VirusTotal - 무료 온라인 바이러스/악성 소프트웨어 검사 서비스

 많은 보안 전문가들은 하나의 시스템에 한 개 이상의 백신을 사용하는 것은 좋지 않다고들 말한다. 서로 다른 백신을 악성 소프트웨어로 착각해서 시스템에 문제를 일으킬 수 있기 때문이다. 그러나 아무리 좋은 백신을 선택한다고 해도 하나의 백신이 세상의 모든 바이러스나 악성 소프트웨어를 발견하고 처리할 수는 없다. 오진의 가능성도 역시 무시할 수 없다. 의심 가는 파일을 좀 더 확실하게 검사할 수는 없을까? VirusTotal을 사용해보자. VirusTotal은 40개의 서로 다른 안티바이러스의 명령행 검사기를 사용해서 파일을 검사하는 온라인 서비스다.

 VirusTotal은 세 가지 방식으로 파일을 검사할 수 있다. 기본 방식은 서버에 파일을 업로드해서 검사하는 방식이다. [찾아보기] 단추를 누르고 파일을 추가해서 [파일 보내기]를 클릭하면 서버에 파일이 전송되고 검사를 시작한다.

 두 번째 방식은 전자 우편으로 파일을 보내고 결과를 전자 우편으로 받는 방식이다. SCAN이라는 제목으로 검사할 파일을 첨부해서 scan@virustotal.com으로 전자 우편을 보내면 검사된다. 첨부 파일의 크기는 20MB를 넘지 않아야 한다.

 마지막은 업로더를 설치해서 탐색기에서 바로 파일을 보내는 방식이다. 설치 파일을 내려받고 설치하면 VirusTotal 프로그램과 [보내기] 바로 가기가 생긴다. 업로더를 설치하면 웹 브라우저를 실행하지 않고 탐색기나 바탕화면에서 바로 실행 중인 프로세스의 실행 파일, 파일, 입력한 URL의 파일을 VirusTotal을 사용해서 검사할 수 있다.

 VirusTotal은 해시 검색이란 유용한 기능을 제공한다. 검사할 파일의 해시 값을 검색해서 이전에 같은 파일을 검사한 기록이 있으면 해당 기록을 확인할 수 있다. 해시 값은 각 파일의 고유한 값이므로 해시 값이 같은 파일은 똑같은 파일이라고 생각하면 된다. 해시 값 검색을 사용하면 직접 파일을 업로드하지 않고도 내가 검사할 파일이 악성 코드를 포함하고 있는지 확인할 수 있다. 해시 값의 확인은 MD5, SHA1 등 파일의 해시(Hash) 값 확인하기 (HashTools, HashTab, Hasher, HashCalc)를 참고한다. MD5는 서로 다른 파일이 같은 값을 가질 수도 있으니 SHA-1이나 SHA-256을 사용할 것을 추천한다.

 검사가 끝나면 각 엔진 별로 검사 결과를 표시한다. 이때 주의할 것이 있는데 붉은색으로 표시된 항목이 전부 바이러스나 악성 소프트웨어는 아니라는 것이다. RiskWare (사용에 따라 보안에 위협이 될 수 있는 소프트웨어), PSWTool (비밀번호 관련 도구), HackTool (해킹 도구), Findkey (소프트웨어의 시리얼 키를 찾는 프로그램), PUP (Potentially Unwanted Program - 잠재적으로 원치 않는 프로그램), SPR (Security Privacy Risk - 보안/개인 정보에 위험이 되는 프로그램) 등의 표시가 있는 파일은 악성 소프트웨어가 아닐 때도 잦으므로 주의한다. 위의 파일은 무려 24개의 엔진에서 결과가 표시되었지만, 실제 이 파일을 바이러스로 검출한 것은 4가지뿐이다. 웹사이트에서 내려받은 파일이 위험하지 않을까 걱정된다면 앞으로 VirusTotal을 이용하자.

* 관련 웹서비스
ㆍVirSCAN.org
ㆍJotti's Malware Scan
ㆍNoVirusThanks
ㆍVirus.Org :: Malware Scanning Service