안티바이러스 소프트웨어 | ||
{{{#!wiki style="margin:0 -10px -5px" {{{#!folding [ 펼치기 · 접기 ] {{{#!wiki style="margin:-6px -1px -11px" | <rowcolor=#333333,#dddddd> 엔진 | 백신 목록 |
V3 | <colbgcolor=#fff,#1f2023> V3 · V3 Lite | |
비트디펜더 | 비트디펜더 · 바이러스체이서 · 알약 · 터보백신 · nProtect · 바이로봇 · EMSISOFT | |
Avira | 아비라 · 엑소스피어 | |
ClamAV | ClamAV · ClamWin | |
어베스트 | AVG · 어베스트 | |
자체 엔진 | 트렌드마이크로 · Comodo · ESET · herdprotect · IKARUS · McAfee · 노턴 시큐리티 · 카스퍼스키 · 멀웨어바이트 · Panda Cloud Antivirus · Microsoft Defender · 키콤백신 · 앱체크 · 네이버 백신 |
<colbgcolor=#21B252><colcolor=#fff> 앱체크 AppCheck | ||
개발사 | 체크멀 | |
엔진 | CARB[1] | |
라이선스 | 개인 | 일부 기능 무료 |
개인 · 기업 | 유료 | |
최신 버전[2] | 3.1.38.1 | |
플랫폼 | Windows 7 SP1[3] ~ 11, | Linux | |
공식 홈페이지 |
[clearfix]
1. 개요
대한민국 보안 업체인 CheckMAL에서 제공하는 안티 랜섬웨어 프로그램이다. 개인 사용자는 기능이 제한된 상태로 무료로 제공되며 모든 기능을 사용하려면 Pro를 구매해야 한다. 기업, 공공기관, 교육기관 등에서 사용하기 위해서는 체크멀에 견적을 내거나 총판을 통해 구매해야 한다.2. 특징
자체 개발한 상황 인식 기반 랜섬웨어 행위 탐지 기술인 CARB 엔진을 사용하여 상당히 가볍고 빠르며,[4] 보조 백신으로 개발되었기 때문에 다른 백신 프로그램 제품과의 충돌이 지금까지는 별로 없다.[5] 또한 파일 훼손 시 실시간으로 원본 파일을 백업하고 롤백하는 '랜섬웨어 대피소' 기능 덕분에 탐지 이전에 파일이 이미 훼손되었거나 랜섬웨어 탐지에 실패한 경우에도 파일을 복구할 수 있다.Pro가 아닌 일반 앱체크에는 랜섬웨어 결제 안내 파일 삭제 기능과 사전 차단 기능만 있으므로[6] 앱체크에 의해 랜섬웨어가 감지, 차단되었다면 그 후 제거는 자신이 쓰는 주력 백신 프로그램이나 Malware Zero로 삭제하거나 수동으로 삭제를 하면 된다.
다만 엔진 특성상 오진이 많은 편이다. 윈도우 업데이트, 윈도우 스토어앱 업데이트, 게임 패치, 넷플릭스 등과 같은 각종 업데이트 동작을 랜섬웨어 행위로 인식하는 오진이 종종 발생한다. 또한 다수의 파일을 덮어쓰기, 수정 및 삭제시에도 오진이 발생하며 CCleaner같은 최적화 프로그램이나 백신 프로그램에 포함된 영구 삭제 기능 사용시에도 오진이 발생한다. 파티션매직을 랜섬웨어로 감지하는 경우도 있었다.
이는 앱체크의 CARB 엔진이 한꺼번에 다수의 파일을 삭제 및 이동하는 것을 파일 훼손 행위의 일종으로 인식하기 때문이다.[7] 그리고 이런 오진들은 엔진 특성상 해결이 쉽지 않다. 패치를 통해 오진을 개선 해도 시간이 지나 또다시 재발하는 경우가 많고, 영구 삭제 행위에 대한 오진은 그냥 받아들여야 한다.
간혹 작업 중인 파일을 전부 검역소로 보내버려 상당히 치명적인 경우도 있으니 특정 작업시에는 예외 설정로 등록하는 것이 좋다. 그리고 초보자의 컴퓨터에 설치해주려면 위의 오진들에 대해 미리 말을 해주는게 혹시 모를 귀찮음을 줄이는 길이다.
※참고 메모장, Windows 탐색기, 익스플로러(Internet Explorer)등 기타 브라우저와 윈도우 관련 파일/프로그램은 예외 설정 등록하면 안된다.
