앱체크
[clearfix]
1. 개요
대한민국 보안 업체인 CheckMAL에서 제공하는 안티 랜섬웨어 프로그램이다. 개인(비영리) 사용자는 기능이 제한된 상태로 무료로 제공되며 모든 기능을 사용하려면 Pro를 구매해야 한다.
기업, 공공기관, 교육기관 등에서 사용하기 위해서는 체크멀에 견적을 내거나 총판 통해 구매해야 한다.
자체 개발한 상황 인식 기반 랜섬웨어 행위 탐지 기술인 CARB 엔진을 사용하여 상당히 가볍고 빠르며,[4] 보조 백신으로 개발되었기 때문에 다른 안티 바이러스 제품과의 충돌이 지금까지는 별로 없다.[5] 또한 파일 훼손 시 실시간으로 원본 파일을 백업하고 롤백하는 '랜섬웨어 대피소' 기능 덕분에 탐지 이전에 파일이 이미 훼손되었거나 랜섬웨어 탐지에 실패한 경우에도 파일을 복구할 수 있다.
'''Pro가 아닌 일반 앱체크에는 랜섬웨어 결제 안내 파일 삭제 기능과 사전 차단 기능만''' 있으므로 랜섬웨어 제거는 안티 바이러스로 삭제하거나 수동으로 삭제를 하면 된다.[6]
다만 '''엔진 특성상 오진이 많은 편이다.''' 윈도우 업데이트, 윈도우 스토어앱 업데이트, 게임 패치, 넷플릭스 등과 같은 각종 업데이트 동작을 랜섬웨어 행위로 인식하는 오진이 종종 발생한다. 또한 다수의 파일을 덮어쓰기, 수정 및 삭제시에도 오진이 발생하며 CCleaner같은 최적화 프로그램이나 안티 바이러스 제품에 포함된 영구 삭제 기능 사용시에도 오진이 발생한다. 파티션매직을 랜섬웨어로 감지하는 경우도 있었다.
이는 앱체크의 '''CARB 엔진이 한꺼번에 다수의 파일을 삭제 및 이동하는 것을 파일 훼손 행위의 일종으로 인식'''하기 때문이다.[7] 그리고 이런 오진들은 엔진 특성상 해결이 쉽지 않다. 패치를 통해 오진을 개선 해도 시간이 지나 또다시 재발하는 경우가 많고, 영구 삭제 행위에 대한 오진은 그냥 받아들여야 한다.
간혹 작업 중인 파일을 전부 검역소로 보내버려 상당히 치명적인 경우도 있으니 특정 작업시에는 '''사용자 신뢰 파일'''로 등록하는 것이 좋다. 그리고 초보자의 컴퓨터에 설치해주려면 위의 오진들에 대해 미리 말을 해주는게 혹시 모를 귀찮음을 줄이는 길이다.
※'''참고 메모장, Windows 탐색기, 익스플로러(Internet Explorer)등 기타 브라우저와 윈도우 관련 파일/프로그램은 사용자 신뢰 파일 등록하면 안된다.'''
사실 컴고수부터 컴맹들까지 넓은 스펙트럼의 고객층을 가지고 있는 일반 안티 바이러스/안티 멀웨어 프로그램들이 앱체크와 같은 방식의 엔진을 도입하여 엔진 특성상 위와 같은 오진들을 일으킬 수 밖에 없다고 말한다면... 대다수 사용자들에게 쌍욕 먹고 오진 많은 백신으로 찍혀 외면받을 확률이 높다. 하지만 앱체크는 명칭부터 안티 랜섬웨어이며 랜섬웨어 방어를 위해 특히 신경 쓰는 사람들이 주로 찾기 때문에, 이런 오진들을 그냥 감수하는 경우가 많다. 왜냐하면 오진이 많은 만큼 탐지율도 발군의 성능을 자랑하기 때문이다. 얻는 것이 있으면 잃는 것도 있는 것이다.
2. 상세
여기에 목록이 있긴 하지만 공식 홈페이지로 들어가서 확인하는 것을 추천한다. Pro 버전에만 있는 기능에는 ★표시.
- 실시간 보호
기본적으로 다른 안티 바이러스에도 있는 기능. 이 기능을 끄면 기본적으로 아래 몇 기능이 비활성화 된다.
