무료 백신 AVG 테스트 및 리뷰

<오늘은 AVG AntiVirus FREE을 가지고 놀아 봤다>

<[Ransomware Protection]>

들어가면서

오늘은 어찌 된 이유로 av-test.org에서 2015년을 마지막으로 테스트 되지 않은 유명한 백신 AVG AntiVirus 무료 버전을 테스트했다(테스트는 영문판으로 진행했지만, 알다시피 AVG는 한국어 인터페이스를 지원한다).

이미 멀웨어 방어 능력은 충분히 검증을 받은 녀석이기도 하고 무료 버전임에도 요즘 추세에 맞게, 혹은 사용자들의 요구에 부응해 별도의 랜섬웨어 방어(Ransomware Protection) 기능이 있어 오늘은 실제 랜섬웨어 파일로 AVG 안티바이러스 무료 버전의 랜섬웨어 방어 능력 위주로 테스트를 진행했다.

[테스트 환경]

• Host Spec: AMD A10-4600M, 8G, Tammuz GK600 Prime 250G, Windows Server 2019

• VMware settings: Windows 10 20H2 Compact (x64) by Flibustier, 2CPU, 2G Ram, 20G dynamic HDD(On SSD)

• PCMark 7 v1.4.0, Ransim v2.1.0.4

• Kaspersky가 멀웨어로 진단한 파일 1,000개

• AVG Antivirus Free v20.10.3157(build 20.10.5824.625)

테스트 1: PCMark 7

<[starting applications] 성능이 가장 크게 떨어졌다>

<PCMark 7 테스트 결과>

오래전에 잠깐 사용해 본 기억으로는 엄청 무거웠던 좋지 않은 경험이 있었지만, PCMark 7 테스트 결과는 내 경험을 과거의 유물로 청산하려는 듯 그렇게 나쁘지 않았다. 나쁘지 않았다가 아니라 좋다고 봐야 할 것 같다.

놀랍게도 [Web browsing and decrypting / Data decrypting] 성능은 AVG 설치 후 약간 향상되었다.

예상대로, 그리고 다른 백신들도 그런 것처럼 AVG 설치 후 [starting applications] 성능이 가장 크게 떨어졌다. 안티바이러스를 설치하면 프로그램 실행 속도가 떨어지는 것은 어쩔 수 없으며 아마도 여기에서 체감 성능이 판가름 나는 것 같다.

테스트 2: 멀웨어 • 랜섬웨어 방어

● 동영상 첫 부분은 ─ 예전의 모든 테스트처럼 ─ 카스퍼스키가 멀웨어로 진단한 1,000개 파일을 사용해 실시간 보호 기능 능력을 테스트했다.

명성대로 홍수처럼 들이닥친 멀웨어 때문에 실시간 보호 프로세스가 바쁜 와중에도 사용자가 실행한 Neshta 바이러스를 완벽하게 차단했다. 동영상에 포함하진 않았지만, 1,000개의 멀웨어 샘플 중 수동 검사 후 남은 파일은 36개뿐으로 멀웨어 검사 능력도 훌륭했다.

● 동영상 두 번째 부분인 Ransim 시뮬레이션 결과는 좋지 않다. 이러한 결과는 이후 진행된 실제 랜섬웨어 방어 테스트에서도 나타난다.

● 동영상 세 번째 부분은 「사용 중인 백신 랜섬웨어 방어 능력 테스트」에서 소개한 Ransomware-Maker로 제작한 TXT 파일만 암호화하는 랜섬웨어로 AVG [Ransomware Protection]의 실제 방어 능력을 테스트했으며 AVG는 방어에 성공했다( 이 테스트부턴 [Ransomware Protection]의 제외한 모든 보호 기능을 끈(OFF) 상태로 진행했다 ).

● 동영상 네 번째 부분은 Phobos Ransomware 방어 테스트다. 바탕화면 아이콘뿐만 아니라 테스트 폴더(Ransomware Sample)에 있는 인질에 사용된 이미지와 TXT 파일도 암호화되었다. AVG는 Phobos Ransomware 방어에 실패했다.

● 동영상 다섯 번째 부분은 SwmmiWare Ransomware 방어 테스트다. 암호화가 무사히 완료되었다는 안내 문구를 볼 수 있었다.