사실 컴고수부터 컴맹들까지 넓은 스펙트럼의 고객층을 가지고 있는 일반 안티 바이러스/안티 멀웨어 프로그램들이 앱체크와 같은 방식의 엔진을 도입하여 엔진 특성상 위와 같은 오진들을 일으킬 수 밖에 없다고 말한다면 대다수 사용자들에게 쌍욕 먹고 오진 많은 백신으로 찍혀 외면받을 확률이 높다. 하지만 앱체크는 명칭부터 안티 랜섬웨어이며 랜섬웨어 방어를 위해 특히 신경 쓰는 사람들이 주로 찾기 때문에, 이런 오진들을 그냥 감수하는 경우가 많다. 왜냐하면 오진이 많은 만큼 탐지율도 발군의 성능을 자랑하기 때문이다. 얻는 것이 있으면 잃는 것도 있는 것이다.
3. 기능
▲ AppCheck 메인 화면 |
▲ AppCheckPro 메인 화면 |
여기에 목록이 있긴 하지만 공식 홈페이지로 들어가서 확인하는 것을 권장한다. Pro 버전에만 있는 기능에는 ★표시.
- 실시간 보호
실시간으로 랜섬웨어를 감지하는 실시간 감시 기능.
- 랜섬웨어 사전 방어
CARB 엔진을 이용해 랜섬웨어 행위를 탐지 할 경우, 자동으로 악성 프로세스 차단 및 훼손된 파일을 자동으로 복구한다. 다만 해당 기능이 특정 사용자 층에게 오진이 발생할 수 있으므로 위에서도 서술했듯이 다수의 파일을 삭제 및 이동, 수정해야 할 일이 있을 경우, 가급적 잠시 꺼두거나 해당 작업을 하는 프로세스를 앱체크에 사용자 신뢰 파일로 등록하여 사용하는 것을 권장한다. 비주얼 스튜디오, 안드로이드 스튜디오를 비롯하여 일부 프로그램을 설치 혹은 업데이트할때 특정 EXE 파일이 반복적으로 압축 파일을 해제하고 확장자를 변경하는데, 이를 앱체크에서 파일 훼손 행위로 판단하여 설치 파일을 차단 및 삭제하기도 한다. 그리고 윈도우 스토어를 통해 프로그램들이 업데이트 될 때도 오진이 자주 발생한다. 또한 소프트웨어 개발 키트를 사용할 때, 컴파일 버튼을 누른 순간 컴파일러와 SDK, 작업 파일 등을 랜섬웨어로 인식하여 검역소로 보내 이를 복구해도 파일이 꼬여서[8] 문제가 발생하는 경우도 있으며, 이는 프로그래밍을 하는 사용자인 경우 치명적이다. 이러한 점은 개발사 측에서도 언급했으며, CARB 엔진의 특성상 이는 어쩔 수 없는 일이니 반드시 사용자 신뢰 파일에 등록해 놓자. 다만 윈도우 관련 프로그램은 등록하면 안된다. 예)윈도우 탐색기(explorer.exe), 메모장, 브라우저 등등
- 랜섬웨어 대피소
파일 훼손 행위 발생 시 자동으로 랜섬웨어 대피소 폴더에 원본 파일을 저장해 사전 방어에 실패한 경우에도 데이터를 보호할 수 있다.[9] 다만 사용시 용량이 부족해지는 현상이 발생할 수 있으니 자동 삭제 기능 이용해서 용량 부족 현상을 막을 수 있다. 또한 수동 삭제 진행 가능하나 실시간 감시 종료 후 진행해야한다.
- 랜섬웨어 차단 후 자동 치료 (★)
랜섬웨어 행위를 탐지하여 차단한 뒤, 생성된 파일에 대해 자동으로 치료(삭제)를 한다. 무료 버전은 먼저 메인화면의 (✓) 표시가 있는 원을 클릭해 랜섬웨어 결제 안내 파일을 검사하여 제거 한 뒤, 적절한 백신 프로그램이나 Malware Zero로 제거하면 된다. 아니면 수동으로 삭제해도 된다.
