앱체크(AppCheck) 랜섬웨어 방어 테스트

<무료 안티랜섬웨어 앱체크(AppCheck)>

국민 안티랜섬웨어(Anti-ransomware)?

오늘은 어느새 국민 안티랜섬웨어로 자리 잡은 듯한 앱체크(AppCheck)를 가지고 몇 가지 테스트를 진행했다.

우선 보조 백신으로 알려진 만큼 가벼울 것이라는 추측이 있는데, 이에 대한 답을 PCMark 7과 PCMark 10으로 구해봤다.

그리고 가장 중요한 랜섬웨어 방어 능력은 「무료 백신 엑소스피어 랜섬웨어 방어 테스트」 때보다 늘어난 13개의 실제 랜섬웨어로 테스트를 진행했다.

[테스트 환경]

• Host Spec: AMD A10-4600M, 8G, Tammuz GK600 Prime 250G, Windows Server 2019

• VMware settings: Windows 10 20H2 Compact (x64) by Flibustier, 2CPU, 2G Ram, 20G dynamic HDD(On SSD)

• PCMark 7 v1.4.0, PCMark 10 v1.1, Ransim v2.1.0.4

• Encoder Ransomware 등 랜섬웨어 파일 13개

• 앱체크(AppCheck) v2.5.51.5

[확장자 보호] 방식의 앱체크, 그러나

<앱체크는 특정 확장자를 보호한다>

<특정 확장자와 폴더를 보호하는 후오롱火绒 인터넷 시큐리티의 [Custom Rules]>

앱체크(AppCheck)는 기본적으로 후오롱 인터넷 시큐리티(Huorong Internet Security)와 엑소스피어(Exosphere)처럼 [확장자 보호] 방식의 안티랜섬웨어다. 확장자 보호 목록에 있는 파일들이 암호화되는 것을 차단한다. 그러나 엑소스피어(Exosphere) 등과 다른 점은 사용자를 귀찮게 하지 않는다는 것이다. 즉 [폴더 보호](윈도우 디펜더, V3 Lite 등에서 사용)와 [확장자 보호] 등으로 보호 중인 파일에 어떤 애플리케이션이 접근을 시도할 때 이를 허용할지를 사용자에게 맡기는 것이 아니라 앱체크가 판단한다.

상황 인식 기반 랜섬웨어 행위 탐지 엔진으로 보호 확장자에 접근하려는 시도가 정상적인 행위인지 랜섬웨어 공격인지 스스로 판단하는 앱체크(AppCheck)는 사용자의 선택 오류와 클릭 실수로 인한 랜섬웨어 공격을 차단하고 번거로운 알림창도 없어 깔끔하다.

하지만, 오늘 테스트 결과에서 알 수 있듯 모든 랜섬웨어를 방어할 수 있는 것은 아니다.

테스트 1: PCMark

<PCMark 7>

<PCMark 10>

앱체크 설치 후 PCMark 7의 PCMark score와 Lightweight score 둘 다 약간 하락했지만, 큰 의미를 둘 정도는 아니다.

PCMark 10 Essentials는 App Start-up Score(앱 시작 점수)가 4062에서 3773으로 대략 8% 정도, Video Conferencing Score(화상 회의 점수)가 10% 정도 하락했다. 이것은 앱체크 설치 후 애플리케이션 실행 속도가 약간 떨어질 수 있다는 것을 의미한다. Web Browsing Score도 약간 하락했다.

내 블로그에서 테스트한 다른 안티바이러스 프로그램의 PCMark 7 테스트와 비교하면 앱체크는 있는 듯 없는 듯 매우 가벼운 보안 프로그램이다. 하지만, PCMark 10 테스트 결과는 아무리 그렇더라도 앱체크가 윈도우에 약간이라도 어느 정도의 부담은 줄 수도 있음을 의미한다.

그래도 요즘 사양을 생각하면 윈도우에 주는 부담 때문에 사용하기를 꺼릴 정도는 아니다. 앱체크를 설치해서 잃는 것보다 얻는 것이 훨씬 많기도 하겠지만 말이다.

테스트 2: 랜섬웨어 방어

간략하게 테스트 결과만을 말한다면, Encoder Ransomware를 제외하곤 앱체크는 12개의 랜섬웨어를 거의 방어하는 데 성공했다. 내가 ‘거의’라고 말한 것은 Gendarmerie와 Silvertor 랜섬웨어처럼 바탕화면 아이콘 한 개를 암호화한 후 랜섬웨어는 무한 루프에 빠지는 경우가 있었기 때문이다.

아마도 내 생각엔 바탕화면 아이콘 한 개만 암호화되는 것으로 그친 것은 앱체크 덕분이지 아닐까 싶다. 왜냐하면, 대범하게도 윈도우 업데이트 화면을 띄워 사용자를 안심시킨 후 암호화를 진행한 Xinof 랜섬웨어 같은 경우 앱체크가 알림창을 띄우지는 않았지만, 로그 기록 확인 결과 앱체크가 Xinof의 암호화 행위를 차단한 것으로 밝혀졌기 때문이다. Ransim 시뮬레이션이 완벽하게 진행되지 못한 것도 앱체크의 방해 때문일 것이다.

13개의 랜섬웨어 중 완벽하게 방어에 실패한 것은 Encoder Ransomware뿐이다. 나머지 12개는 약간의 우여곡절은 있긴 했지만, 사용자 데이터는 암호화되지 않았다.

진화하는 랜섬웨어

<암호화 과정을 윈도우 업데이트로 위장하는 Xinof Ransomware>

<Xinof Ransomware를 차단한 앱체크>

경찰복으로 위장하고 집을 털려는 강도처럼 윈도우 업데이트 화면으로 사용자를 안심시킨 후 암호화를 진행하는 랜섬웨어가 있는가 하면 어떤 녀석은 아예 보안 프로그램을 무력화시키는 넉살 좋은 랜섬웨어도 있다.

이렇게 호시탐탐 사용자 데이터를 인질로 삼아 한몫 챙기려는 악질 멀웨어가 활개를 치는 시대에 무료 안티랜섬웨어로써 앱체크는 신뢰할만한 보안 프로그램이다.

백신 • 안티멀웨어 • 인터넷 시큐리티 같은 보안 프로그램이 무겁게 느껴질 정도로 낮은 사양의 컴퓨터를 사용하는 사용자라도 앱체크 정도는 반드시 설치할 것을 추천한다. 랜섬웨어에 당하면 소도 잃고 외양간도 고칠 수 없다는 것을 명심하고, 요즘처럼 쓸만한 무료 보안 프로그램이 넘쳐나는 때에 여전히 백신 없이 버티다 랜섬웨어에 당했다고 억울함을 호소해봤자 자신이 무뇌충임을 증명하는 것밖에 또 무엇이 있겠는가?

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다