- 랜섬웨어 사전 방어
CARB 엔진을 이용해 랜섬웨어 행위를 탐지 할 경우, 자동으로 악성 프로세스 차단 및 훼손된 파일을 자동으로 복구한다. 다만 해당 기능이 특정 사용자 층에게 오진이 발생할 수 있으므로 위에서도 서술했듯이 다수의 파일을 삭제 및 이동, 수정해야 할 일이 있을 경우, 가급적 잠시 꺼두거나 해당 작업을 하는 프로세스를 앱체크에 사용자 신뢰 파일로 등록하여 사용하는 것을 권장한다. 비주얼 스튜디오, 안드로이드 스튜디오를 비롯하여 일부 프로그램을 설치 혹은 업데이트할때 특정 EXE 파일이 반복적으로 압축 파일을 해제하고 확장자를 변경하는데, 이를 앱체크에서 파일 훼손 행위로 판단하여 설치 파일을 차단 및 삭제하기도 한다. 그리고 윈도우 스토어를 통해 프로그램들이 업데이트 될 때도 오진이 자주 발생한다. 또한 소프트웨어 개발 키트를 사용할 때, 컴파일 버튼을 누른 순간 컴파일러와 SDK, 작업 파일 등을 랜섬웨어로 인식하여 검역소로 보내 이를 복구해도 파일이 꼬여서[8] 문제가 발생하는 경우도 있으며, 이는 프로그래밍을 하는 사용자인 경우 치명적이다. 이러한 점은 개발사 측에서도 언급했으며, CARB 엔진의 특성상 이는 어쩔 수 없는 일이니 반드시 사용자 신뢰 파일에 등록해 놓자.
다만 윈도우 관련 프로그램은 등록하면 안된다. 예)윈도우 탐색기(explorer.exe), 메모장, 브라우저 등등
다만 윈도우 관련 프로그램은 등록하면 안된다. 예)윈도우 탐색기(explorer.exe), 메모장, 브라우저 등등
- 랜섬웨어 대피소
파일 훼손 행위 발생 시 자동으로 랜섬웨어 대피소 폴더에 원본 파일을 저장해 사전 방어에 실패한 경우에도 데이터를 보호할 수 있다.[9]
다만 사용시 용량이 부족해지는 현상이 발생할수있으니 자동 삭제 기능 이용해서 용량 부족현상 막을수있다. 또한 수동 삭제진행가능하나 실시간 감시 종료후 진행해야한다.
다만 사용시 용량이 부족해지는 현상이 발생할수있으니 자동 삭제 기능 이용해서 용량 부족현상 막을수있다. 또한 수동 삭제진행가능하나 실시간 감시 종료후 진행해야한다.
- 랜섬웨어 차단 후 자동 치료 (★)
랜섬웨어 행위를 탐지하여 차단한 뒤, 생성된 파일에 대해 자동으로 치료(삭제)를 한다. 일반 버전은 먼저 메인화면의 (✓) 표시가 있는 원을 클릭해 랜섬웨어 결제 안내 파일을 검사하여 제거 한 뒤, 개요 문단에 있는 방법처럼 적절한 안티 바이러스나 MZ도구로 제거하면 된다. 아니면 수동으로 삭제해도 된다.
- 로그 정보 세분화
시스템 검사 결과, 검역소, 위협 로그, 일반 로그 세분화 및 세부적인 복원/제거 로그를 제공한다. 물론 다른 안티 바이러스에도 대부분 있다.
- 자동 백업 (★)
주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능이다. Pro 출시 이전에는 무료로 제공했었으나, Pro 출시 이후 Pro 전용 기능으로 재편되었다.
- MBR[* Master Boot Record의 약자로, 물리 디스크의 맨 앞에 있는 시스템 기동용 영역을 뜻한다.] 보호
PETYA, Mischa 등의 랜섬웨어의 MBR 파괴 행위에 대비하기 위해 MBR 보호 기능이 추가되었다. 원래는 Pro 버전에만 제공되었지만 2.2.0.1 버전부터는 무료 버전에도 제공된다.
- 취약점 공격 보호
2.4.1.1 버전부터 베타로 추가된 기능이었다가 2.4.10.1 버전 업데이트로 정식 릴리즈가 되었다. 무료버전도 제공한다.[10] 취약점을 이용한 랜섬웨어 공격을 차단할수 할수 있는 뿐만 아니라 취약점을 이용한 악성코드도 차단할수 있다.
- Stable 업데이트 (★)
업데이트 기능을 최대 24시간 지연시키는 기능이다. 가끔 업데이트 과정서 불안정한 업데이트가 있기 때문에 존재한다.
- 클리너
변조된 시스템 검사, 네트워크 환경 검사, 악성 프로그램 제거, 광고 프로그램 제거, 브라우저 확장 프로그램 제거, 바로가기 파일 내 악성 URL 제거, 랜섬웨어 노트 제거, 임시 파일/폴더 제거 기능 제공하고있으며 MZ도구 이용불가 상태인경우 클리너로 대체할수있다.
[image]
[image]
3. 여담
출시 초기에 '''어베스트 백신에서 Locky 랜섬웨어로 인식해 차단하는 위엄'''을 보였다. 하지만 보안 프로그램이 다른 보안 프로그램을 오진하는건 의외로 종종 있는 경우다. 왜냐하면 악성코드와 보안 프로그램은 정상 파일을 망가뜨리느냐, 악성 파일을 망가뜨리느냐의 차이가 있을 뿐, 기본적으로 시스템 깊숙한 곳에서 시스템을 감시하고 파일을 손상 및 제거한다는 부분에선 유사한 점이 많기 때문이다. 백신들이 액티브X 기반 보안 프로그램들을 자주 오진하는 이유도 이 때문이다.
