이 문제는 비즈니스와 컨슈머 모두에게 나타나는 Hitman Pro의 Cryptoguard 엔진의 고유한 문제이다. Sophos는 물론 행위기반탐지 기능을 제공하는 대다수의 탑 티어 벤더에서 모두 나타난다.
해결 (2019-10-25)
Sophos의 경우, 웹유아이의 바이너리 단위 예외 처리는 불가능하므로, 로컬 레지스트리에 예외 대상을 등록해주어야 한다.
- Download the .zip file
- Unzip it
- Disable Tamper protection
- Double-click the .reg file and add it to the registry
- Reboot the machine.
이야기
작년 12월 경부터 캘리버라이브러리에 저장된 문서의 정보를 편집하여 데이터 디렉토리의 폴더나 파일 이름이 변경되면 캘리버에서 에러 메시지를 내며 여러번 수정되지 않거나 중복파일을 거듭 생성하거나 유실시켜 라이브러리를 변질시키는 치명적 문제가 생겼다.
처음에는 해당 에러가 애플리케이션의 간헐적인 문제인가 싶었고, 여러번 시도하면 데이터베이스 변경은 진행됐기에 별 생각 없이 써보다 상세 메시지를 읽고나서야 데이터 폴더 관리에 문제가 생기고 있음을 뒤늦게서야 알았다. 십여년 간 저장하고 정리한 문서 라이브러리에 대한 집합성이 깨졌다.
캘리버라이브러리의 버전 업데이트를 하지 않았는데도 문제 발생했기에, 언제나 그렇듯이 소포스 엔드포인트 에이전트가 의심이 됐고, 캘리버 라이브러리가 복사와 삭제를 하는 과정에서 에러를 낸다는 점에서 실시간 프로세스 감시를 진행하는 힙스나 안티랜섬웨어가 의심됐고, 안티랜섬웨어인 Cryptoguard를 끄니 앱 동작에 문제가 없다. 당연히 실행 파일의 경로나 프로세스 기준 등 다양한 예외처리를 해보았지만 문제는 계속 발생했다.
소포스는 제보를 받으면 이를 설명대로 따라해보는 일반 재현 시도를 하지 않는다. 규모가 큰 조직여서인지, 많은 케이스를 걸러낼 수 없어서인가 싶다. 그래서 티켓을 끊었어도 소포스 헬프데스크의 엔지니어들과는 그다지 직접 말을 섞고 싶지 않다. 보통은 재현을 정확히 확인한 후에 티켓 끊고 1차 엔지니어들이 뭐라 하든 케이스를 닫는대든 간에 지사 직원이나 커뮤니티에 호소하여 에스컬레이션을 요청하는 편이다.
캘리버라이브러리는 도서관을 위한 OPDS를 지원하므로 전문 사용도 가능하며, 문서를 소중히 하는 사람들이라면 한번 즈음 맞닥뜨리는 매우 오랜 기간 꾸준히 개발되어온 주류 오픈소스 도구다. 이 앱 관련 문제를 어서 해결하고 싶어 어떤 기초적인 질문이나 귀찮은 요청도 차분하게 모두 해주었다. 거듭하여 진단자료를 보내고 수 기가에 달하는 애플리케이션 덤프까지 실행하여 보내줬다.
이 문제는 독특하게도, 소포스의 안티랜섬웨어인 Cryptoguard가 분명 캘리버라이브러리의 디스크 통제 프로세스를 차단하지만 Cryptoguard는 스스로가 이를 차단했는지 인식하지 못하며 로그 또한 남지 않아 일반 보고 수준에서는 진단을 할 수 없었다. 소포스 엔지니어도 관련 흔적을 못찾아 나에게 “로그나 덤프에서는 Cryptoguard가 어떠한 탐지를 했는지 찾을 수 없는데, 너는 어째서 안티랜섬웨어 문제라 생각하느냐?”라는 예상 그대로의 답변을 해주었기에 재현 방법을 설명하며 영상까지 촬영하여 보냈다. 이후에 온 답변은 진단자료를 다시 올려 보내달라는 요청이었다.
소포스의 일반 헬프데스크 엔지니어는 문제 해결을 위한 재현을 시도 하지 않고 쳇바퀴 돌리듯이 매뉴얼에 나오는 답변이 나올 때까지 화제를 빙빙 돌리다 지쳐서 피드백을 하지 않으면 케이스를 닫아버리는 이들임을 다시 한번 실감했다. 이번에는 다른 엔지니어로 에스컬레이션 됐다.
에스컬레이션을 했어도 당연히 기본 사항은 다시 짚고 넘어간다. 헬프디스크 엔지니어가 나에게 확인하지 않은 예외 처리의 과정이라든가. 이렇게 열흘을 흘려보낸 후에 다시 글로벌 에스컬레이션 팀에게 해당 케이스를 전달해주겠다는 답변을 받을 수 있었다. 그리고 열흘이 더 지나 다음과 같은 안내가 왔다.
I have already checked this with our GES team and we need a statement from Calibre about what is crashing as we can’t debug the crash.
Once, we have a statement given from them, we can work with them directly(Meaning the Dev team can be involved).
Looking forward to hear from you soon.
Sophos Technical Support
답글 남기기