본문 바로가기

벌새::Software

avast! 강화 모드(Hardened Mode) 이해하기

해외 avast! 백신 제품(avast! Free Antivirus, avast! Internet Security, avast! Premier)에는 기본값에서는 활성화되지 않는 강화 모드(Hardened Mode) 기능이 포함되어 있습니다.

 

최근 랜섬웨어(Ransomware) 악성코드에 대한 공포심이 상당히 높다는 점에서 avast! 강화 모드(Hardened Mode)는 랜섬웨어(Ransomware) 변종에도 1차적으로 차단이 가능할 것이라고 개인적으로 생각하고 있습니다.

 

하지만 avast! 백신에서 안내하는 강화 모드(Hardened Mode)를 제대로 이해하고 사용할 수 있는 사용자는 과연 얼마나 될 수 있느냐는 회의론도 개인적으로 매우 강하므로 자세하게 살펴보도록 하겠습니다.

avast! 백신 프로그램을 최초 설치한 환경에서는 강화 모드(Hardened Mode)는 비활성화된 상태이며, 사용자가 체크를 통해 설정을 한 경우에만 동작하는 보안 기능입니다.

 

강화 모드(Hardened Mode)에 대한 안내문에서는 "이 컴퓨터의 보안 성능을 한층 더 높일 수 있는 Avast 강화 모드를 사용하십시오. 이 모드는 경험이 없는 사용자에게 권장됩니다.(Use the Avast Hardened mode to further lock down the security of this computer. This is recommended for inexperienced users.)"라는 메시지를 제공하고 있습니다.

 

특별히 붉은색으로 표시한 경험이 없는 사용자(Inexperienced user)에게 강화 모드(Hardened Mode)를 권장한다는 다소 무책임한 내용을 통해 어떻게 동작하는지를 보면서 과연 일반 사용자들이 효과적으로 사용이 가능한지에 대해 생각해 보겠습니다.

 

우선 강화 모드(Hardened Mode)는 반드시 "평판 서비스 사용" 기능을 사용할 때에만 정상적으로 동작하며 그런 이유는 다음과 같습니다.

  • 강화 모드 사용(보통 - Moderate) : 실행되는 파일 평판(Reputation)이 신뢰할 수 없을 경우 기본적으로 차단합니다.
  • 강화 모드 사용(공격적 - Aggressive) : avast! 보안 업체의 화이트 리스트(신뢰 목록)에 포함된 파일만 실행을 허용합니다.

즉, 강화 모드(Hardened Mode)는 실행되는 파일을 평판 서비스 기능을 통해 avast! 서버에서 파일 평판 조회를 통해 실행 여부를 자동으로 결정하는 보안 기능입니다.

만약 유효한 디지털 서명이 포함된 정상 파일을 실행할 경우 "프로그램이 차단됨 - Avast 강화 모드가 프로그램을 차단하여 컴퓨터에서 시작할 수 없습니다."라는 차단창이 생성되는 형태로 강화 모드(Hardened Mode)는 기존에 보고된 파일이 아니거나 분석을 통해 신뢰 파일로 분류되지 않은 경우에는 1차적으로 차단하게 됩니다.

 

단지 차단된 프로그램에 대한 추가적인 어떠한 정보를 제공하지 않은 상태에서 사용자의 판단에 따라 "제외 추가"를 하여 실행을 결정하도록 한다는 점은 과연 경험없는 사용자에게 권장할 기능인지는 매우 의문이 듭니다.

만약 사용자가 강화 모드(Hardened Mode)를 통해 차단된 파일의 실행 여부를 결정하지 못한 상태로 그대로 유지할 경우 일정 시간이 경과하면 "지정한 장치, 경로 또는 파일에 액세스할 수 없습니다. 이 항목에 액세스할 수 있는 권한이 없는 것 같습니다." 메시지 창을 생성하며 파일 실행을 허용하지 않습니다.

