[생각] 카스퍼스키 랩의 무료 안티바이러스 카스퍼스키 프리(Kaspersky Free)?

카스퍼스키 프리(Kaspersky Free)?

- 영문 버전 Kaspersky Free(카스퍼스키 프리) 다운로드

Kaspersky Lab(카스퍼스키 랩) 20주년과 함께 글로벌 버전 배포의 시작으로 미국과 캐나다에 무료 안티바이러스(Free-Antivirus) 소프트웨어인 Kaspersky Free(카스퍼스키 프리)를 공개했다. 한국과 일본의 경우는 10월 12일 배포한다.

20주년이라는 명분도 있지만 그 동안 무료 안티바이러스 제품에 대해 소문만 만들며 러시아와 주변 몇 국가만 테스트 형식으로 배포하며 글로벌 버전에 대해서는 지지부진하고 미루다 미국 정부기관이 공급업체 목록에서 카스퍼스키 랩의 제품을 삭제한 후에 공개한 건 단순히 오이비락일까?

그게 아니면 Microsoft 윈도우 10의 계속되는 자체적인 보안기능 강화 정책 때문에 위기의식을 느낀 걸까? 둘 모두라고 본다. 특히 서두르게 된 배경에는 후자의 영향이 좀 더 크다고 보는데 Microsoft 의 행보를 보면 윈도우10 차기 업데이트인 폴 크리에이터 업데이트(Fall Creators Update)를 기점으로 서드파티 보안 소프트웨어의 필요성이 급감 할 수 있다고 보기 때문이다. Microsoft가 윈도우 10을 이용해서 머신런닝을 하고 있기 때문에 요즘보면 탐지율이 좋고 빠르게 신종 악성코드에 대응하고 있는 걸 알 수 있다.

러시아의 미국 대선 해킹 개입(미국 민주당 이메일 해킹, 미국 대선의 투표 시스템에 해킹 시도 등등) 이후 실질적인 조치로 미국 정부기관이 카스퍼스키 랩의 보안 소프트웨어 제품을 목록에서 삭제한 것도 어느정도 이해 할 수 있는 조치였다고 본다.

물론 카스퍼스키 랩은 카스퍼스키 랩과 러시아 정부의 유착 의혹에 대해서는 단순히 정치가 개입한 지정학적 싸움이라는 주장을 프레임으로 내세워 싸우고 있고 소스코드 제공(보안 소프트웨어는 외국 정부에 수주할 때 원래 소스코드를 제공해서 검사받기에 그리 새로운 일도 아니다)등을 제안하기도 했지만 실제로 데이터 센터와 회사가 러시아 안에 있고 러시아 안에서 관리가 되고 있는한 소스코드를 제공하는 자체는 그리 큰 의미가 없다.

보안 소프트웨어가 작동하는 원리와 기능 자체가 OS와 밀접하고 통로가 될 수 있기에 소스코드에 악의적 코드가 있는지 없는지는 문제가 안된다 그걸 관리하는 사람들이 누구고 어디에 데이터가 수집되는지가 중요하기 때문이다. 결국 언제나 보안의 중요도를 따진다면 결국은 '사람'이 가장 중요하다. 그런 면에서 유진 카스퍼스키는 미국의 의혹을 사기에 너무나 좋은 명분이다.

이런 사용자 디바이스의 정보 제공(유출이 될 수 있는)이 비단 카스퍼스키 랩만 그러는 건 아니고 대다수 유명 보안 소프트웨어는 성능향상과 보안이라는 명분으로 상당히 포괄적인 사용자 데이터를 수집하고 있다. 러시아의 카스퍼스키와 미국의 시만텍 노턴은 로컬 IP 주소 정보까지는 수집 안 하지만 역시 광범위하게 사용자 데이터를 수집하고 있고 Microsoft, McAfee, Trend Micro, Vipre, Webroot (모두 미국업체)와 Avast (체코)는 한 술 더 떠서 사용자 컴퓨터의 로컬 IP 주소 정보도 수집하고 있다 그러나 이 모든 걸 합친다해도 윈도우 10의 데이터 마이닝을 보면 Microsoft 승리라고 할 수 있겠지만 말이다.

