무료 백신 엑소스피어 랜섬웨어 방어 테스트

<정말 100점을 주고 싶은 무료 백신!>

엑소스피어의 이유 있는 해명

개인뿐만 아니라 기업도 무료로 사용할 수 있는 백신 엑소스피어(Exosphere)의 지난번 테스트(「기업용 무료 백신 엑소스피어 Ransim 테스트」) 중 다소 이상한 Ransim 테스트 결과에 대해 엑소스피어의 설명이 메일로 도착했다.

이유인즉슨 Ransim 테스트 진행을 위해 mainlauncher.exe를 허용한 것이 테스트 결과에 부정적인 영향을 미쳤다는 것이다. 왜냐하면, 엑소스피어는 사용자가 허가한 프로그램과 같은 시그니처(해시값)의 프로그램은 차단하지 않도록 설계되어 있는데, mainlauncher.exe 프로그램은 자기복제를 통해 collect.exe *.axp 등을 생성, 실행하면서 테스트를 진행하므로 mainlauncher.exe를 허용하면 시뮬레이션을 위해 생성된 랜섬웨어 파일(axp)도 덩달아 허용된다는 것이다.

<mainlauncher.exe와 axp 해시값이 같다!>

확인 결과 위 사진처럼 mainlauncher.exe 파일과 랜섬웨어 시뮬레이션 파일인 axp 파일의 해시값이 같은 것으로 확인되었다. 추가로 랜섬웨어 방지에서 사용자가 허용을 처리했을 때 사용자의 선택을 믿고 모두 허용하는 것은 위험하다고 판단하여 안티멀웨어(실시간 보호)는 사용자 선택과 무관하게 독립적으로 차단이 되도록 조치하였다고 한다.

아무튼, Ransim 시뮬레이션으로는 성이 차지 않아 이번엔 실제 랜섬웨어를 이용해 엑소스피어의 랜섬웨어 방어 능력을 테스트했다. 오직 엑소스피어의 [랜섬웨어 방지] 능력만을 위한 테스트인 만큼 [안티멀웨어(실시간 보호)]와 [웹 보호] 기능은 끄고 테스트를 수행했다. 이것은 [안티멀웨어]가 탐지하지 못할 가능성이 큰 신종이나 변종 랜섬웨어에 대한 방어 능력을 확인하고자 위함이다. 그러하니 일반 사용자는 모든 보호 기능을 반드시 켜고 사용하기 바란다.

[테스트 환경]

• Host Spec: AMD A10-4600M, 8G, Tammuz GK600 Prime 250G, Windows Server 2019

• VMware settings: Windows 10 20H2 Compact (x64) by Flibustier, 2CPU, 2G Ram, 20G dynamic HDD(On SSD)

• Encoder Ransomware 등 랜섬웨어 파일 11개

• 엑소스피어(Exosphere) v1.9.13.0

<오직 [랜섬웨어 방지] 기능만 켜고 테스트>

테스트 결과

• Encoder Ransomware: 방어 성공! 그러나 [확장자 보호] 목록(예: exe)에 없는 파일은 일부 암호화됨

• Filecoder Ransomware: 방어 성공!

• FonixCrypter Ransomware: 방어 성공!

• GoGoogle Ransomware: 방어 성공!

• Phobos Ransomware: 방어 성공! 보안 프로그램 무력화 공격 차단 성공!

• Sorena Ransomware: 방어 성공!

• SwmmiWare Ransomware: 방어 성공!

• Vovalex Ransomware: 방어 성공! 보안 프로그램 무력화 공격 차단 성공!

• wannacry Ransomware: 방어 성공! 일부 파일은 암호화되었지만, 원본 파일은 삭제되지 않았으며 [랜섬웨어 보호 폴더]로 지정한 폴더(Folder protection)에 있는 파일들은 암호화되지 않음

• Xinof Ransomware: 방어 성공! 그러나 [확장자 보호] 목록에 없는 확장자는 일부 암호화됨

• ZeroPadypt Ransomware: 방어 성공!

● 참고로 테스트에 사용한 11개 랜섬웨어 모두 엑소스피어의 실시간 보호 기능으로 차단됨

Phobos와 Vovalex는 사용자 데이터뿐만 아니라 보안 프로그램까지 공격해 무력화시키는 무지막지한 랜섬웨어다. 하지만, 엑소스피어의 자체 보호 기능으로 방어 성공!