- 고급 탐지 기능(고스트 탐지, 스마트 탐지) 추가를 통한 랜섬웨어 차단 기능 강화(★)
고스트, 스마트 탐지 기술을 통한 더 강력해진 랜섬웨어 차단
- 위협 차단 기능 (★)
시스템 복원 및 시스템 설정을 보호하는 부가적인 보호 기능
- 로그 정보 세분화
시스템 검사 결과, 검역소, 위협 로그, 일반 로그 세분화 및 세부적인 복원/제거 로그를 제공한다.
- 자동 백업 (★)
주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능이다. Pro 출시 이전에는 무료로 제공했었으나, Pro 출시 이후 Pro 전용 기능으로 재편되었다.
- MBR[]Master Boot Record의 약자로, 물리 디스크의 맨 앞에 있는 시스템 기동용 영역을 뜻한다.] 보호[11]
PETYA, Mischa 등의 랜섬웨어의 MBR 파괴 행위에 대비하기 위해 MBR 보호 기능이 추가되었다. 원래는 Pro 버전에만 제공되었지만 2.2.0.1 버전부터는 무료 버전에도 제공된다.
- 취약점 공격 보호
2.4.1.1 버전부터 베타로 추가된 기능이었다가 2.4.10.1 버전 업데이트로 정식 릴리즈가 되었다. 무료버전도 제공한다.[12] 취약점을 이용한 랜섬웨어 공격을 차단할수 할수 있는 뿐만 아니라 취약점을 이용한 악성코드도 차단할수 있다.
3.1.31.2 버전 부터 구글 크롬 더이상 취약점 차단 제공하지않는다.
- Stable 업데이트 (★)
업데이트 기능을 최대 24시간 지연시키는 기능이다. 가끔 업데이트 과정서 불안정한 업데이트가 있기 때문에 존재한다.
4. 방어목록
그외에는 랜섬웨어 정보와체크멀이 분석한 랜섬웨어 목록및 5번문단 참고.5. 여담
- 출시 초기에 어베스트에서 앱체크를 Locky 랜섬웨어로 인식해 차단하는 위엄을 보였다. 보안 프로그램이 다른 보안 프로그램을 오진하는건 의외로 종종 있는 경우다. 왜냐하면 악성코드와 보안 프로그램은 정상 파일을 망가뜨리느냐, 악성 파일을 망가뜨리느냐의 차이가 있을 뿐, 기본적으로 시스템 깊숙한 곳에서 시스템을 감시하고 파일을 손상 및 제거한다는 부분에선 유사한 점이 많기 때문이다. 백신들이 액티브X 기반 보안 프로그램들을 자주 오진하는 이유도 이 때문이다. 당시 CheckMAL과 다수 사용자가 Avast Software와 소프트메일(어베스트코리아)에 오진 신고를 했으나 늑장대응과 모르쇠로 일관해 비난을 받았다. 현재는 패치되어 정상적으로 사용할 수 있으나,[13] 어베스트 설정에서 강화 모드로 사용하면 아직까지 업데이트 때마다 차단하는 것으로 보인다. 이는 어베스트 강화 모드의 특징이다. 어베스트는 강화 모드 상태에서 화이트리스트 방식으로 동작하기 때문이다. 따라서 업데이트 때마다 새 버전을 어베스트에서 신뢰 등록 해주어야만 한다. 하지만 어베스트 입장에선 앱체크는 하루에도 어마어마하게 출시되고 업데이트되는 전세계 수많은 프로그램들 중 하나일 뿐이므로 앱체크만 특별 대우로 무조건 패스시켜줄 수 없는 부분도 있다. 앱체크 사용자가 더 많아지게 되면 등록이 더욱 빨라질 것으로 예상된다.
- 홈페이지에 있는 온라인 문의의 대응이 상당히 빠른 편이다. 제품 오류 및 개선을 문의하면 빠르게 반영해 업데이트한다.[14]
- 해외 유명 IT 매체 테크레이더에서 2017 최고의 유료 안티랜섬웨어로 선정되었다. 탁월한 탐지 성능 및 랜섬웨어 시뮬레이션 테스트에서 우수한 차단율을 입증했다.# 다만 이 기사는 홍보 정도로 여기면 된다. 왜냐하면 테크레이더에서 소개한 2017 최고의 유료 안티랜섬웨어 5개 제품 중 실제 안티랜섬웨어는 앱체크와 존알람 안티랜섬웨어 뿐이고, 나머지 3개는 일반 유료 백신이기 때문이다. 용어의 함정도 있는데, 무료 안티랜섬웨어는 유료가 아니어서 2017 최고의 무료 안티랜섬웨어에 따로 소개되어 있다. 그리고 안티 랜섬웨어의 정의를 얼마나 넓게 봤는지 엉뚱하게 랜섬웨어 해독 도구가 3개나 들어있다. The best free anti-ransomware software 2017 해독 도구로 문제를 해결할 수 있으니 말이 안 되는 건 아니지만 랜섬웨어 차단이나 '피해 예방'과는 관련 없다는 점에서 조심해야 한다. 여튼, 앱체크의 랜섬웨어 차단 능력만큼은 2017 최고의 유료 안티랜섬웨어 5개 제품 중 하나로 손 꼽히기에 충분하다.