한국 정부기관이 보안 소프트웨어로 만약 일본에 데이터 센터를 둔 보안회사의 보안 소프트웨어를 사용 한다면 그 기업의 투명성 이전에 우려의 목소리가 분명히 있을 것이다. 만약 일본에서 한국 대선과 관련해서 해킹을 했다는 정황이 포착되었다면 지금의 미국 수준이 아닐거라고 본다.

미국에 뛰어난 보안기술자나 회사가 없는 것도 아니고 굳이 정부기관이나 중요 기반시설에 잠재적 위험이 있는 러시아 소프트웨어 제품을 승인해서 사용할 필요는 없다고 보고 원래 사용하고 있지도 않았다. 미국 각 주의 공공기관이나 교육기관에 카스퍼스키 제품 사용을 하고 있었어도 원래부터 미국 중요 기관들(군이나 정보기관)은 카스퍼스키 랩 제품을 사용하고 있지 않았다 따라서 그나마 계약관계에 있던 기관들마저 다 떨어져나가게 된 카스퍼스키 랩이 억울(?)할 수는 있어도 감내해야 할 부분이라고 본다.

카스퍼스키 랩이 미국 정보국의 타겟이 된 이유 중에 하나는 미국의 스파이툴들(국가 레벨의 투자가 들어간 정교한 사이버무기)을 탐지해서 그걸 공개한 곳이 카스퍼스키 랩이니 당연히 러시아 정부가 운용할 거라고 생각되는 해킹팀이나 정보국과 연관이 없는 이상 이걸 추적, 탐지한 과정에 대해서도 의혹을 가지고 있었을거라고 쉽게 예상 가능하다. 

다만 정부기관이나 기반시설이 아닌 일반 사용자의 경우는 어찌되었든 표면적으로 자본주의에 기반한 민간회사인 카스퍼스키 랩이 스스로 망하기를 바라지 않는 이상 이상한 짓을 할 이유가 없기 때문에 그리 크게 신경 쓸 부분이 아니라고 보고 개인사용자 입장에서 보면 지금 불특정 다수에게 발생한 워너크라이같은 취약점 공격의 시발점은 아이러니하게 바로 미국 국가안보국 NSA가 취약점을 조용히 취득해서 악용했기에 가능했던 걸 보면 발란스를 맞추어주는 면에서 러시아 제품이 없어지거나 약해지는 것도 그리 좋은 건 아니다.

더욱이 대부분의 디지털 디바이스 하드웨어나 통신장비가 중국에서 제조되는 시점에서 러시아, 중국, 미국 모두 하드웨어나 소프트웨어에 백도어를 심을 수 있는 통로가 없을거라는 순진무구한 생각은 안 하는게 좋고 전 세계에 민폐를 끼치는 건 미국도 마찬가지다. 때문에 사이버 무기에 대한 정보 투명성과 공론화가 시급한 시기라는 인식이 가장 중요하다.

카스퍼스키 프리(Kaspersky Free)에 대해서 보자면 현재는 System Watcher 와 Application Control 기능이 없다. Firewall(방화벽 기능)이 없기에 당연히 Network Attack Blocker 기능도 없는데 무료버전에 방화벽 기능까지 기대하지는 말자. 다른 기능들이 없는 건 무료 버전이니 당연하다고 보지만 2017년에 행위 기반 악성코드 탐지 기능(System Watcher)이 없는 보안 소프트웨어를 굳이 메인으로 사용 할 필요가 있을까 싶다. 앙꼬없는 찐빵이라고 보면 된다 다만 무료고 빵 자체의 퀄러티가 뛰어나다는 게 장점이다. 어찌보면 유료 제품과 확실한 차별화이기도하다.