당시 CheckMAL과 다수 사용자가 Avast Software와 소프트메일(어베스트코리아)에 오진 신고를 했으나, 늑장대응과 모르쇠로 일관해 비난을 받았으며 현재는 패치되어 정상적으로 사용할 수 있으나,[11] 어베스트 설정에서 강화 모드로 사용하면 아직까지 업데이트 때마다 차단하는 것으로 보인다.
하지만 이는 어베스트 강화 모드의 특징이다. 어베스트는 강화 모드 상태에서 화이트리스트 방식으로 동작하기 때문이다. 따라서 업데이트 때마다 새 버전을 어베스트에서 신뢰 등록 해주어야만 한다. 하지만 어베스트 입장에선 앱체크는 하루에도 어마어마하게 출시되고 업데이트되는 전세계 수많은 프로그램들 중 하나일 뿐이므로 앱체크만 특별 대우로 무조건 패스시켜줄 수 없는 부분도 있다. 앱체크 사용자가 더 많아지게 되면 등록이 더욱 빨라질 것으로 예상된다.
홈페이지에 있는 온라인 문의의 대응이 상당히 빠른 편이다. 제품 오류 및 개선을 문의하면 빠르게 반영해 업데이트한다.
해외 유명 IT 매체 테크레이더에서 2017 최고의 유료 안티랜섬웨어로 선정되었다. 탁월한 탐지 성능 및 랜섬웨어 시뮬레이션 테스트에서 우수한 차단율을 입증했다. 체크멀 '앱체크 프로', 최고 안티랜섬웨어 솔루션 선정
위의 기사는 홍보 정도로 여기면 된다. 왜냐하면 테크레이더에서 소개한 2017 최고의 유료 안티랜섬웨어 5개 제품 중 실제 안티랜섬웨어는 앱체크와 존알람 안티랜섬웨어 뿐이고, 나머지 3개는 일반 유료 백신이기 때문이다.The best paid anti-ransomware software 2017
그러나 용어의 함정도 있는데, 무료 안티랜섬웨어는 유료가 아니어서 2017 최고의 무료 안티랜섬웨어에 따로 소개되어 있다. 그리고 안티 랜섬웨어의 정의를 얼마나 넓게 봤는지 엉뚱하게 랜섬웨어 해독 도구가 3개나 들어있다. The best free anti-ransomware software 2017 해독 도구로 문제를 해결할 수 있으니 말이 안 되는 건 아니지만 랜섬웨어 차단이나 '피해 예방'과는 관련 없다는 점에서 조심해야 한다.
여튼, 앱체크의 랜섬웨어 차단 능력만큼은 2017 최고의 유료 안티랜섬웨어 5개 제품 중 하나로 손 꼽히기에 충분하다.
제작사인 체크멀 홈페이지에는 랜섬웨어 방어 영상이 1708개(2020년 3월 24일 기준) 이상 등록되어 있으며, 특정 랜섬웨어에 대한 정보가 궁금하다면 이곳에서 검색으로 쉽게 찾아볼 수 있다.
네이버 소프트웨어 다운로드에 PC 포멧 후 필수 S/W에도 올라와 있다.
Backup(AppCheck) 폴더에 파일을 넣을 경우 삭제되므로 주의해야 한다.
4. 같이 보기
- 무료백신 - 무료 백신 프로그램 목록
- 소프트웨어/목록#s-6 - 안티 바이러스 소프트웨어 목록
[1] 상황 인식 기반 랜섬웨어 행위 탐지('''C'''ontext-'''A'''wareness Based '''R'''ansomware '''B'''ehavior Detection) 의 약자다.[2] 릴리즈 노트[3] SHA-2 지원되게 업데이트한 운영체제만[4] 시그니처 없이 파일이 변경되는 시점에 정상적인 변경인지 아닌지만 판단하여 랜섬웨어를 탐지한다.[5] 하지만 보조 백신이라 해도 충돌은 절대 없을 것이라고 장담할 순 없다. 이는 다른 보조 백신도 마찬가지이며, 뭔가 문제가 생긴다면 보조 백신부터 비활성화 혹은 삭제해보는 것을 추천한다.[6] 예) Malware Zero, 앱체크 클리너, 공식백신으로 제거[7] 그 예로 Adobe Camera Raw 에서 여러 장의 사진을 한꺼번에 편집하고 저장하면, 저장을 못하고 꺼지는 오류가 생긴다. [8] 대표적으로 안드로이드 SDK의 경우 다 설치하면 100GB(...) 넘는 정도에 약 30만 개의 파일이 있다.[9] 간혹 사용자가 직접 지우는 파일도 여기로 이동하는 경우가 있으니 디스크 정리후에도 용량 변화가 없거나 갑자기 늘어나는 경우에는 대피소를 확인해보자.[10] 다만 오피스는 제외[11] 참고