국내 체크멀(CheckMAL) 업체에서 제공하는 앱체크(AppCheck) 보조 백신은 실행되는 파일을 50여종의 백신 엔진을 통해 검사하여 악성 파일인 경우 실행을 차단하는 기능을 기본적으로 제공합니다.
최근 AppCheck 1.2.0.1 버전 및 상위 버전으로 업데이트가 이루어지면서 멀티 엔진 기능과 관련하여 변경된 부분에 대해 살펴보도록 하겠습니다.
1. 멀티 엔진 검사 사용
AppCheck 옵션의 "멀티 엔진 검사 사용" 항목을 추가하여 파일 실행시 50여종의 백신 검사 기능을 사용할지 여부를 선택할 수 있게 되었습니다.
기본값에서 활성화된 멀티 엔진 검사 기능은 프로그램(파일) 실행시 자동 검사를 통해 사용자가 설정한 진단 설정에 부합될 경우 자동으로 파일 실행을 차단할 수 있습니다.
2. malwares.com API 추가를 통한 진단 강화
기존의 앱체크(AppCheck) 보조 백신은 40여종의 백신 엔진을 제공하는 메타스캔 온라인(Metascan Online) 서비스를 활용하여 실행 파일을 검사하여 차단 여부를 결정하고 있었습니다.
하지만 이번 업데이트에서는 국내 세인트시큐리티 업체에서 운영하는 멀웨어즈닷컴(malwares.com) API를 추가하여 50여종 이상의 백신 엔진을 통해 실행 파일 검사가 이루어지도록 하였습니다.
앱체크(AppCheck) 보조 백신의 기본값에서는 멀웨어즈닷컴 API Key 입력을 하지 않아도 제한없이 검사가 이루어지도록 변경하였으며, 만약 기존의 메타스캔 온라인(Metascan Online) 검사를 계속 이용하고 싶은 사용자는 메타스캔 온라인 회원 가입을 통해 API Key를 추가로 입력하시고 사용하시기 바랍니다.
이로 인하여 앱체크(AppCheck) 보조 백신에서 제공하는 검사 결과 항목에 표시된 파일을 클릭할 경우 Public API 사용 여부에 따라 연결되는 상세 정보 사이트가 변경됩니다.
- 기본값(멀웨어즈닷컴 체크 해제, 메타스캔 온라인 체크 해제) 환경 : malwares.com 사이트 연결, 실행 파일이 기존에 보고되지 않은 경우 malwares.com 서버로 전송
- 메타스캔 온라인 체크 환경 : 메타스캔 온라인 사이트 연결, 실행 파일이 기존에 보고되지 않은 경우 메타스캔 온라인 서버로 전송
개인적으로 메타스캔 온라인 서비스보다는 멀웨어즈닷컴(malwares.com)을 통해 파일 검사를 권장하므로 기존에 앱체크(AppCheck) 보조 백신 사용자는 메타스캔 온라인 체크를 해제하시고 사용하시기 바랍니다.
■ 멀웨어즈닷컴(malwares.com) 서비스 소개
멀웨어즈닷컴(malwares.com)은 바이러스토탈(VirusTotal)에서 제공하는 파일 검사 API 기능을 활용하고 있으며, Hash / URL / IP / 호스트 이름 / 태그(Tag) 기반의 검색 및 파일 업로드를 통한 50여종의 백신 엔진을 통한 검사 기능을 무료로 제공하고 있습니다.
예를 들어 특정 파일 Hash 값을 기반으로 조회할 경우 기존에 검사된 내역이 존재할 경우 진단 내역을 비롯한 다양한 파일 정보를 제공하고 있습니다.
또한 URL 주소를 기반으로 조회를 할 경우에도 수집된 정보를 통해 유포 파일 정보를 확인할 수 있기에 바이러스토탈(VirusTotal) 서비스와 매우 유사하다고 할 수 있습니다.
이번 앱체크(AppCheck) 보조 백신에 추가된 멀웨어즈닷컴(malwares.com) 검사 기능을 선택할 경우 바이러스토탈(VirusTotal) 서비스와 동등한 수준의 검사 기능을 수행할 수 있으므로 멀티 엔진 설정을 잘 선택하여 이용하시기 바랍니다.
☞ 랜섬웨어(Ransomware) 감염시 실시간 백업을 지원하는 "앱체크(AppCheck) 보조 백신 : 랜섬웨어 대피소" 기능 (2015.11.22)
☞ 앱체크(AppCheck) 랜섬웨어 대피소 활용 방법 (2015.11.25)