만약 다음 버전 카스퍼스키 프리에 System Watcher 가 혹시 들어간다면 일반 소비자 시장은 과감하게 접고 기업쪽에서 이윤을 창출하겠다는 계산이 있는 거거나 미국의 압력이 더욱 강해져 일반 소비자용 시장이 수축된다면 차라리 정보수집(명분은 악성코드)을 위해서 좀 더 매력적인 무료 소포트웨어로 만들어 사용자들 스스로 설치하게 만들기위해서 기능을 추가하지 않을까 추측해본다. 무엇보다 MS의 윈도우 10 보안강화 수준을 보면 System Watcher 을 다음 버전에 추가 할 가능성이 높다고 본다.

유명 보안회사 제품들의 경우 24~48시간 안에 보통 시그니처 업데이트가 가능하기에 좀 더 중요한 건 제로데이 악성코드 탐지이다 그리고 일반적인 시그니처 기반으로는 이 경우에는 그리 효용성이 없다 이런 이유로 행위 기반 탐지와 클라우드 탐지(평판 추적 기능, 실시간 업데이트, 화이트 리스트)가 중요하고 Kaspersky Free 도 당연히 클라우드 기능을 제공하는데 윈도우 10의 점유율이 높아질수록 Microsoft 의 클라우드 탐지율이 높아질것이고 결국 가장 유리한 곳은 Microsoft 가 될 것이기에 카스퍼스키 랩으로서도 무료제품을 적극적으로 배포하지 않을 수는 없었을 것이다. 이미 Microsoft 의 경우 탐지율이 급격히 좋아지고 있다. 지금도 시그니처 기반의 탐지율은 상위 제품들의 경우 도긴개긴이지만 말이다.

워너크라이(Wannacry)와 낫페트야(NotPetya) 사태 때 카스퍼스키 랩이 반드시 System Watcher 기능을 켜놓으라고 한 건 그런 이유가 있어서다. 미국 시만텍사의 노턴(Norton) 보안 제품에도 SONAR라는 행위 기반 악성코드 탐지 기능이 있는데 노턴 제품도 SONAR 기능을 사용하지 않으면 역시 앙꼬없는 찐빵과 같다. 행위 기반 악성코드 탐지의 경우 실행하는 프로세스 행위에 따라 +, - 점수를 매겨서 결과값으로 악성행위를 탐지한다 따라서 대부분 신/변종 악성코드(특히 신종 랜섬웨어)의 마지막 방어는 행위 기반 악성코드 탐지 기능이 한다고 보아도 무방하다.

현재 윈도우 10의 윈도우 디팬더(Windows Defender)나 서드파티 보안 회사들 중 무료제품인 Avast Free Antivirus, Bitdefender Antivirus Free, Comodo Antivirus 10 의 경우 클라우드 탐지 기능을 포함해서 행위 기반 악성코드 탐지 기능을 제공하고 있다.

윈도우 10을 사용하면서 무료 제품을 찾는다면 굳이 서드 파티 보안소프트웨어를 설치하는 것 보다 그냥 윈도우 디팬더를 사용하고 실시간 감시 기능이 없는 다른 보조 보안 프로그램을 함께 사용하는 게 더 깔끔한 선택이라고 본다.

카스퍼스 랩의 강력한 탐지와 KSN을 사용하고 싶고 무엇보다 무료라는 점을 이유로  Kaspersky Free 사용을 결정한다면 Comodo Firewall 이나 CheckMAL의 앱체크(AppCheck) 같이 랜섬웨어 방어를 지원하는 보조 프로그램을 함께 사용하는 것도 생각해 볼 수 있다. 앱체크 무료 버전의 경우 기능에 제한이 있지만 개인에 한해서 무료로 사용 할 수 있다 단점은 오진이 많아 보이고 이걸 사용한다고 랜섬웨어를 100% 차단 할 수도 없다.

