본문 바로가기

벌새::Software

40여종의 백신 엔진으로 보호하는 앱체크(AppCheck) 보조 백신

728x90
반응형
● 최초 작성 : 2015년 11월 5일

● 1차 수정 : 2015년 11월 9일 - Public API 변경에 따른 일부 내용 수정

 

악성코드 감염으로부터 PC를 보호할 목적으로 기본적으로 1~2개의 백신 프로그램을 설치하여 사용하고 있지만 여전히 새로운 변종으로 인해 바이러스(Virus), 백도어(Backdoor), 파밍(Pharming), 랜섬웨어(Ransomware), 애드웨어(Adware) 등의 악성코드 감염에 노출되어 있습니다.

 

이런 다양한 악성코드 감염을 더 많은 백신 엔진으로 검사하여 차단할 수 있는 "앱체크(AppCheck) 보조 백신" 프로그램이 국내에서 개발되어 공개되었습니다.

 앱체크(AppCheck) 보조 백신 홈 페이지 : https://www.checkmal.com/appcheck

앱체크(AppCheck) 보조 백신은 PC에 설치된 백신 프로그램과 함께 사용할 수 있도록 제작되었으며, 메타스캔 온라인(Metascan Online) 파일 검사 서비스와 연동되어 현재 기준으로 43종의 국내외 백신 엔진을 통해 악성 파일 실행시 실시간으로 차단할 수 있습니다.

 

1. 앱체크(AppCheck) 보조 백신 기능

앱체크(AppCheck) 보조 백신이 설치된 환경에서는 시스템 트레이 알림 아이콘 영역에 아이콘을 생성하며 주요 기능은 다음과 같습니다.

 

(1) 프로세스 검사

"프로세스 검사" 메뉴 실행 또는 앱체크(AppCheck) 아이콘을 더블 클릭할 경우 현재 실행 중인 프로세스를 자동으로 검사하여 안전 또는 위험으로 결과를 표시합니다.

만약 앱체크(AppCheck) 보조 백신에서 실행 중인 프로세스 중 악성코드를 발견한 경우 위험으로 표시된 메시지를 클릭하시면 검사 결과를 확인할 수 있습니다.

생성된 알림창에서는 현재 실행 중인 프로그램(프로세스)의 이름과 메타스캔(Metascan)에서 진단된 결과를 표시하고 있으며, 탐지된 파일의 상세한 경로를 확인하기 위해서는 파일 이름에 마우스를 위치하시면 알 수 있습니다.

 

  • 차단 : 현재 탐지된 프로그램(프로세스) 종료(※ 파일 삭제가 아닙니다.)
  • 신뢰 파일 등록 : 현재 탐지된 프로그램(프로세스)을 지속적으로 사용하도록 제외 처리

실행 중인 프로세스 중 악성코드로 탐지되어 차단을 한 경우에는 해당 파일을 찾아 직접 삭제하시기 바랍니다.

 

(2) 실시간 보호

앱체크(AppCheck) 보조 백신의 실시간 보호 기능은 사용자가 실행하는 파일에 대해서만 감시를 지원하며, 만약 악성 파일인 경우 "지정한 장치, 경로 또는 파일을 액세스할 수 없습니다. 이 항목을 액세스하는데 필요한 권한을 가지고 있지 않습니다." 메시지 창을 생성하여 파일 실행을 차단합니다.

 

만약 사용자가 차단된 파일의 진단 결과를 확인하기 위해서는 시스템 트레이 알림 아이콘 영역에 생성된 악성코드 탐지창을 클릭하시기 바랍니다.

생성된 차단 알림창에서는 사용자가 실행한 파일(프로그램) 이름과 메타스캔(Metascan)에 등록된 백신 엔진 중 진단된 결과를 확인할 수 있으며, 사용자가 차단된 파일의 위치를 확인하여 직접 삭제하시면 됩니다.

 

(3) 옵션

앱체크(AppCheck) 보조 백신은 실행되는 프로그램과 현재 실행 중인 프로세스를 검사하여 메타스캔(Metascan)에 등록된 파일인 경우에만 기존 검사 결과를 기반으로 차단 여부가 결정될 수 있습니다.

 

만약 검사 대상 파일이 메타스캔(Metascan)에 등록되어 있지 않은 경우에는 "검사 결과가 없을 때 파일을 전송하여 검사" 옵션에 따라 메타스캔(Metascan) 온라인 서비스에 자동으로 전송하여 검사가 이루어집니다.

 

그러므로 기본 설정 상태에서는 메타스캔(Metascan)에 등록되지 않은 파일인 경우 파일 차단없이 실행되며, 만약 사용자가 "안정성이 확인되지 않은(미분석) 프로그램 차단" 옵션을 활성화한 경우에는 메타스캔(Metascan)에 등록되지 않은 파일 실행시 기본적으로 차단됩니다.("안정성이 확인되지 않은(미분석) 프로그램 차단" 옵션을 사용할 경우 정상적인 파일도 차단될 수 있으므로 긴급 상황인 아닌 경우에는 사용하지 마시기 바랍니다.)

 

실제 메타스캔(Metascan)에 업로드되어 있지 않은 파일을 대상으로 테스트를 진행해 보겠습니다.(※ 해당 테스트는 이해를 돕기 위해 "안정성이 확인되지 않은(미분석) 프로그램 차단" 옵션이 활성화 상태입니다.)

