해외 avast! 백신 제품(avast! Free Antivirus, avast! Internet Security, avast! Premier)에는 기본값에서는 활성화되지 않는 강화 모드(Hardened Mode) 기능이 포함되어 있습니다.
최근 랜섬웨어(Ransomware) 악성코드에 대한 공포심이 상당히 높다는 점에서 avast! 강화 모드(Hardened Mode)는 랜섬웨어(Ransomware) 변종에도 1차적으로 차단이 가능할 것이라고 개인적으로 생각하고 있습니다.
하지만 avast! 백신에서 안내하는 강화 모드(Hardened Mode)를 제대로 이해하고 사용할 수 있는 사용자는 과연 얼마나 될 수 있느냐는 회의론도 개인적으로 매우 강하므로 자세하게 살펴보도록 하겠습니다.
avast! 백신 프로그램을 최초 설치한 환경에서는 강화 모드(Hardened Mode)는 비활성화된 상태이며, 사용자가 체크를 통해 설정을 한 경우에만 동작하는 보안 기능입니다.
강화 모드(Hardened Mode)에 대한 안내문에서는 "이 컴퓨터의 보안 성능을 한층 더 높일 수 있는 Avast 강화 모드를 사용하십시오. 이 모드는 경험이 없는 사용자에게 권장됩니다.(Use the Avast Hardened mode to further lock down the security of this computer. This is recommended for inexperienced users.)"라는 메시지를 제공하고 있습니다.
특별히 붉은색으로 표시한 경험이 없는 사용자(Inexperienced user)에게 강화 모드(Hardened Mode)를 권장한다는 다소 무책임한 내용을 통해 어떻게 동작하는지를 보면서 과연 일반 사용자들이 효과적으로 사용이 가능한지에 대해 생각해 보겠습니다.
우선 강화 모드(Hardened Mode)는 반드시 "평판 서비스 사용" 기능을 사용할 때에만 정상적으로 동작하며 그런 이유는 다음과 같습니다.
- 강화 모드 사용(보통 - Moderate) : 실행되는 파일 평판(Reputation)이 신뢰할 수 없을 경우 기본적으로 차단합니다.
- 강화 모드 사용(공격적 - Aggressive) : avast! 보안 업체의 화이트 리스트(신뢰 목록)에 포함된 파일만 실행을 허용합니다.
즉, 강화 모드(Hardened Mode)는 실행되는 파일을 평판 서비스 기능을 통해 avast! 서버에서 파일 평판 조회를 통해 실행 여부를 자동으로 결정하는 보안 기능입니다.
만약 유효한 디지털 서명이 포함된 정상 파일을 실행할 경우 "프로그램이 차단됨 - Avast 강화 모드가 프로그램을 차단하여 컴퓨터에서 시작할 수 없습니다."라는 차단창이 생성되는 형태로 강화 모드(Hardened Mode)는 기존에 보고된 파일이 아니거나 분석을 통해 신뢰 파일로 분류되지 않은 경우에는 1차적으로 차단하게 됩니다.
단지 차단된 프로그램에 대한 추가적인 어떠한 정보를 제공하지 않은 상태에서 사용자의 판단에 따라 "제외 추가"를 하여 실행을 결정하도록 한다는 점은 과연 경험없는 사용자에게 권장할 기능인지는 매우 의문이 듭니다.
만약 사용자가 강화 모드(Hardened Mode)를 통해 차단된 파일의 실행 여부를 결정하지 못한 상태로 그대로 유지할 경우 일정 시간이 경과하면 "지정한 장치, 경로 또는 파일에 액세스할 수 없습니다. 이 항목에 액세스할 수 있는 권한이 없는 것 같습니다." 메시지 창을 생성하며 파일 실행을 허용하지 않습니다.
만약 사용자의 판단에 따라 파일 제외를 통해 실행을 허용할 경우 제외 정보는 avast! 설정창의 "일반 → 제외 → 강화 모드" 항목에서 확인할 수 있으며, 동일한 경로와 파일명으로 추가된 경우에도 Hash 고유값이 다른 동일 이름의 파일 실행시에는 파일 평판에 따라 실행 여부를 물어볼 수 있습니다.
또 하나의 avast! 강화 모드(Hardened Mode) 사용상의 문제점은 컴퓨터를 사용하던 중 "C:\Windows\Temp\AC406A.tmp"와 같이 경로와 파일명으로는 전혀 확인할 수 없는 파일 실행을 차단할 경우 과연 사용자가 효과적으로 판단할 수 있느냐는 점입니다.
앞서의 경우에는 사용자가 직접 실행한 경우인데 반하여 이번 경우에는 기존에 설치된 어떤 프로그램이 추가적인 파일을 자동 실행한 경우이므로 경험 많은 사용자일지라도 해당 차단에 대한 효과적인 결정은 어렵다는 점입니다.
물론 파일 차단이 이루어진다고 하여 시스템에 큰 문제가 발생하고 영원히 프로그램을 사용할 수 없다는 것은 아니지만 avast! 보안 제품에서 제공하는 비경험자에게 강화 모드(Hardened Mode)를 권장한다는 안내는 다소 무책임해 보입니다.
아무튼 avast! 제품 사용자 중에서 랜섬웨어(Ransomware) 악성코드를 비롯한 다양한 보안 위협에 대한 걱정이 많을 경우에는 강화 모드(Hardened Mode) 설정을 하신다면 웹 사이트를 방문하는 과정에서 자동으로 악성코드에 감염되는 어처구니없는 일은 거의 당하지 않을꺼라 생각되므로 사용을 고려해 보시기 바랍니다.