2020/12/20

기업용 무료 백신 엑소스피어 Ransim 테스트

기업용 무료 백신 엑소스피어 Ransim 테스트

Free enterprise vaccine Exospear Ransim test
<이번 테스트 때문에 [사이버공격방어] 기록이 볼만하다>
Free enterprise vaccine Exospear Ransim test
<기업용 버전이라 중앙관리가 가능하다>

느닷없이 닥친 기능 업데이트 소식

얼마 전에 한국산 엑소스피어(Exosphere) 회사로부터 한 장의 메일이 도착했다. 내용인즉슨 랜섬웨어 방지 기능이 업데이트되었다는 소식이다.

V3 Lite 같은 무료 안티바이러스 프로그램에 포함된 기능이기도 한 랜섬웨어 폴더 기능이 업데이트되었는데, 원래 있던 특정 폴더를 보호하는 기능에 특정 확장자까지 보호하는 기능이 더 추가되었다고 한다. Ransim 버전도 업데이트된 김에 엑소스피어의 새 기능을 한 번 테스트해봤다.

테스트에 들어가기 전에 이번에 엑소스피어에 추가된 확장자 보호 기능은 내 블로그에 몇 번 소개한 적이 있는 중국산 무료 백신인 후오롱 인터넷 시큐리티(Huorong Internet Security)에 있는 [Custom Rules(사용자 규칙)]를 본뜬 기능으로 보인다. 다만, 엑소스피어 같은 경우는 단순하게 보호할 확장자만 추가할 수 있고, 후오롱처럼 세밀한 규칙 설정은 지원하지 않는다.

RanSim v2.1.0.4는 20개의 랜섬웨어 감염 시나리오와 1개의 크립토마이닝(암호화폐 채굴) 감염 시나리오를 시뮬레이션하면서 워크스테이션의 취약점을 테스트할 수 있다.

[테스트 환경]

• Host Spec: AMD A10-4600M, 8G, Tammuz GK600 Prime 250G, Windows Server 2019

• VMware settings: Windows 10 19042.610 x64, 2CPU, 2G Ram, 20G dynamic HDD(On SSD)

• PCMark 7 v1.4.0, Ransim v2.1.0.4

• Kaspersky가 멀웨어로 진단한 파일 1,000개

• Exosphere Endpoint Protection: v1.9.4.0

테스트 1: PCMark 7 테스트

Free enterprise vaccine Exospear Ransim test
<PCMark 7 테스트 결과>

본격적으로 Ransim 테스트에 들어가기 전에 PCMark 7을 돌려봤다.

지난번 자료인 「국산 무료 백신 엑소스피어 | 테스트 및 간단한 리뷰」와 비교해보면, 약간의 차이가 있다. 그때나 지금이나 엑소스피어를 윈도우에 설치했을 때 Lightweight 점수 하락 폭은 12% 정도로 같지만, PCMark 점수 하락 폭은 12.7%에서 6.7%로 대폭 축소되었다.

그 작지 않은 차이는 본문에 자세히 소개하진 않았지만, 실시간 보호 기능 테스트를 위해 멀웨어 1,000개가 포함된 압축 파일을 해제하면서 느낄 수 있었다. 점수 하락 폭만큼 무겁지는 않다는 것이다. 체감 성능은 꽤 가볍다. 그 사이에 최적화가 좀 더 잘 된 모양이다.

테스트 2: Ransim 테스트

오늘의 메인 테스트인 Ransim 시뮬레이션은 총 다섯 번에 걸쳐서 진행했으며, 결과는 무척 혼란스러우면서도 흥미롭다.

전체 테스트 진행 상황은 동영상으로 확인할 수 있으며, 결과만 살펴보면 다음과 같다. 참고로 모든 테스트에 [Web 보호] 기능은 깜빡 잊고 켜둔 상태로 진행했다.

Free enterprise vaccine Exospear Ransim test
<Ransim 결과는 Anti-malware 기능만 켰을 때가 가장 좋다>
Free enterprise vaccine Exospear Ransim test
<몇 가지 기능 On/Off에 따른 Ransim 결과>

• 첫 번째 테스트: Anti-malware + Ransomware Folder Protection(폴더 보호 기능 OFF, 확장자 보호 ON).

• 두 번째 테스트: Anti-malware + Ransomware Folder Protection(폴더 보호와 확장자 보호 모두 ON).

• 세 번째 테스트: Anti-malware만 사용.

• 네 번째 테스트: Web 보호 기능만 사용.

