Avast Free Antivirus 랜섬웨어 방어 테스트
<오직 [Ransomware Shield]만 On!> |
<폴더 보호 기능도 사용> |
무료 백신의 순수 랜섬웨어 방어 능력은?
오늘은 「무료 백신 Avast Free Antivirus 테스트」에 이어 심심풀이로 Avast Free Antivirus를 무장 해제시킨 상태에서 랜섬웨어와 싸움을 붙여봤다. 즉, Avast Free Antivirus의 핵심 실드(Core Shields, 실시간 보호 같은 주요 방어 기능 담당)는 끄고 랜섬웨어 감시(Ransomware Shield)만 켠 상태에서 랜섬웨어와 맞짱을 뜨게 했다.
보통은 랜섬웨어든 멀웨어든 백신의 실시간 보호 기능이 알아서 차단하게 마련이므로 이와 같은 테스트는 Avast Free Antivirus에겐 억울하고 가혹한 시련일 수도 있겠지만, 이 테스트의 요지는 일단은 나의 호기심 충족, 그리고 두 번째는 만에 하나라도 실시간 보호 기능이 탐지하지 못하는 새로운(혹은 변종) 랜섬웨어의 공격을 받았을 때 어떤 결과가 나올지 대충이나마 가늠하기 위해서다.
노파심에서 하는 말이지만, VMware 같은 가상머신을 익숙하게 다룰 줄 아는 사람이 아니라면 이와 같은 테스트는 절대 따라 하지 말자. 실제 컴퓨터에서 이와 같은 놀이를 했다간 이 세상 모든 불행을 짊어질 것 같은 불상사와 마주치는 것은 시간문제니까 말이다.
[테스트 환경]
• Host Spec: AMD A10-4600M, 16G, Tammuz GK600 Prime 250G, Windows Server 2019
• VMware settings: Windows 10 20H2 Compact (x64) by Flibustier, 2CPU, 4G, 20G dynamic HDD(On SSD)
• Ransim v2.1.0.4
• Encoder 등 10개의 랜섬웨어
• Avast Free Antivirus v20.10.2442(빌드 20.10.5824.626)
랜섬웨어 감시(Ransomware Shield) vs 랜섬웨어
테스트는 앞에서 말했듯 [Core Shields]는 끄고 [Ransomware Shield]만 켜놓은 상태에서 수행했다. 또한, [폴더 보호] 성능도 알아보고자 동영상의 탐색기에서 보이는 [Folder protection]을 Protected New Folder 항목으로 추가했다.
랜섬웨어의 제물이 될 인질 파일은 mp3, jpg, txt, exe 파일(3개씩)을 준비했으며, 이 중에서 mp3, jpg, txt 등은 랜섬웨어 보호 확장자 목록에 있는 확장자이고, exe는 그렇지 않다는 점에 유의하자.
한 가지 더 알아둘 것은 Avast Free Antivirus의 [Ransomware Shield]는 컴퓨터의 모든 파일을 보호하는 것이 아니라 목록화되어 있는 특정 확장자(.jpg, .mp3, .txt, .doc 등등)만을 보호한다.
테스트 결과
<Encoder 랜섬웨어, Avast 차단 성공 후에도 암호화 진행> |
<Avast의 [Ransomware Shield]는 특정 확장자만을 보호한다> |
● Encoder • Filecoder • Phobos • Stealer • Vovalex • wannacry Ransomware: Avast Free Antivirus가 차단했다는 알림창이 표시되나 랜섬웨어는 백그라운드로 계속 실행된다. 보호 확장자(jpg, mp3, txt)를 제외하곤 나머지 확장자 파일은 암호화되었으며, [보호 폴더]로 지정한 [Folder protection] 폴더 안의 파일도 보호 확장자(jpg, mp3, txt)를 제외하곤 나머지(exe 같은 파일)는 암호화되었다.
● FonixCrypter • Thanos • Xinof Ransomware: 완벽하게 차단한 것으로 보인다.
● Gendarmerie Ransomware: 차단했다는 알림 후 블루스크린 유발. 강제 재부팅 후 윈도우 진입이 어려웠고, 더불어 작업 관리자도 실행되지 않았다. 포맷이 필요한 상황으로 보인다. 다행스럽게도 보호 확장자는 암호화되지 않았다.
최후의 보루 [Ransomware Shield]
이상에서 알 수 있듯 Avast Free Antivirus의 [Ransomware Shield] 기술은 랜섬웨어의 암호화 행위 자체를 차단하기보다는 ─ 다른 보안프로그램처럼 ─ 보호할 목록에 있는 확장자가 알 수 없는 프로그램에 의해 삭제되는지를 감시하면서 사용자의 자료를 보호한다. 명심해야 할 것은
보호 폴더로 지정한 폴더 안에 있는 파일들도 암호화된다는 것과 알림창이 떴을 때 사용자가 [Blok App]을 선택해도 대부분 랜섬웨어는 백그라운드로 계속 실행되면서 암호화했다는 것이다.
랜섬웨어 보호 폴더로 지정한 폴더 안에 있는 파일들은 확장자에 상관없이 완벽하게 보호될 줄 알았는데 그게 아닐 수도 있다. 랜섬웨어 보호 폴더를 사용하는 V3 Lite나 윈도우 디펜더도 테스트해봐야 할 것 같다.
내가 지금까지 안티바이러스 • 안티멀웨어 • 안티랜섬웨어 등의 보안프로그램을 테스트해오면서 느낀 점이지만, 아직 랜섬웨어 방어 기술은 그렇게 지능적이지 못하다. 고로 현재 보안프로그램의 랜섬웨어 방어 기능은 백신 데이터베이스(시그니처)에 없는 신종 • 변종 랜섬웨어의 공격을 받게 되었을 때로부터 사용자의 중요 자료를 지키는 최후의 보루 같은 것으로 생각해야 한다. 이때 윈도우 재설치 정도는 각오해야 할 것이고, 중요 파일을 보호했다는 것에 위안 삼아야 할 것이다.
<테스트에 사용한 10개의 랜섬웨어 모두 다행스럽게도 Avast가 탐지 가능한 멀웨어다> |
0 comments:
댓글 쓰기
댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요