만약 사용자의 판단에 따라 파일 제외를 통해 실행을 허용할 경우 제외 정보는 avast! 설정창의 "일반 → 제외 → 강화 모드" 항목에서 확인할 수 있으며, 동일한 경로와 파일명으로 추가된 경우에도 Hash 고유값이 다른 동일 이름의 파일 실행시에는 파일 평판에 따라 실행 여부를 물어볼 수 있습니다.

또 하나의 avast! 강화 모드(Hardened Mode) 사용상의 문제점은 컴퓨터를 사용하던 중 "C:\Windows\Temp\AC406A.tmp"와 같이 경로와 파일명으로는 전혀 확인할 수 없는 파일 실행을 차단할 경우 과연 사용자가 효과적으로 판단할 수 있느냐는 점입니다.

 

앞서의 경우에는 사용자가 직접 실행한 경우인데 반하여 이번 경우에는 기존에 설치된 어떤 프로그램이 추가적인 파일을 자동 실행한 경우이므로 경험 많은 사용자일지라도 해당 차단에 대한 효과적인 결정은 어렵다는 점입니다.

 

물론 파일 차단이 이루어진다고 하여 시스템에 큰 문제가 발생하고 영원히 프로그램을 사용할 수 없다는 것은 아니지만 avast! 보안 제품에서 제공하는 비경험자에게 강화 모드(Hardened Mode)를 권장한다는 안내는 다소 무책임해 보입니다.

 

아무튼 avast! 제품 사용자 중에서 랜섬웨어(Ransomware) 악성코드를 비롯한 다양한 보안 위협에 대한 걱정이 많을 경우에는 강화 모드(Hardened Mode) 설정을 하신다면 웹 사이트를 방문하는 과정에서 자동으로 악성코드에 감염되는 어처구니없는 일은 거의 당하지 않을꺼라 생각되므로 사용을 고려해 보시기 바랍니다.

  • 사용하면 무조건 차단이 아니라 수상한 건데 실행할꺼냐 말꺼냐 물어봤으면 좋겠어요.
    지금껀 불편해서 쓰실분이 얼마나 계실지 싶네요

  • 처음 강화모드가 추가될 때에는 경험 없는 사용자에게 추천한다는 예시로
    노인분들이 인터넷만 쓰시는 컴퓨터에 활성화 해드리면 좋다.. 이런식으로 소개했던것으로 기억합니다

  • 강화모드 정말 강하죠,앞서 글에적은것처럼 너무 자주 차단이 되더라고요.특히 앱체크를 설치및제거 할때 말이죠

  • ㅇㅇ 2015.12.29 19:45 댓글주소 수정/삭제 댓글쓰기

    엠체크에 파괴 행위 탐지 사용 기능도 강화모드랑 비슷한 기능인가요?

    오늘 다음팟플 업데이트가 있다고 해서
    업데이트를 실행했더니 실행파일을 차단해버리네요.

    파괴 행위 탐지 사용 체크를 풀고 나서 업데이트를 진행이 됐습니다.

    • 팟플 차단 문제는 멀티 엔진 중 특정 백신에서 오진하는 문제입니다.

      해당 오진 문제는 처리하였으므로 앱체크 메뉴 중 검사 결과 보기를 클릭하여 오진한 파일(PotPlayerSetup_51.exe 추정)을 더블 클릭하여 웹 브라우저로 검사 페이지가 연결되도록 한 후 F5 기능키를 클릭하시면 정상 파일로 변경될겁니다.

      파괴 행위 탐지 기능은 랜섬웨어 변종 중 다른 방식으로 파일을 암호화하여 삭제하는 문제에 대한 대응입니다.

    • ㅇㅇ 2015.12.29 19:54 댓글주소 수정/삭제

      그렇군요. 감사합니다.

  • 어베스트 강화모드로 랜섬웨어 차단이 되는지 실험해 보겠습니다.