대표적인 무료 방화벽 COMODO와 Privatefirewall Ransim 테스트
추천할만한 무료 방화벽 제품 두 개를 가지고 오랜만에 심심풀이로 Ransim을 돌렸다. Privatefirewall 같은 경우 예전에 「무료 방화벽 Privatefirewall을 활용한 랜섬웨어 방어」에서 이미 Ransim 테스트를 거쳤지만, Ransim 버전이 업데이트된 관계로 다시 테스트해볼 필요도 있었다. 사용한 랜심(Ransim) 버전은 2.0.0.54, COMODO Firewall 버전은 12.0.0.6882, Privatefirewall는 오래전에 업데이트가 끊겼기 때문에 여전히 7.0이다. 그런데도 Privatefirewall은 Ransim 테스트를 무난하게 통과했다. 이 결과만을 놓고 보면 Privatefirewall의 랜섬웨어 방어능력이 앱체크보다 더 좋아 보인다. 하지만, Privatefirewall의 Process Detection 기능(코모도의 HIPS 기능도 마찬가지지만)은 컴퓨터에서 실행되는 모든 실행 파일을 일일이 감시하면서 사용자에게 허용 여부를 묻기에 사용자를 겁나게 귀찮게 한다는 단점이 있다. 고로 지능적으로 방어한다기보다는 그냥 일단 다 막고 보자는 식이기에 Privatefirewall이 꼭 좋은 프로그램이라고는 말할 수 없다. 하지만, 랜섬웨어란 것이 단 한 번이라도 걸리면 피해자의 억장을 무너트릴 정도로 매우 치명적이기고 절망적이기에 사용자 입장에 따라 선택의 가치가 없는 것은 아니다.
<Privatefirewall> |
<COMODO Firewall> |
참고로 Ransim 실행을 위해 두 제품 다 RnSimulator 폴더에 있는 Collector.exe, Ranstart.exe Starter.exe 파일들을 ‘Trust’ 목록에 추가했으며, 코모도 방화벽은 기본값으로, Privatefirewall은 [Settings] > [Advanced] > [Enable Process Detection](코모도의 HIPS와 비슷한 기능)을 체크해 주고 테스트했다. 코모도의 경우 HIPS 기능만으로는 Ransim 테스트를 통과하진 못했지만, Auto-Containment(샌드박스 실행)으로 Ransim을 실행하면 충분히 방어할 수 있다(루프에 빠짐). 그런 고로 코모도 사용자는 ─ 앱체크 같은 ─ 별도의 안티-랜섬웨어 프로그램을 사용하지 않는다면 Auto-Containment 기능(혹은 의심스러운 파일은 마우스 우클릭 메뉴의 [Run in COMODO Container]로 실행)을 사용할 것을 추천한다.
대충 보아도 기능이 많고 인터페이스도 화려하고 설치 용량도 큰 코모도 제품이 백그라운드로 실행되는 프로세스 수도 Privatefirewall보다 많아 무겁게 느껴지기는 하는데, 무거운 백신을 설치할 때만큼은 아닌 것 같다. 그래도 조금이라도 가벼운 무료 방화벽 제품을 찾는 사람이라면 코모도보다는 Privatefirewall이 나을 것이고, 많은 부가 기능과 세밀한 사용자 설정을 원하는 사람은 코모도를 추천한다.
• 2019/08/25: 어느 분께서 Collector.exe, Ranstart.exe, Starter.exe 파일들을 ‘Trusted’ 목록이 아닌 ‘Unrecognized’ 목록에 추가해야 한다고 지적해주셨는데, 이렇게 설정하고 (더불어 Cloud Lookup도 끄고) Ransim을 실행하면 위 세 가지 파일의 움직임을 HIPS가 감지해내긴 한다. 그러나 테스트를 계속 진행하려면 어차피 ‘허용’해줘야 한다(Privatefirewall도 위 세 가지 파일을 ‘Trusted’ 목록에 추가했다). 이 세 가지 파일을 차단하면 테스트 자체가 진행이 안 된다.
그리고 COMODO의 진짜 문제는 Privatefirewall과는 달리 Ransim이 Tests의 하위 폴더(총 15개 폴더, 즉 15개 랜섬웨어 방어 테스트)를 랜섬웨어에 감염시키는 프로세스 자체를 제대로 감지하지 못한다는 데 있다. 아래 스크린샷을 보면 알겠지만, COMODO HIPS는 1, 7, 14 세 개의 폴더에서 진행된 랜섬웨어 테스트만 성공적으로 감지했고, 나머지 폴더에서 진행된 테스트는 감지해내지 못했다. 애초의 설정이 문제라면 세 개의 폴더도 방어하지 못했을 것이다. 그런데 세 개의 폴더는 방어했는데, 나머지 폴더는 방어에 실패했다. 무엇이 문제일까? 내 생각엔 이것은 설정의 문제라기보다는 COMODO HIPS가 랜섬웨어에는 취약하다고 말하고 싶다.
<HIPS는 세 개의 폴더 방어만 성공했다> |
• 2020/04/11: 최근에 알게 된 사실인데, Privatefirewall을 설치하면 윈도우의 일부 클라우드 업로드 속도가 느려질 수 있다. 나 같은 경우 Stack, 바이두, zippyshare, letsupload 같은 클라우드 업로드 속도가 Privatefirewall을 삭제하면 정상적으로 복귀했다. 따라서 Privatefirewall을 사용하게 되면, 반드시 위 사이트의 업로드 속도를 확인해 볼 것은 권장.
• 2020/10/25: 「무료 백신 테스트 및 추천 | Comodo Antivirus」
You tested with wrong settings. Shoud have put COMODO Firewall into Proactive Security Mode. Disabled Cloud Lookup and changed Ransim main executables reputation from "Trusted" to "Unknown" at File Rating Settings in Comodo Firewall.
답글삭제Set as you say. However, the results of the Ransim test did not change.
삭제Also note that Private Firewall is not actively developed anymore and is vulnerable to the action of Exploits. Comodo prevents all Exploits with Embedded Code Detection feature.
답글삭제That's right. Very sad because there is no update.
삭제Like said, you tested with wrong settings. Cruelsister1 from Youtube did a test with Comodo Firewall against RanSim and Comodo blocked 100% of Ransomware Behavior.
답글삭제https://www.youtube.com/watch?v=6KCHjGI6Q6w
You can do the same steps as her did in the video to achieve same result.
If Ransim is tested with COMODO Container(Sandbox) like a YouTube video, it can be 100% protected. That's what my article says. However, the default value for COMODO is Auto-Contention turned off. Users who focus on ransomware defense should actively use COMODO Container.
삭제