 않습니다. 그 이유는 구글에서 사이트를 다시 조사하고 조치를 취할 때까지 시간이 걸리기 때문입니다. 따라서 조치를 끝마쳤다면 구글을 통해 재검토 요청을 하는 것이 좋습니다. 재검토 요청은 구글 웹마스터 도구에 사이트가 등록되어 있어야 가능합니다. 구글 웹마스트 도구를 사용하는 방법은 따로 설명하지 않겠습니다. 여기서는 악성 코드 감염 메시지가 뜰 때 웹마스터 도구를 이용해서 재 검토를 요청하는 방법만 설명하겠습니다.

  1. 구글 웹마스터 도구에 접속합니다. 구글 웹마스터 도구에 접속하면 그림처럼 사이트 오류에 대한 전체 메시지가 먼저 뜹니다.
  2. '악성 코드 감지 알림'을 클릭합니다. 악성 코드 감지 알림을 클릭하면 그림처럼 "악성 코드에 감염되었다"는 메시지가 뜹니다.
  3. 여기서 다시 http://사이트.com/ 관련 메시지 보기를 클릭합니다. "사이트 관련 메시지 보기"를 클릭하면 이전과는 달리 왼쪽 창에 사이트 구성, 내 웹사이트 데이타, 진단, 실험실 등의 메뉴가 나타납니다.
  4. 왼쪽의 '대시보드'에서 '진단/악성 코드'를 차례로 클릭합니다. 악성 코드를 클릭하면 그림처럼 검토 요청 링크와 아래쪽에 바이러스에 감염된 것으로 추정되는 페이지 목록이 뜹니다.
  5. 이 목록의 '상세 정보'를 클릭해서 실제 의심 코드를 확인하고 해당 의심 링크를 사이트에서 제거하면 됩니다. 제 경우 징징이라는 분이 댓글을 많이 남겨서 거의 징징이라는 분 블로그 아이콘이었습니다.
  6. 일단 악성 코드 의심 링크를 모두 처리했으면 '검토 요청'을 클릭하고 StopBadware.org의 웹 사이트 보안 도움말에 따라 ...을 체크한 뒤 '검토 요청' 단추를 클릭하면 됩니다. 의견을 적는 부분은 선택 사항이기 때문에 굳이 적을 필요는 없습니다.
  7. '검토 요청'이 완료되면 다음 그림과 같은 메시지가 뜹니다. 이 글을 올린 날이 2011년 5월 7일이고 5월 10일 확인해 보니 악성 코드 의심 메시지가 더 이상 나타나지 않았습니다. 방문자 수를 보면 어제 오후부터 풀린 것이 아닌가 하는 생각이 듭니다. 즉, 조치가 적당하다면 2~3일 정도 뒤면 풀리는 것으로 보면 됩니다.

관련 글타래


  1. 파비콘과는 다른 기능입니다. 
  2. '문제가 없다'는 뜻이 아닙니다. '대부분 문제가 없다'는 뜻입니다. 문맹을 위해 추가합니다.