2021/12/30

엑소스피어(Exosphere) 랜섬웨어 차단 규칙 테스트

무료 백신, 엑소스피어(Exosphere) 랜섬웨어 차단 규칙 테스트

Free Antivirus, Exosphere Ransomware Blocking Rule Test
<변경된 Exosphere 인터페이스, 그런데 별 차이는 못 느끼겠다>

새 인터페이스와 새 기능으로 업데이트된 엑소스피어

오늘은 한국산 무료 백신, 즉 무료 안티바이러스이자 무료 안티랜섬웨어인 엑소스피어(Exosphere)에서 업데이트된 랜섬웨어 방어 기능 중 [중요 자료 보호 규칙] 값에 따른 랜섬웨어 피해 정도를 테스트했다.

최근까지 보안 프로그램으로 후오롱 인터넷 시큐리티(Huorong Internet Security)를 사용해왔지만, 얼마 전에 노트북을 교체하고 Windows를 새로 설치하면서 새 인터페이스와 새 기능으로 업데이트된 엑소스피어를 사용 중이다. 필요한 기능만 있는 군더더기 없고 깔끔하고 광고 없는 인터페이스에 무료인 엑소스피어를 왜 안 쓰는지 따져 묻고 싶을 정도로 만족스럽다. 물론 몇 가지 불만과 요구 사항이 있기는 하지만, 성능과는 무관한 것이라 크게 개의치는 않는다.

아무튼, 그러던 중 랜섬웨어 방어 기능이 약간 변경된 것을 알게 되었는데, 그 성능을 시험해 보고자 오늘의 테스트를 수행하게 된 것이다.

국산 무료 백신 엑소스피어 | 테스트 및 간단한 리뷰
무료 백신 엑소스피어 랜섬웨어 방어 테스트

내가 느낀 엑소스피어(Exosphere) 단점과 요구 사항

Free Antivirus, Exosphere Ransomware Blocking Rule Test
<유일하게 카스퍼스키만 printguard32.dll 파일을 멀웨어로 진단>

• 사용자 설정값을 백업하고 복원하는 기능이 없다. 예를 들면, 사용자가 자주 사용하고 안전하다고 판단한 프로그램을 [안전 미확인 프로그램 관리]에 등록하게 되는데, 설정을 백업하고 복원하는 기능이 없으니 Windows를 재설치하게 되면 [검사 예외] 항목을 처음부터 다시 설정해야 한다.

• USB 드라이브 같은 외부 장치를 추가했을 때 뜨는 자동 검사를 영구히 끄는 설정이 없다. 이게 얼마나 불편한가 하면 Rclone으로 추가된 구글 드라이브까지 매번 검사하려고 드니 환장할 따름이다.

• 멀웨어를 발견했을 때 이를 허용할지 묻는 설정이 없다.

• 여전히 업데이트가 느리고 불안하다.

• Windows Firewall Control 같은 윈도우 방화벽 제어 기능이 추가되었으면 좋겠다. 덩달아 방화벽 규칙도 세부적으로 설정할 수 있었으면 한다.

• 엑소스피어 파일 중 printguard32.dll 파일을 카스퍼스키가 멀웨어로 진단한다. 진단명은 UDS:Trojan.Win32.Generic
엑소스피어 측에 문의 결과 카스퍼스키측에 (휴리스틱 탐지에 의한) 오탐으로 신고한 상태라고 한다.
└ 카스퍼스키측으로부터 해당 탐지는 오탐이며 수정될 예정이라고 한다!

[중요 자료 보호 규칙] 값에 따른 랜섬웨어 피해

[중요 자료 보호 규칙]은 [확장자 보호]에서 지정한 보호 대상 파일을 사용자가 지정한 개수 이상 변조하려는 미등록 프로그램 발견 시 이를 차단하고 사용자에게 알리는 기능이다. 기본값은 4개인데 이 말인즉슨 (그리고 동영상 테스트에서 알 수 있듯) 3개까지는 변조를 허용하고 4번째 파일을 변조하려는 순간 차단한다는 말이다. 한마디로 랜섬웨어 피해로부터 100% 방어하는 것은 아니라는 말이다.

반면에 [중요 자료 보호 규칙] 값을 1로 설정하면, [확장자 보호]에 등록된 보호 파일(확장자) 중 단 한 개의 파일이 변조되는 것도 허용되지 않는다. 그렇다면 당연히 ‘1’로 설정되어 있어야 할 것이 왜 ‘4’를 기본값으로 하는 것일까? 아니 그것보다 애초에 왜 이런 설정을 추가한 것일까?

[중요 자료 보호 규칙]은 알림을 최소화하지만 허점이 있다!

Free Antivirus, Exosphere Ransomware Blocking Rule Test
<경험과 습관에 따라 [중요 자료 보호 규칙]을 잘 설정해야 한다>

[중요 자료 보호 규칙]은 알림창이 뜨는 것을 최소화하고자 하는 사용자 편의성을 염두에 둔 설정이 아닌가 싶다. 문서를 작성하든 사진을 편집하든 보통은 한 개의 프로그램이 한두 개의 파일을 사용한다. 이때 [중요 자료 보호 규칙] 값이 ‘4’로 설정되어 있다면, 당연히 알림창은 뜨지 않고 사용자의 문서 • 사진 편집 작업은 조용히 허용된다. 하지만, [중요 자료 보호 규칙] 값을 ‘1’로 설정하면 문서 한두 개를 동시에 편집하면 랜섬웨어 차단 규칙에 따라 허용할지를 묻는 알림창이 뜬다.

하지만, 알다시피 이 알림창이 뜨는 것은 기껏해야 프로그램당 단 한 번뿐이다. ‘허용’하고 나면 그 이후론 해당 프로그램에 대해선 더는 알림창이 뜨지 않는다. 사용자가 사용하는 문서, 사진, 동영상 편집 프로그램이 아무리 많다고 해도 수백 개까지는 아닐 것이고 고작해야 몇 개에서 수십 개 사이일 것이다. 그 수만큼 ‘허용’을 눌러주면 더는 귀찮게 하지 않는다!

내가 보기엔 [중요 자료 보호 규칙]은 극히 적은 수의 파일일지라도 랜섬웨어 암호화를 허용한다는 점에서 지극히 불필요한 기능이다. 랜섬웨어로부터 빈틈없는 방어를 구축하고 싶다면, [중요 자료 보호 규칙] 값은 무조건 1로 설정해라!

Free Antivirus, Exosphere Ransomware Blocking Rule Test
<[스마트 검사]는 꼭 선택하자, 백신이 있는 듯 없는 듯 느껴진다>

0 comments:

댓글 쓰기

댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요