- 제작사인 체크멀 홈페이지에는 랜섬웨어 방어 영상이 2812개(2024년 5월 10일 기준) 이상 등록되어 있으며, 특정 랜섬웨어에 대한 정보가 궁금하다면 이곳에서 검색으로 쉽게 찾아볼 수 있다.
- Backup(AppCheck) 폴더에 파일을 넣을 경우 삭제되므로 주의해야 한다.
- 2020년 8월 20일 경부터 Windows 코어 격리(메모리 무결성) 옵션을 켜놓을 경우, 앱체크 실시간 보호가 켜지질 않는다. 이는 개발사도 인지하고 있는 문제. 코어 격리로 인해 앱체크(AppCheck) 실시간 보호가 시작되지 않는 문제 그러나 2년 이상 지난 2022년 9월 28일 시점이 되어서도 고쳐지지 않고 있다. Windows 11부터는 운영체제 설치와 동시에 코어 격리가 자동 활성화 되기 때문에, 앱체크 측에서 고쳐야 하는 문제다. 2023년 3월 30일 지원하게 되었으며 Windows 코어 격리(메모리 무결성) 활성화되어도 이상없이 이용가능하게 패치되었다.
- 파일을 대량으로 복사/붙혀넣기 하면 랜섬웨어로 오진하는 문제가 있다. 만약 신뢰할만한 파일이 확실하다면 앱체크를 잠시 끈 다음 복사를 하면 된다. 경고 실시간감시 끄기 귀찮다고 윈도우 탐색기(Windows 탐색기) 신뢰 등록하지말자 랜섬웨어는 윈도우 탐색기(Windows 탐색기) 이용해서 공격하기 때문에 신뢰 등록은 위험하다.
6. 같이 보기
[1] 상황 인식 기반 랜섬웨어 행위 탐지(Context-Awareness Based Ransomware Behavior Detection) 의 약자다.[2] 릴리즈 노트[3] SHA-2 설치된 운영체제이상[4] 시그니처 없이 파일이 변경되는 시점에 정상적인 변경인지 아닌지만 판단하여 랜섬웨어를 탐지한다.[5] 하지만 보조 백신이라 해도 충돌은 절대 없을 것이라고 장담할 순 없다. 이는 다른 보조 백신도 마찬가지이며, 뭔가 문제가 생긴다면 보조 백신부터 비활성화 혹은 삭제해보는 것을 추천한다.[6] 과거에는 무료판에도 시스템 청소와 함께 악성코드를 제거를 수행하는 전용 클리너가 제품에 같이 제공되었으나 2022년 4월 11일자 업데이트 된 3.1.17.1 버전부터 해당 기능이 삭제되었다.[7] 그 예로 Adobe Camera Raw 에서 여러 장의 사진을 한꺼번에 편집하고 저장하면, 저장을 못하고 꺼지는 오류가 생긴다.[8] 대표적으로 안드로이드 SDK의 경우 다 설치하면 100GB(...) 넘는 정도에 약 30만 개의 파일이 있다.[9] 간혹 사용자가 직접 지우는 파일도 여기로 이동하는 경우가 있으니 디스크 정리후에도 용량 변화가 없거나 갑자기 늘어나는 경우에는 대피소를 확인해보자.[] [11] MBR 보호라는 기능이 문자 그대로 'MBR만' 보호하는지 어떤지 모르겠지만, 만일 그렇다면 최근 컴퓨터들은 MBR 보호에 대한 의미가 없다. 레거시가 아닌 UEFI 방식으로 Windows 11을 설치하면 MBR이 아닌 GPT를 이용하기 때문...[12] 다만 오피스는 제외[13] 참고[14] 단 상황에 따라 늦게 답변올수도 있다. 최소 사흘 지나도 답장이 없으면 재문의해보자