2018/02/09

무료 방화벽 Privatefirewall을 활용한 랜섬웨어 방어

무료 방화벽 Privatefirewall을 활용한 랜섬웨어 방어

<Privatefirewall 설치 전 Ransim 결과>

오래전 Windows 2003 Server를 사용하고 있었을 때 방화벽 프로그램으로 Tiny Personal Firewall을 사용했던 기억이 난다. Tiny Personal Firewall도 요즘의 방화벽처럼 새로운, 혹은 신뢰할 수 없는 프로세스가 인터넷 연결을 시도할 때 사용자가 쉽게 알아채고, 새로운 프로세스가 인터넷 연결을 허용할지, 차단할지 등도 간단하게 설정할 수 있는 알림창을 띄워줬는데, Tiny Personal Firewall 같은 경우는 따로 세부적인 고급 설정을 할 수 있다는 또 다른 강점이 있었다. 이것은 사용자 입맛대로, 그리고 세밀하게 인터넷 연결을 통제할 수 있다는 점에서 숙련된 사용자에게는 장점이었지만, 그렇지 못한 사용자에게는 있으나 마나 한 골치 아픈 설정처럼 보였을 것이다.

하지만, 오히려 그런 세밀함이 마음에 들었던 나는 그 당시 윈도우 사용자에게는 생소하거나, 적어도 어딘지 모르게 어렵게 느껴졌던 Tiny Personal Firewall이라는 방화벽 프로그램을 독학 끝에 42페이지에 달하는 Tiny Personal Firewall 5.5 한글 메뉴얼을 작성해서 winbbs에 (그것도 실명으로) 배포했던 객기도 부렸다(winbbs가 문 닫음과 동시에 이 메뉴얼도 영원히 무덤에 묻혀버렸으니 천하의 구글도 어쩔수 없으리라).

아무튼, 각종 악성코드가 난무할 뿐만 아니라 예전의 악성코드나 바이러스 정도는 애교로 봐줄 수 있을 정도로 매우 파괴적인 랜섬웨어(Ransomware)가 판치는 지금은 방화벽의 필요성이 강조되고 있다. 그래서 윈도우 내장 방화벽의 성능도 Gibson Research Corporation에서 제공하는 방화벽 테스트인 'Shields Up'도 무난하게 통과할 정도로 발전했으며, 그밖에 써드파티 윈도우 방화벽 프로그램의 종류도 매우 많아졌다. 그중 오래전부터 무료였으며, 내가 사용하는 Windows Server 2016도 지원하고 어느 정도 세밀한 설정도 가능한 Privatefirewall이 있다.

Privatefirewall의 장점은 의심스러운 프로세스의 활동을 감지하고 차단하고 경고하는 [Process Control & Protection]이라는 부가 기능에 있는데, 오늘 이야기하고자 하는 것은 이 기능을 활용하여 랜섬웨어를 방어하는 것이다.

<Privatefirewall 메인 화면>
<Privatefirewall [Process Monitor]>
<Privatefirewall [Settings] 1: 녹색 네모는 내가 추가로 설정한 것>
<Privatefirewall [Settings] 2: 녹색 네모는 내가 추가로 설정한 것>

Ransomware Simulator인 Ransim을 이용하여 테스트를 진행했는데, (테스트 진행을 위해 ransim.exe와 Launcher.exe는 허용한 상태) 결과는 만족스러웠다.

Privatefirewall의 [Process Control & Protection]은 Ransim이 시도하려는 랜섬웨어 행위를 알아채고 사용자에게 경고창을 띄워 주었다. 랜섬웨어가 파일을 암호화하려면 최소한 각종 문서, 사진 파일에 접근할 수 있어야 하는데, 이 접근 시도를 Privatefirewall의 [Process Control & Protection]이 감지하는 것으로 보인다. 물론 사용자가 실수로 [Allow(허용)]를 클릭해버리면 말짱 도루묵이지만 말이다. 이 말은 사용자가 어느 정도 컴퓨터 프로세스에 대한 이해(최소한 랜섬웨어가 암호화하려는 시도와 사용자가 실행한 프로세스에 대한 구분 정도?)가 필요하다는 얘기이기도 하다. 참고로 [Process Control & Protection]은 수상한 프로세스의 레지스트리 접근 시도도 탐지해낸다.

<Privatefirewall [Process Control & Protection]가 Ransim의 랜섬웨어 행위를 감지>
<Privatefirewall 설치 후 Ransim 결과>

하지만, 이것은 실제 상황은 아니기에 Privatefirewall가 랜섬웨어를 방어할 수 있다고 (정확하게는 차단해낼 수 있다고) 100퍼센트 장담할 수는 없다. 그래도 현재로서는 가장 믿을만한 랜섬웨어 시뮬레이터인 Ransim을 통과했다는 것은 고무적이다. 즉, Privatefirewall 하나만으로 강력한 방화벽과 더불어 랜섬웨어 방어 능력을 얻을 수 있으니 일거양득이다. 아마도 각종 보안 프로그램을 보완하는 가장 이상적인 방화벽이 아닌가 싶다. 그것도 무료로 말이다!

• 2020/04/11: 최근에 알게 된 사실인데, Privatefirewall을 설치하면 윈도우의 일부 클라우드 업로드 속도가 느려질 수 있다. 나 같은 경우 Stack, 바이두, zippyshare, letsupload 같은 클라우드 업로드 속도가 Privatefirewall을 삭제하면 정상적으로 복귀했다. 따라서 Privatefirewall을 사용하게 되면, 반드시 위 사이트의 업로드 속도를 확인해 볼 것은 권장.

0 comments:

댓글 쓰기

댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요