Windows Defender Ransomware 방어 테스트

Windows Defender Ransomware(Ransim) 방어 테스트

이유 있는 Windows Defender 외면

그동안 무수한 정도까지는 아니더라도 꽤 많은 무료 • 유료 백신(anti-virus) 제품과 안티-랜섬웨어(anti-ransomware) 제품의 리뷰를 검토해보고, 일부는 직접 사용해보기도 하고, 일부는 간단하게 랜섬웨어 방어 테스트(정확하게는 Ransim 테스트) 후기를 블로그에 올리기도 했다. 그러는 와중에 늘 외면해 온 제품이 하나 있다. 바로 윈도우를 만드는 마이크로소프트의 윈도우 디펜더(Windows Defender)이다.

윈도우 10을 사용하면서 윈도우 10에 포함된 윈도우 디펜더를 애써 무시한 이유는 나름 객관적인 이유가 있다. AV-컴패러티브(AV-Comparatives)라는 신뢰할만한 안티바이러스 제품 평가 기관의 테스트 결과가 윈도우 디펜더를 멀리하라고 종용하고 있기 때문이다. 이외에 오랫동안 안티바이러스 등의 보안 제품만을 만들어 온 Avast, kaspersky, Avira 등의 IT 보안 업체의 기술을 무시할 수 없다는 그럴듯한 이유도 윈도우 디펜더를 사용해야 할 의지를 떨어트린다.

AV-Comparatives의 Microsoft 항목을 보면 알겠지만, 바이러스를 잘 잡는 것도 아니고 제품이 가벼운 것도 아니다. 테스트 결과는 마치 이보다 좋은 무료 안티바이러스 소프트웨어를 놔두고 Windows Defender를 선택하는 것은 무지렁이나 진배없다고 말해주고 있는 듯하다.

<Windows 10 1909 Windows Defender>

Windows Defender에게 한방 얻어맞다

사정이 이렇게 확실한대도 간혹 Windows Defender를 칭찬하는 사람이 있어 그런 사람들의 코를 납작하게 해주고자 꽤 많은 수고를 들여 Windows Defender의 랜섬웨어 방어 테스트를 해봤다. 결과적으로 내가 크게 한방 얻어맞은 꼴이 되고 말았으니 반전이 따로 없다.

Windows Defender v4.18.1902.5

(Virus & threat protection updates: 1/19/2020)

Ransim v2.0.0.56

Windows 10 Pro 1909(Build 18363.535) x86

동영상을 보면 알겠지만, 테스트는 두 개다. 첫 번째는 Windows Defender의 [Ransomware protection] 기능을 껐을 때이고 두 번째는 켰을 때이다. 기본적으로 이 기능은 꺼져 있다.

[Ransomware protection]이 꺼져 있으면 랜섬웨어 방어 능력은 제로에 가깝지만, [Ransomware protection]을 키면 상황은 역전된다. 유료 안티랜섬웨어 제품과 견주는 방어 능력을 보여주기 때문이다. 그러나 여기에는 함정이 하나 있다. [Ransomware protection]은 [Protected folders]에 추가한 폴더만 보호한다는 점이다.

사용자가 지정한 폴더만 랜섬웨어로부터 보호하는 방법은 다른 안티랜섬웨어 제품에서도 익히 본 방법이다. 사용자가 지정한 폴더를 원천봉쇄한다는 점에서 결코 우아한 방법은 아니지만, ─ 내가 보기엔 ─ 기술적으로 가장 쉬운 해결책이지 않을까 싶다. 특정 폴더를 특정 프로그램만 접근할 수 있도록 봉쇄한다면 랜섬웨어 변종이 나와도 특별히 따로 뭔가 조처할 필요도 없을 것 같다. 한마디로 쉽고 무난한 랜섬웨어 방어 방법이다. 앱체크 같은 상황 인식 기반 등의 AI(인공지능)로 랜섬웨어 행위를 탐지하는 우아하고 아름다운 방법에는 빈틈이 존재할 수 있다는 점에서 Windows Defender는 나름 선전하고 있다.

<Windows Defender의 [Ransomware protection]>

<여기에 추가한 폴더만 보호된다>

몇 가지만 더 개선된다면...

다만 Windows Defender는 여전히 무거운 보안 프로그램이다. 윈도우 10 1909에서 테스트하면서 확실하게 느낄 수 있었던 것은 Windows Defender를 켜고 끄고의 차이를 체감하는 데는 그렇게 예민한 감각까지는 필요 없다는 것이다. 메모리 점유율은 예전보다 개선된 것 같지만 말이다. 그리고 여전히 바이러스를 잡는 능력도 다른 무료 안티바이러스 제품과 비교하면 많이 떨어진다. Windows Defender의 엄마는 GIANT AntiSpyware라고 알려졌는데, 지금이라도 성능 괜찮은 안티바이러스 엔진으로 교체하는 것이 어떨까 싶다. 몇 가지만 더 개선된다면, 굳이 Windows Defender를 끄고(혹은 삭제하고) 타사 보안 제품을 설치하는 번거로움을 반복하는 사용자들도 꽤 줄어들 것이다.

아무튼, Windows Defender의 [Ransomware protection]을 활용하면, Ransim 테스트를 100% 통과한다는 사실로 미루어보면, Windows Defender의 랜섬웨어 방어 능력만큼은 꽤 신뢰할만하다고 말할 수 있으리라. 다만 [Ransomware protection]이 기본적으로 꺼져 있다는 것, 그리고 사용자가 추가한 폴더만 보호한다는 것을 명심할 것. 만약 Windows Defender를 랜섬웨어 방어용으로 사용한다면, 랜섬웨어로부터 보호할 파일들을 한 폴더 아래로 집결시켜 관리하는 것이 여러모로 편리할 것이다. 참고로 윈도우 7에 Windows Defender를 설치할 수는 있지만, 윈도우 7에 설치된 Windows Defender에는 [Ransomware protection] 기능 자체가 아예 없다.

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다