테스트에서 사용된 EXE 파일은 메타스캔(Metascan)에 업로드되어 있지 않은 파일이며, 사용자가 파일을 실행시 "새롭게 발견된 파일입니다. 현재 분석중이며 결과가 나오기 전까지 실행을 차단합니다. 5분뒤에 다시 시도해 보십시오."라는 메시지를 통해 메타스캔(Metascan) 서비스에 자동으로 파일 업로드가 이루어지게 됩니다.(※ 기본 설정값에서는 차단없이 파일 실행이 이루어지며, 파일은 메타스캔(Metascan)에 자동 업로드가 이루어집니다.) 

일정 시간이 경과한 후 해당 파일을 재실행해보면 메타스캔(Metascan) 검사 결과를 통해 다수의 백신 엔진에서 차단이 이루어지는 모습을 확인할 수 있습니다.

 

 

위와 같이 앱체크(AppCheck) 보조 백신은 단순히 메타스캔(Metascan)에 등록되어 있는 진단 결과만을 이용하여 파일 차단 여부를 결정하는 것이 아니라 새로운 파일 실행시 자동 전송하여 악성 여부를 빠른 시간 내에 검사하여 5분 이후부터는 악성 파일일 경우 차단할 수 빠른 대응력을 보여주고 있습니다.

앱체크(AppCheck) 보조 백신은 메타스캔(Metascan)에 등록된 40여종의 백신 엔진을 이용하여 악성 여부를 결정하는 과정에서 정상적인 파일을 차단할 수도 있으므로 "차단 제외 설정"을 제공하고 있습니다.(※ 업체명, 진단명으로 무시하는 옵션은 함부로 추가하여 제외 처리하지 마시기 바랍니다.)

 

  • 업체명으로 무시하기 (예시) : AVware,Bkav,ClamAV 또는 AVware;Bkav;ClamAV
  • 진단명으로 무시하기 (예시) : WS.Reputation,Suspicious 또는 WS.Reputation;Suspicious

또한 "악성으로 진단한 업체가 5 이하인 경우 무시하기" 옵션을 통해 사용자가 추가한 차단 제외 업체를 제외한 진단 업체수가 5개 이하인 경우에는 파일 차단을 하지 않도록 기본 설정되어 있습니다.

 

하지만 개인적으로는 악성으로 진단한 업체수는 2 이하로 설정하시고 사용하시길 권장하며, 0 이하로 설정한 경우에는 메타스캔(Metascan)에서 진단하지 않는 파일은 차단없이 실행이 가능합니다.

 

메타스캔 온라인 API Key 발급 안내

 

"Public API 개인 전용키 설정" 항목에서는 앱체크(AppCheck) 보조 백신을 효과적으로 사용할 목적으로 메타스캔 온라인 API Key를 무료로 발급받아 추가하도록 안내하고 있습니다.

 

만약 메타스캔 온라인 API Key를 발급받아 추가하지 않은 상태로 사용할 경우 파일 검사를 제대로 하지 못하는 문제가 발생할 수 있으므로 반드시 안내를 참고하여 API Key를 추가하시고 사용하시기 바랍니다.

"사용자 신뢰 파일" 항목에서는 차단된 파일 중 사용자의 판단에 따라 차단없이 사용할 목적으로 등록할 수 있는 기능으로 차단 알림창의 "신뢰 파일 등록" 메뉴 또는 옵션에서 직접 추가하는 방식으로 신뢰 처리할 수 있습니다.

 

2. 앱체크(AppCheck) 보조 백신의 메타스캔(Metascan) 검사 결과 이해하기

앱체크(AppCheck) 보조 백신의 검사 결과는 메타스캔(Metascan)에 등록된 파일의 최종 검사 결과를 기반으로 차단 여부를 결정합니다.

 

예를 들어 테스트에서 차단한 실행 파일의 검사 결과를 확인해보면 2014년 7월 10일에 검사한 내역을 기반으로 41개 제품 중 13개 제품에서 파일 진단이 이루어진 결과를 기반으로 차단이 이루어지고 있습니다.

만약 차단한 파일을 메타스캔(Metascan) 온라인 서비스에 웹 상으로 접속하여 파일을 찾아 재검사(Rescan)를 진행해보면 현재 시점에서 43개 제품 중 14개 제품에서 진단되는 것을 알 수 있습니다.

 

그러므로 앱체크(AppCheck) 보조 백신의 차단 결과가 현재 시간 기준에서 이루어진 백신 차단 결과가 아니라는 점을 명심하시기 바라며, 만약 정상 파일을 차단할 경우에는 메타스캔(Metascan) 온라인 서비스에 직접 방문하여 파일을 재업로드 또는 재검사(Rescan)해 주시면 도움이 됩니다.

 

앱체크(AppCheck) 보조 백신은 현재 초기 버전이므로 차후 지속적인 기능 개선을 통해 단순히 파일 차단이 아닌 삭제 기능 등 강화된 모습을 선보일 것으로 기대하고 있으며 악성코드와 불필요한 프로그램(PUP) 차단에 많은 도움이 될 수 있으므로 백신 프로그램과 함께 사용하시길 권장합니다.

728x90
반응형