2020/03/18

,

무료 안티랜섬웨어 프로그램 | OSArmor 한글판

사용법만 알면 최고의 무료 안티랜섬웨어 프로그램 | OSArmor 한글판

Lightweight-and-best-free-anti-ransomware-program-OSArmor
<OSArmor GUI 화면>

출처: OSArmor

대박 보안 프로그램을 발견했다. 무료이면서도 매우 가볍고, 그러면서도 랜섬웨어 방어 테스트인 Ransim도 완벽하게 통과하는 HIPS 기반의 Windows 보안 프로그램 OSArmor! 내가 지금까지 테스트해 본 안티-랜섬웨어 프로그램 중에서 Ransim 테스트를 완벽하게 통과하는 무료 프로그램은 Privatefirewall뿐이었다. 유료 프로그램 중에선 Emsisoft Anti Malware와 Malwarebytes Premium 정도였다.

OSArmor를 찾게 된 키워드는 HIPS(Host Intrusion Prevention System)였는데, HIPS는 사용자의 컴퓨터에서 승인되지 않은 소스로부터 뭔가가 실행되거나 해커와 같은 권한이 없는 사용자로 뭔가를 실행할 때 사용자에게 알리는 프로그램이다. 여기서 명심해야 할 것은 HIPS는 일반적인 안티-바이러스나 안티-랜섬웨어 프로그램처럼 능동적으로 차단하지는 않는다는 것이다. 즉, HIPS가 수상쩍은 프로세스나 악성코드가 실행되는 것을 올바르게 식별했더라도 사용자가 이를 승인해버리면 PC는 랜섬웨어나 바이러스에 감염된다. 그래서 글 제목에 ‘사용법만 알면’이라는 토를 달았던 것이다.

OSArmor와 비슷한 무료 보안 프로그램을 찾는다면,「무료 멀웨어 및 랜섬웨어 방어 | iDefender

Lightweight-and-best-free-anti-ransomware-program-OSArmor
<잘 모르겠다면 일단은 그냥 놔두자>

OSArmor 알림 창이 떴을 때 뭔지 잘 모르겠다면, 일단 그냥 놔둔 다음 로그 파일을 확인하자. OSArmor는 알림을 띄웠을 때 사용자가 승인(예외로 설정)하지 않으면 기본적으로 해당 프로세스를 차단한다

허가 받지 않은 의심스러운 프로세스를 통제

창과 방패의 싸움에서 창이 유리한 위치에 있는 것처럼 시그니처를 통한 패턴 매칭 방식이나 행동 분석에 기반한 안티-바이러스, 안티-랜섬웨어는 새로운 공격으로 피해를 보고 난 후에야 그에 대한 대처를 마련할 수 있다는 점에서 항상 뒤쳐질 수밖에 없다. 또한, 안티-바이러스 엔진은 계속 누적되는 수많은 바이러스나 악성코드 패턴을 지속해서 업데이트해야 한다는 점에서 프로그램 크기는 커지고 실행 속도는 느려진다.

하지만 HIPS처럼 패턴에 의지하는 것이 아니라 사용자가 승인하지 않은 프로세스나 코드가 실행되는 것을 차단하는 방식은 어떻게 보면 우아하지 못한 가장 원시적인 방법이기는 하나 바이러스나 랜섬웨어가 PC를 감염시키려면 스크립트든 EXE 파일이든 어떻게든 ─ 악성코드를 포함한 ─ 뭔가를 실행(execution)시켜야 한다는 점에서 HIPS는 가장 근원적이고 원천적인 시스템 방어 알고리즘이다. 그런 고로 앱체크와 OSArmor가 동시에 작동 중일 때 Ransim 테스트를 수행하면 앱체크는 꿀 먹은 벙어리가 되고, OSArmor만 열심히 알림 창을 띄우며 사용자에게 경고한다(두 번째 동영상 참고). 그만큼 OSArmor의 반응이 타사의 안티-랜섬웨어 프로그램보다 민첩하다는 것이다. 내가 볼 땐 OSArmor를 다룰 줄 알면 ─ 모든 악성코드를 포함해 ─ 랜섬웨어 방어 정도는 문제없다.