● 동영상 여섯 번째 부분은 유명한 wannacry Ransomware다. 워낙 유명한 녀석이고 또한 랜섬웨어 중에선 프로토타입(prototype)에 가까운 녀석이라서 그런지 AVG는 방어에 성공했다.

● 마지막 테스트로 Encoder Ransomware를 실행했으며 AVG는 무난하게 방어에 성공했다.

실제 랜섬웨어 방어 테스트 결과

• Ransomware-Maker: 방어 성공

• Phobos Ransomware: 방어 실패

• SwmmiWare Ransomware: 방어 실패

• wannacry Ransomware: 방어 성공

• Encoder Ransomware: 방어 성공

이번 테스트를 통해 또 하나 알게 된 흥미로운 사실은 (당연한 것이겠지만) 컴퓨터가 느리리까 랜섬웨어 감염 속도도 확실히 느리다는 것이다. 그만큼 랜섬웨어에 감염되었을 때 대처할 시간(길지는 않겠지만)을 벌 수 있다. 성능이 좋은 컴퓨터라면 랜섬웨어의 암호화 속도도 매우 빠르고, 사용자가 눈치채기도 어려울 것이다.

AVG 무료 안티바이러스 테스트 마무리

AVG의 실시간 보호(Real-time scanning) 등 [Ransomware Protection]을 제외한 모든 보호 기능을 끄고 테스트한 이유는 앞으로 등장할 랜섬웨어 신종 • 변종에 대처할 수 있는 능력을 확인해보기 위함이다 (참고로 Real-time scanning 기능을 켜면 테스트에 사용된 랜섬웨어 파일들을 당연히 모두 차단해버린다). [실시간 보호]처럼 백신 DB, 시그니처(Signature)에 의존하는 멀웨어 탐지 기술은 신종이나 변종에 취약하므로 이와 같은 테스트를 수행했다. 즉 순수하게 랜섬웨어 방어 능력만을 테스트하기 위해서다.

<랜섬웨어 방어에 성공해도 암호화 과정은 막지 못한다>

이번 테스트로 AVG의 [Ransomware Protection] 기능이 쓸만하다는 점도 알게 되었지만 더불어 단점도 드러났다. 동영상에서 확인할 수 있듯, AVG의 [Ransomware Protection]는 문서, 이미지, 동영상, 음악 등 특정 확장자만 보호한다 (사용자가 추가 가능). 그러기 때문에 AVG가 랜섬웨어 방어에 성공했더라도 목록에 없는 확장자(예를 들면 .exe, .ico 등등) 파일들은 암호화된다. 고로 [Ransomware Protection] 기능으로 특정 파일들을 보호할 수는 있지만, (exe 파일 등이 암호화될 수 있으므로) 윈도우 재설치 과정은 피할 수 없을 것이다. 물론 보호할 확장자 목록에 exe 등도 추가할 수 있지만, 이렇게 윈도우에서 사용하는 모든 확장자를 다 추가하면 오진 때문에 사용하기가 어려울 것이다.

오늘 테스트 결과를 보면, AVG의 랜섬웨어 방어 알고리즘은 랜섬웨어가 파일을 암호화하는 과정 자체를 막는 것이 아니라 암호화 후 삭제하는 과정을 차단함으로써 문서를 보존한다. 이것은 내가 「랜섬웨어 복구에 관한 간단한 팁」에서 언급한 적이 있는 랜섬웨어 암호화 과정을 알면 이해하기 쉽다.

랜섬웨어의 고전적인 감염 과정은 위와 같은데, 여기서 AVG [Ransomware Protection] 기능은 암호화된 원본 파일이 삭제되는 과정을 차단하는 것 같다. 그래서 이런 고전적인 랜섬웨어 감염 과정을 그대로 따르지 않는 변종은 방어하지 못하는 것일지도 모른다.

다음번엔 개인 • 기업용 무료 백신인 엑소스피어(Exosphere)의 실제 랜섬웨어 방어 능력을 테스트해 볼 요량이다. 그러면서 지난번 「기업용 무료 백신 엑소스피어 Ransim 테스트」에서 드러난 의문점에 대한 엑소스피어 측의 해명을 설명할 계획이다.

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다