2021/02/13

윈도우 디펜더 랜섬웨어 방어 테스트

윈도우 디펜더 랜섬웨어 방어 테스트

Windows Defender Ransomware Defense Test
<오늘 테스트를 위해 자작한 CompactOS,  Windows 10 Insider Build 21301>
Windows Defender Ransomware Defense Test
<CompactOS 제작 방법은, 「나만의 윈도우 10 Compact 버전 제작하기」>

Thanos와 CrySis 랜섬웨어를 놓친 윈도우 디펜더

일단 윈도우 디펜더의 실시간 보호 기능(Real-time protection)은 「윈도우 10 버전 2004 | 디펜더 테스트 및 리뷰」에서 간단하게나마 테스트를 마쳤다. 이 테스트를 통해 윈도우 디펜더의 실시간 보호 기능은 제대로 작동하지만, 치료 과정이 매우 느리다는 것을 절감할 수 있었다(낮은 사양에서는 그렇다는 말이다).

오늘 테스트에서도 그랬다. 윈도우 디펜더가 하나의 멀웨어를 치료하는 시간을 기다리느니 VMware 스냅샷(snapshot)으로 복구하는 것이 더 빨랐다. 내가 테스트했던 무료 안티바이러스 제품 중에서 윈도우 디펜더는 가장 반응이 느리고 인터페이스도 불편하다. 이보다 좋은 무료 백신이 꽤 있는 상황에서 굳이 윈도우 디펜더를 고집할 필요가 있을까 싶다.

여기에 오늘 테스트를 통해 윈도우 디펜더를 쓰지 말아야 할 이유가 하나 더 생겼다. 지금까지의 윈도우 디펜더에 대한 나의 불만은 개인적인 취향의 문제라고 덮어두더라도 오늘 문제는 절대 그럴 수가 없다. 왜냐하면, 윈도우 디펜더의 실시간 보호 프로세스는 오늘 테스트에 사용한 두 개의 랜섬웨어(Thanos와 CrySis)를 차단하지 않았기 때문이다. 이것은 변명의 여지가 없는 매우 치명적인 문제다.

실시간 보호 기능에 통합된 랜섬웨어 방지 기능

Windows Defender Ransomware Defense Test
<Real-time protection을 끄면 Ransomware protection도 사용 불능>
Windows Defender Ransomware Defense Test
<랜섬웨어로부터 보호할 [Folder protection] 설정>

다른 백신과는 달리 윈도우 디펜더는 실시간 보호(Real-time protection) 기능을 끄면 랜섬웨어 방지(Ransomware protection) 기능도 작동하지 않는다. 지금까지 내 블로그에서 랜섬웨어 테스트를 거친 안티바이러스 제품은 이 두 기능이 분리되어 있어 실시간 보호 기능은 끄고 랜섬웨어 보호 기능만 켠 상태에서 테스트를 수행했고, 이를 통해 순수하게 랜섬웨어 보호 기능의 성능을 가늠할 수 있었다. 윈도우 디펜더는 그럴 수가 없어 어쩔 수 없이 실시간 보호 기능도 켠 상태에서 테스트했다.

하지만, 이 상태에서 랜섬웨어를 실행하면 실시간 보호 프로세스가 차단할 것이 뻔했다. 테스트 진행이 어려울 것 같았다.

그렇지만 운이 좋았다. 마침 내가 보유한 랜섬웨어 표본 중 두 녀석이 윈도우 디펜더의 실시간 보호에 탐지되지 않았다. 바로 Thanos와 CrySis 랜섬웨어다. 비교적 신종이라 그런 것일까? 혹은 오늘 테스트에 사용한 윈도우가 CompactOS로 자작한 Windows 10 Insider Build 21301.1010 32bit 버전이라서 그런 것일까?

아무튼 덕분에 윈도우 디펜더의 [랜섬웨어 방지(Ransomware protection)] 기능 중 하나인 [보호된 폴더(Folder protection)] 성능을 파악할 수 있었다.

[테스트 환경]

• Host Spec: AMD A10-4600M, 16G, Tammuz GK600 Prime 250G, Windows Server 2019

• VMware settings: Windows 10 Insider Build 21301.1010 32bit Compact by singingdalong, 2CPU, 3G, 20G dynamic HDD(On SSD)

• Thanos와 CrySis 랜섬웨어

• Security intelligence version: 1.331.752.0 / Version created on: 2/13/2021

테스트 결과

엑소스피어, Avast 등에 있는 [확장자 보호] 기술이 없는 윈도우 디펜더는 이번 테스트처럼 실시간 보호 프로세스가 랜섬웨어(Thanos와 CrySis)를 놓치게 되면 보호 폴더로 설정한 곳을 제외한 폴더에 있는 모든 자료는 깔끔하게 암호화될 각오를 해야 한다. 확장자 보호 기술이 있는 백신보다 랜섬웨어 방어에 매우 취약한 것이 윈도우 디펜더다. 고로 윈도우 디펜더를 사용한다면 반드시 [랜섬웨어 방지(Ransomware protection)]를 설정해놔야 할 것이다.

오늘 테스트 결과만을 놓고 보면, 내 주변에 윈도우 디펜더를 사용하는 사람이 있다면 극구 말리고 싶다. 하지만, 인터넷을 떠돌면서 Thanos와 CrySis 같은 윈도우 디펜더가 탐지하지 못하는 랜섬웨어와 마주칠 확률이 얼마나 될까를 생각하면 입만 피곤해지는 일은 안 해도 될 것 같다. 어차피 내 자료를 잃는 것도 아니니 괜한 일에 티격태격 말싸움하여 감정 상할 필요가 있을까.

물론 안 쓰는 것보다는 낫지 않냐고 반문한다면 할 말은 없지만 말이다.

0 comments:

댓글 쓰기

댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요