가장 무서운 랜섬웨어는 홈페이지를 방문만 해도 감염시킨다는 ‘드라이브 바이 다운로드(Drive by Download)’ 수법이다. 하지만, 이 역시 웹브라우저와 OS의 취약한 점을 노려 악성코드를 숨기고, 이 악성코드를 사용자가 자신도 모르게 내려받아 실행(execution) 시켜야 한다는 점에서 OSArmor의 감시망에서 벗어날 수는 없다.

Lightweight-and-best-free-anti-ransomware-program-OSArmor
<OSArmor '주요 보호' 구성>

생각만큼 사용자를 귀찮게하지는 않는다

OSArmor가 충실히 제 임무를 수행하면서 의심스러운 프로세스나 악성코드의 ‘실행(execution)’을 사용자에게 제때 알린다고 해도, 사용자가 무심결에 이를 승인해버리면 PC는 감염된다. 그러므로 OSArmor의 진가는 사용자의 숙련도에 따라 하늘과 땅 차이가 날 수 있다. 내 생각엔 OSArmor 같은 HIPS 프로그램은 최소한 자신이 수행하는 행동이 무엇이고 어떤 결과를 가져올지 어느 정도 인지할 수 있는 사용자가 사용해야 최상의 효과를 볼 수 있다. 보안과 관련된 알림 창이 뜨면 확인도 하지 않은 채 습관적으로 '허용'을 클릭한다거나, 뭔가를 새로 배우는 것이 귀찮고, 남이 숟가락으로 일일이 떠먹여 주기만을 바라는 게으른 사람은 그냥 기존의 안티-바이러스나 안티-랜섬웨어 프로그램을 사용하자.

현재 OSArmor을 기본값으로 사용 중인데 뜻밖에 알림 창의 거의 뜨지 않는다. 그런데 기본값으로도 Ransim 테스트를 가볍게 통과하니 참으로 대견스러운 녀석이다. 그에 반해 Privatefirewall나 코모도의 HIPS 기능은 새로운 프로세스는 허용할지를 묻는 알림 창을 무조건 띄운다.

만약 OSArmor 보호를 활성화한 상태에서 특정 프로세스나 특정 프로그램이 실행되지 않는다면 OSArmor 로그를 확인하자. OSArmor 구성에서 설정된 규칙은 사용자에게 묻지 않고 바로 차단된다(예, Internet Explorer 실행 금지)

Lightweight-and-best-free-anti-ransomware-program-OSArmor
<OSArmor '고급' 구성>

[고급] 구성의 [Windows 폴더에서 알 수 없는 프로세스 차단]과 [루트 폴더에서 서명되지 않은 프로세스 실행 차단] 정도는 체크할 것을 추천

OSArmor 한글판

사실 Privatefirewall의 HIPS 기능인 [Process Control Protection]만으로도 랜섬웨어 방어는 충분하다. 그런데 Privatefirewall의 치명적인 단점이 있다는 것을 최근에 발견했다. 그것은 Privatefirewall이 설치되어 있으면 Windows 업로드 속도에 악영향을 끼친다는 점이다(이것은 Privatefirewall 서비스를 중지한다고 해서 해결되지 않는다. 반드시 Privatefirewall를 삭제해야 해결된다). 바이두 넷디스크, Stack, zippyshare, letsupload.co 등의 업로드 속도가 저조했던 이유는 바로 Privatefirewall 때문이었다. 얼마 전에 Windows 7에서 다시 Windows 10으로 복귀한 이유가 업로드 속도 때문이었는데, 이것도 Privatefirewall 때문이었는지 모르겠다.

나도 처음 사용하는 것이라 OSArmor의 설정에 대해 딱히 설명할 것이 없다. 일단 기본 설정만으로도 Ransim 테스트를 통과했다는 점만 알아두자. 나머지 설정에 대해서는 차츰 사용해가면서 배워야 할 것 같다. 일단은 앱체크와 같이 사용하면서 OSArmor 사용법을 익힌 다음, 익숙해지면 앱체크는 삭제할 예정이다. 문제는 Privatefirewall을 대신할 방화벽 프로그램인데 일단은 윈도우 내장 방화벽으로 사용해야 할 듯싶다.