마무리

결과는 아주 만족스럽다.

11개의 랜섬웨어 공격에 대해 엑소스피어(Exosphere)는 사용자의 소중한 자료를 지키는 데 모두 성공했다. SwmmiWare와 Phobos는 AVG 안티바이러스 무료 버전이 방어에 성공하지 못한 녀석들이지만(「무료 백신 AVG 테스트 및 리뷰」 참고), 엑소스피어는 방어하는 데 성공했다.

내가 볼 때 오늘 랜섬웨어 방어 테스트의 1등 공신은 [랜섬웨어 방지] -> [기타]에 있는 [랜섬웨어 실행차단 설정]이다. 동영상을 보면 알겠지만, 미확인 프로그램이 여러 보호 파일의 변조를 시도하면 자동으로 실행을 차단하는 이 기능 덕을 크게 봤다는 것을 인정하지 않을 수가 없다. 오늘은 네가 짱이다!

하지만, [확장자 보호] 목록에 있는 파일에 접근하려는 시도가 일단 차단되므로 사용자가 일일이 허용해야 한다는 불편함이 있다. 이러한 번거로움은 모든 보안 프로그램이 갖는 딜레마다.

<오늘 한 차례 벌어진 랜섬웨어와의 전쟁의 영웅>

<일부 파일은 암호화되었지만 원본은 삭제되지 않았다>

하지만, 몇몇 테스트에선 [랜섬웨어 방지 환경설정]의 [확장자 보호] 목록에 없는 확장자 파일은 암호화되었다. ─ 비록 원본은 삭제되지 않았지만 ─ wannacry 테스트 결과는 [확장자 보호]보다 [폴더 보호]가 더 안전하다는 것을 방증한다.

하지만, 이것은 어느 정도 예상했던 일이다. 명심해야 할 것은 ─ 엑소스피어를 포함한 모든 보안 프로그램의 ─ ‘랜섬웨어 보호’ 기능의 주목적은 시스템 및 윈도우 보호가 아니라 사용자 데이터를 보호하는 것에 있다는 것이다. 그런 점에서, 그리고 오늘 테스트 결과만을 놓고 보면 엑소스피어의 [랜섬웨어 방지] 기능은 더할 나위 없이 완벽했다! 보통은 Avira 엔진을 사용하는 [안티멀웨어(실시간 보호)] 기능까지 같이 사용하므로 멀웨어뿐만 아니라 랜섬웨어로부터도 안전하게 보호받을 수 있다. 물론 이것은 잃어버리는 안 되는 중요 문서를 [폴더 보호]나 [확장자 보호]로 설정하는 것을 잊지 않았을 때이다.

끝으로 테스트를 진행하면서 겪은 문제점과 희망 사항을 적어본다면, ─ 이 문제는 나만 겪는 것인지도 모르겠지만 ─ VMware에 엑소스피어 설치 후 안내에 따라 윈도우를 재부팅 하면 엑소스피어 에이전트(트레이 아이콘)가 없다. 윈도우 시작 버튼의 프로그램 목록에도 없다(보호 기능은 제대로 작동하고, 엑소스피어 설정은 웹페이지의 중앙관리로 가능하다). 사실 이 문제는 이전부터 겪은 것인데 아직 고쳐지지 않았다.

한 가지 희망 사항은 방화벽 기능이 없다는 것이다. 방화벽 기능은 따로 추가할 필요 없이 Windows Firewall Control처럼 윈도우 디펜더 방화벽과 통합되면 좋을 듯하다. 적절한 선에서 HIPS 기능도 추가되면 완벽한 보안 프로그램이 될 듯싶다.

이 두 가지 문제 때문에 실사용을 못하고 있다.

[확장자 보호]와 [폴더 보호]: 윈도우 디펜더와 V3 Lite 버전에도 있는 가장 기초적인 랜섬웨어 방어인 [폴더 보호]가 단순하고 융통성 없는 우아하지 못한 기술이라면 [확장자 보호]는 이보다 최소 반 단계 진보한 유연한 랜섬웨어 방어 기술로 여기저기 산재해 있는 자료도 보호할 수 있다는 장점이 있다. 이 기능은 현재 내가 사용 중인 후오롱 인터넷 시큐리티(Huorong Internet Security)에도 있다.

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다