본문 바로가기

프로그래밍/Tool

체크멀 AppCheck 한계점...

반응형


1년전만 해도 체크멀의 앱체크 제품은 단순히 행위기반을 탐지하여 랜섬웨어를 차단하는 솔루션으로 기억하고 있다.

그때까지만해도 행위기반으로 어지간한 랜섬웨어들은 차단했던걸로 기억하고 있으며,

많은 취약점이 있겠지만서도... 단연 기억나는 것은

하나의 프로세스가 10개 이하의 파일을 암호화 할 때 탐지를 못하던 부분이었다.


최근에는 패치가 많이 되었는지 Ui도 변경이 되고 기능들이 많이 추가되었다.


그 중에서도 단연 눈에 보이는 것은 시스템 검사 기능이 추가된 것이라고 볼 수 있는듯 하다.

행위기반으로 인지도가 있었던 프로그램이였는데.. 왜 이런 기능이 생겼나 궁금해졌다...


시스템 검사라함은 결국 블랙리스트의 랜섬웨어 또는 멀웨어와 같은 프로그램의 해쉬 값을 저장하여

파일 IO가 일어날 때마다 비교하여 차단 또는 실행한다는것 아닌가..


그렇다는 것은 결국 안티 바이러스 프로그램이란 것인데...

제품 설명에는 또 그렇지도 않은 듯 하다..


사진출처: https://www.checkmal.com/product/appcheck/


"기존 백신과 호환 가능하고," ... 

앱체크의 기능과  앱체크 설명에 대한 텍스트만 봤을 때 뭔가 모순이 있지 않나....


필자가 생각하기에는 기존 랜섬웨어 차단 솔루션들은 안티바이러스 솔루션 + 랜섬웨어 차단 솔루션과 같이 생각으로

그 기능이 백업이 되었든.. 파일 암호화 차단 기능이 되었든 안티바이러스 영역은 침범하지 않으며 해당 솔루션과 같이 설치되는 모양새였다.


당연히 앱체크 초기 버전도 그런 모양새로 기억하고 있었다.

하지만 지금 버전은 앱체크 자체가 안티바이러스 솔루션을 지향하고 있는것으로 판단한다.


여기서 궁금한 것은

그렇다면 왜 제품 설명에는 기존 백신과 호환 가능하고.. 라는 문구를 넣었을까?

기존 백신과 호환되는건 당연한거지만... 

사용자가 사용하고있는 백신 프로그램에 추가적으로 백신프로그램 설치를 해야 되는 것인가?

그렇다면 보안이 더 강력해지는 것인가? 또 그런 것도 아니면서 ...?



해당 이미지는 매트릭스라는 랜섬웨어를 돌린 것이다.

결과는 뚫렸다. 파일이 다 암호화 되었다.

앱체크를 실행하고 있었음에도 불구하고...


물론 앱체크에서는 일반적인 매트릭스 랜섬웨어는 잘 막는다.

당연히 잘 막아야 한다. 왜냐하면 알려진 랜섬웨어이기 때문이다.

그리고 블랙리스트의 기반으로 파일을 차단하고 있기 때문이다.


블랙리스트의 최대 단점이 무엇일까?

비슷한 악성프로그램이 조금만 변조되도 탐지하질 못한다.


행위기반의 최대 단점은 무엇일까?

특정 행위에 대한 패턴이 조금만 변조되도 탐지하질 못한다.


필자는 이러한점을 알고 매트릭스 랜섬웨어에 대한 해쉬값을 조작해 실행하였다.


결과는? 뚫렸다.. 

필자는 이런 생각을 해봤다.

만약 체크멀에서 행위기반에 대한 탐지 기술을 좀 더 발전 시켰더라면 

변조된 매트릭스 랜섬웨어는 막았을텐데... 너무 블랙리스트에 대한 값을 믿은게 아닌가.....

게다가 당연히 앱체크 프로그램은 예전보다 무거워졌을거라고 생각한다.


예전에 라이트한 맛이 사라졌다라고 해야되나?




그렇다면 왜? 안티바이러스솔루션에서 사용하는 기능이 앱체크에 추가가 된 것인가를 생각해볼만한데


필자가 보기엔  딱 두가지 이유로 보면 될 듯하다.

첫째는 행위기반에 대한 한계점을 드러내자 해결방안이 없어서

둘째는 원래 목표하던 바가 안티바이러스 솔루션의 영역이라서


물론 현재 상황만 본다면

첫번째 이유인것처럼 보일 뿐이다..

반응형