무료 멀웨어 및 랜섬웨어 방어 | iDefender
<전문가를 위한 터미널 및 호스트용 능동 방어 시스템 | iDefender> |
전문가를 위한 무료 보안 프로그램
3년 전에 HIPS 기반의 Windows 보안 프로그램인 OSArmor(「무료 안티랜섬웨어 프로그램 | OSARMOR」)를 소개한 적이 있었는데, 오늘은 블로그에 소개할 때만 해도 무료였다가 이후 발칙하게도 유료로 전환된 OSArmor와 비슷한 프로그램이지만 아직은 무료인 iDefender를 간단하게 테스트해봤다.
iDefender(Ice Shield Active Defense System)는 iMonitorSDK를 기반으로 한 전문가를 위한 터미널 및 호스트용 능동 방어 시스템이라고 한다. iMonitorSDK는 터미널 및 호스트에 대한 시스템 동작 모니터링을 제공하는 개발 키트.
아무튼, iDefender의 작동 방식은 HIPS(Host Intrusion Prevention System)와 유사하다. 즉, 프로세스 하나하나 세심하게 관리하고픈, 또 관리할 수 있는 여력을 보유한 고급 사용자를 위한 취약성 공격 차단 및 멀웨어/랜섬웨어 방어용 Windows 보안 프로그램이라고 할 수 있다.
고로 프로세스 작동 방식에 대한 명확한 개념과 어떤 프로세스가 어떤 목적으로 어떠한 일을 하는지 추적할 수 있는 지식이 있는 사용자를 위해 추천!
iDefender 다운로드 및 한국어 패치
iDefender: github.com/wecooperate/iDefender/releases
iDefender 한국어 패치 버전 2.5.0: 다운로드
┗ 한국어 패치 방법: language.qm 파일을 C:\ProgramData\iDefender 폴더에 복사하고 맨 위 사진처럼 언어를 [커스텀]으로 선택하고 재시작
iDefender, PCMark10
Windows 11, Ryzen 3 5300U 노트북에서 테스트했다.
PCMark10 벤치마크 결과 iDefender는 보조 백신으로 사용하기에 부담이 없어 보인다. 한마디로 가벼운 보안 프로그램.
iDefender, Ransim
테스트 편의상 [파일 모니터]와 [document protection] 규칙을 제외하곤 나머지는 다 OFF.
파일 확장자 보호 기능이 제대로 동작한다면 Ransim 정도는 가볍게 통과해야 하는 것이 정답.
iDefender, 랜섬웨어 방어
앞서와 마찬가지로 테스트 편의상 [파일 모니터]와 [document protection] 규칙을 제외하곤 나머지는 다 OFF.
iDefender는 [document protection] 규칙에 포함된 확장자(txt, jpg, png, docx, xls, ppt 등)들이 랜섬웨어에 의해 암호화되는 것을 완벽하게 차단했다. 하지만, [document protection] 규칙에 포함되지 않은 확장자는 당연히 암호화되었다.
테스트에 사용한 랜섬웨어 목록
1. CryOrdo ransomware
2. Magniber ransomware
3. Money Message ransomware
4. Stop ransomware
5. Wannacry ransomware
iDefender, 파일 확장자 보호
iDefender의 모든 기능을 한 자리에서 설명하기는 어렵고, 이 자리에선 규칙 템플릿 중 랜섬웨어 방어에 사용할 수 있는 [Protect File]에 대해서만 간략하게 알아보려고 한다.
참고로 iDefender처럼 특정 확장자를 보호할 수 있는 무료 보안프로그램은 火绒安全软件5.0(후오롱 인터넷 시큐리티)의 [Custom Rules(사용자 규칙)], 그리고 한국산 엑소스피어(EXOSPHERE)가 있다.
일단 [규칙]에 [文档保护(문서 보호)]라는 규칙이 기본값으로 추가되어 있다. 고로 사용자는 이 규칙을 수정해서 사용해도 된다.
① [행동]: 보호된 확장자에 접근하는 프로세스를 발견했을 때 어떻게 행동할지를 선택한다. [묻기(기본 차단)]로 선택하면 사용자에게 알림창을 띄우고 기본 선택은 [차단]이다.
② 랜섬웨어로부터 보호하고 싶은 파일 확장자(예: *.mp4 *.hwp *.ts *.xml 등등)를 추가한다.
③ 신뢰할 수 있는 프로세스 및 신뢰할 수 있는 프로세스가 있는 폴더 경로를 추가한다.
마무리
<iDefender의 자매품 iMonitor> |
기본 규칙과 모든 모니터 기능을 켠 상태에서 사용하면 초반엔 프로그램을 실행할 때마다 알림창이 뜰 것이다. 이것은 규칙이 어느 정도 학습될 때까지 계속될 것인데, 만약 이런저런 알림창 띄우는 것이 번거롭다면, [파일 모니터] 기능만 켜고 사용해도 된다. 단, 이렇게 사용하면 [Protect File] 규칙에 추가된 확장자들은 랜섬웨어 등으로부터 보호할 수 있지만, 윈도우가 멀웨어에 감염되는 것은 막을 수 없다. [파일 모니터] 기능만 켜고 사용하는 것은 iDefender를 보조 백신으로 사용할 때 적합할 것이다.
iDefender의 랜섬웨어 방어 성능은 앱체크 같은 상황 인식 기반 탐지 엔진이나 시그니처/휴리스틱 기반의 안티바이러스와는 달리 전적으로 사용자 선택에 좌우된다. 다시 말하면, 사용자가 상식적인 선택을 할 수 있다면 랜섬웨어 방어 능력은 앱체크보다 뛰어날 수 있지만, 그렇지 못하면 iDefender의 기능들은 빛 좋은 개살구일 뿐이라는 것을 명심하자.
프로세스의 동작을 분석하여 iDefender 규칙 설정에 도움을 줄 수 있는 iMonitor도 무료로 받을 수 있다.
0 comments:
댓글 쓰기
댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요