다행스럽게도 한국어로 지역화가 가능해 인터페이스만 한글화했다(구글에 의존한 번역이 매끄럽지 못하다면 원본을 사용하자). OSArmor를 설치한 다음 첨부한 압축 파일 안에 있는 세 가지 파일을 덮어씌우면 된다. 혹시 모르니 덮어씌우기 전에 원본 파일을 보관해두자. 참고로 한글판을 패치한 상태에서도 Ransim 테스트는 통과했지만 여러모로 영문 버전에 익숙해지는 것이 좋다.

앞으로 어떠한 랜섬웨어 변종이 나오든, 그 작동원리가 지금처럼 사용자 컴퓨터에 악성코드를 내려받게 한 다음 그것을 실행해 감염시키는 것이라면 OSArmor로 얼마든지 방어할 수 있다고 본다. 하지만, ‘다운로드’ 및 ‘실행’이 아니라 컴퓨터 메모리를 오염시키는 방식이라면 방어할 수 없을 것 같다.

▲ OSArmor 한글 패치 다운로드(마지막 업데이트: 2020년 3월 18일)

OSArmor 원본 다운로드

OSArmor_v1.4.3_kor.7z

(공유 암호: cb3a / 압축 암호: singingdalong)

테스트해 보니 OSArmor가 바이러스 감염까지는 방어하지 못한다. 고로 백신과 함께 사용할 것을 추천

OSArmor 예외(Exclude Processes) 항목 추가하는 방법

Lightweight-and-best-free-anti-ransomware-program-OSArmor
<OSArmor 예외 설정>

OSArmor 기능 설명

Anti-Exploit

익스플로잇 페이로드를 차단하는 상위 프로세스 및 하위 프로세스를 분석하십시오.

MS 오피스 앱 보호

WINWORD.EXE 또는 EXCEL.EXE가 악성 프로세스를 실행하지 못하게 합니다.

어플리케이션 모니터링

Adobe PDF Reader, MS Office, OpenOffice, 웹 브라우저 등을 모니터링합니다.

USB 악성 코드 차단

USB 장치에서 autorun.inf를 통해 시작되는 프로세스 실행을 방지합니다.

Command-Lines 차단

일반적으로 맬웨어와 관련된 command-lines 문자열로 프로세스를 차단합니다.

쉐도우 복사본 보호

시스템 프로세스 (vssadmin.exe 등)가 파일의 섀도 복사본을 삭제하지 못하도록 차단합니다.

파일 다운로드 차단

원격 파일 다운로드와 관련된 특정 command-lines을 차단합니다.

.COM 및 .PIF 차단

.COM 또는 .PIF 등 더 이상 사용되지 않는 파일 확장자를 가진 프로세스의 실행을 차단합니다.

시스템 프로세스 필터

wscript.exe, mshta.exe 등이 잘못된 동작 규칙과 일치하면 차단합니다.

Bcedit.exe 차단

Bcedit.exe의 중요하고 중요한 시스템 수정 방지

Bitsadmin.exe 차단

Bitsadmin.exe가 원격 파일을 다운로드 (/download)하지 못하게 합니다.

PowerShell 규칙

PowerShell을 통해 인코딩되거나 잘못된 명령의 실행을 차단합니다.

프로세스 예외

특정 프로세스 또는 이벤트가 차단되지 않도록 제외할 수 있습니다.

사용자 정의 차단 규칙

사용자 정의 차단 규칙을 작성하여 특정 프로세스를 차단할 수 있습니다.

RegisterXLL() 차단

command-lines을 통해 Application.Excel RegisterXLL() 호출을 방지합니다.

원격 스크립트 차단

Regsvr32.exe 또는 Mshta.exe가 원격 스크립트를 로드하지 못하게 합니다.

가벼운 프로그램

OSArmor는 몇 MB의 메모리만 사용하므로 눈치채지 못할 것입니다.

무료

OSArmor는 집과 직장에서 누구나 자유롭게 사용할 수 있습니다.

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다

Share:

댓글 2개:

  1. 홈피의 key feature 를 보면 30일용

    답글삭제
    답글
    1. 버전 업데이트되면서 아쉽게도 유료가 되었네요.

      삭제

댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요