• 다섯 번째 테스트: Ransomware Folder Protection(확장자 및 폴더 보호 기능 ON)만 사용.

• 추가 테스트: Anti-malware 기능 끈 상태(실시간 보호 기능이 Wannacry를 즉각 차단하기 때문에 테스트 진행이 불가능)에서 Wannacry 랜섬웨어를 실행.

랜섬웨어 보호에 특화된 기능이 오히려 랜섬웨어 보호를 더 취약하게 만든다?

참으로 아이러니한 결과다. 하지만, 실제로 Wannacry 랜섬웨어는 방어에 성공했으니 더욱더 아이러니하다. Wannacry는 랜섬웨어 계에선 유물 같은 존재이므로 Wannacry 방어에 성공했다고 해서 최신 랜섬웨어 방어에도 성공한다는 보장은 없다. 하물며 Ransim 테스트 결과는 영 찜찜하다.

내 생각엔 엑소스피어를 사용한다면, 일단 Web 보호 기능과 Anti-malware 기능만 사용할 것을 추천한다.또는, 직접 Ransim 시뮬레이션을 진행한 다음 그 결과에 따라 설정하는 것이 가장 좋다.

그리고 오늘의 결과만을 놓고 봤을 때 Exosphere 백신의 안티바이러스 엔진은 Avira을 사용하지만, 랜섬웨어 보호 기능은 엑소스피어에서 자체 개발한 것으로 여겨진다. 안 그러면 두 기능(Anti-malware와 Ransomware Folder Protection)이 어떻게 이처럼 서로 조화롭지 못한 결과가 나올 수 있겠는가?

• 2021/01/21: 위 문제에 대한 엑소스피어 측의 이유 있는 해명과 11개의 실제 랜섬웨어를 사용한 「무료 백신 엑소스피어 랜섬웨어 방어 테스트」 글도 참고하자.

테스트 결과 3: 스트레스 테스트

지난번 「국산 무료 백신 엑소스피어 | 테스트 및 간단한 리뷰」에서 엑소스피어의 가장 큰 문제점은 실시간 보호 프로세스가 바쁠 때 (많은 멀웨어를 탐지하느냐) 사용자가 임의로 실행한 바이러스를 차단하지 못했다는 것이다(해당 동영상: https://youtu.be/n8kJPI0wP48).

하지만 오늘 테스트에선 완벽하게 차단했다는 사실을 알려준다. 더불어 카스퍼스키에 버금가는 멀웨어 탐지 성과도 보여주었다. 역시 Avira 엔진답다.

마무리

이로써 엑소스피어는 아주 쓸만한 무료 백신으로 거듭났다.

Ransim 테스트 100% 통과, 개인뿐만 아니라 기업까지 무료(라이센스 100대, 만료 기한 2099년)로 사용할 수 있다. 주 타겟이 변경되면서 프로그램 폴더 이름도 Exosphere Endpoint Protection으로 변경되었다(명칭만 보면 Windows Server에서도 사용할 수 있을 것 같다). 웹페이지를 통해 중앙관리(대시보드, 로그 확인, 정책 설정 등)도 가능하다. 엑소스피어는 규모가 작은 회사나 피시방에서 사용하기 좋은 무료 백신이다. 클라이언트에 광고가 표시될 수 있다고는 하지만, 테스트 도중 광고와 마주치는 일은 한 번도 없었다.

다만, 이번 테스트 때 몇 가지 문제점이 있었다.

엑소스피어 설치 완료 후 재부팅하고 나면 엑소스피어 에이전트(이런저런 설정이 가능한 메인 인터페이스)가 실행되지 않았다. 이것이 VMware에서만 그런 것인지, 실제 컴퓨터에서 그런 것인지는 알 수 없다.

첫 업데이트에 걸리는 시간이 다소 긴 편이며, 간혹 업데이트가 매우 길게 진행되는 경우가 있었다. 테스트 도중 Anti-malware 기능에 느낌표가 뜨면서 (아래 사진) 업데이트가 진행되었는데, 한 시간이 지나도 업데이트가 완료되지 않아 삭제하고 재설치했다. 그리고 Anti-malware에 느낌표가 뜨면서 업데이트가 진행 중일 땐 멀웨어 방어 기능이 제대로 작동하지 않았다.

이런 단점만 보완된다면, 싹수가 훤히 보이는 무료 백신이다.

Free enterprise vaccine Exospear Ransim test
<Anti-malware 기능이 업데이트 중일 땐 보호 기능도 일부 무력화되는 듯>

0 comments:

댓글 쓰기

댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요