이상적인 조합은 Kaspersky Free + Comodo Firewall 인데 Comodo Firewall 은 강력한 방화벽 기능과 함께 HIPS(Host Intrusion Prevention System)을 제공하고 있고 마침 Kaspersky Free 는 행위기반 기능이 빠져있기에 충돌 가능성도 없고 상호보완이 가능하기 때문이다. 무료로 이 두 조합을 사용한다면 호환성 문제가 없는한 가장 이상적이고 효율적인 조합이라고 할 수 있겠지만 실제로 Comodo Firewall 는 업데이트 될 수록 여러 보안 소프트웨어와 호환성 문제를 일으키기에 일반 사용자가 사용하는 걸 이제는 그리 추천하지 않는다.  Kaspersky Free + 앱체크 그리고 그냥 윈도우 10의 기본 방화벽을 사용하는게 좀 더 괜찮지 않을까싶다. 윈도우 10 기본 방화벽을 무시하지 말아야 할 것이 실제로 성능도 뛰어나고 몇몇 유명 보안회사의 인터넷 시큐리티 제품군은 실은 윈도우 10 기본 방화벽을 그대로 사용하고 있을 정도다. (카스퍼스키, 시만텍, ESET은 그래도 자기들 걸 사용함)

여담으로 카스퍼스키 '유료' 버전(시만텍 노턴이나 비트디펜더도 마찬가지로)을 사용한다면 굳이 앱체크(AppCheck)를 함께 설치해서 사용 할 필요는 없다. 카스퍼스키 제품에는 행위 분석, 머신러닝, 평판 기반 분석, 화이트리스트, 어플리케이션 컨트롤이 유료 버전에는 이미 포함되어 있고 앱체크의 Context-Awareness Behavior detection(상황인식 행동탐지)이 만능은 아니기 때문이다. 대량의 파일 삭제 또는 암호화에 민감하게 반응할 수록 오진률도 덩달아 높아진다 물론 이걸 줄이면서 악성코드에만 반응하는 게 기술력이겠지만 말이다. 실제로 신종 악성코드(랜섬웨어)의 경우 완벽한 방어이자 복구 솔루션은 '백업'이외에는 없다.

무엇보다 행위기반 탐지를하는 유명한 해외보안회사의 제품들은 대부분 행위 분석, 머신러닝, 평판 기반 분석, 화이트리스트, 어플리케이션 컨트롤을 이미 유기적으로 연결해서 사용하고 있다. 카스퍼스키의 System Watcher, 시만텍 노턴의 SONAR, F-Secure의 DeepGuard, 비트디펜더의 Behavior Blocker 등등 해외 유명 유료 보안 소프트웨어를 사용한다면 굳이 비슷한 기능을 중복 설치해서 사용할 필요도 없고 비슷한 기능을 위해 이중 지불을 할 필요는 없다고 본다. 앱체크가 위에 상기한 제품의 행위기반 탐지 기술보다 더 낫다고 보지 않는다 비슷한 기술이고 내부적인 룰을 어떻게 만들었는지의 차이정도가 아닐까 한다 따라서 유료버전 사용자는 이미 비슷한 기능이 포함 된 상태니 굳이 설치해서 사용 할 필요는 없다는 말이다.

지금도 카스퍼스키 유료제품의 경우도 룰을 적용하면 특정 폴더를 보호 할 수 있고 곧 나오는 윈도우 10 새버전에서는 이런 기능이 손쉽게 적용가능하도록 OS에서 자체적으로 지원 할 것이기 때문이다. 

카스퍼스키 프리(Kaspersky Free)를 보면 하단에 사용기간이 365일로 나오는데 기간이 끝나면 다시 무료로 365일 연장이 가능하다 그리고 프로그램 자체가 유료 제품의 기능을 제약해놓은 모델이라 제품 코드를 구입해서 활성화하면 카스퍼스키 유료제품으로의 언제든지 업그레이드가 가능하게 만들었다.

여담으로 카스퍼스키 랩이 무료 안티바이러스 제품을 제공한다고 해도 한국의 경우 관공서나 금융서비스, 쇼핑을 위해서는 웹 사이트에서 한국의 특화 된 쓰레기 보안 모듈을 설치해야하기 때문에 한국의 어떤 특정 기업들이 배를 불리는데는 별 영향도 없고 그리 크게 타격을 받을 거 같지도 않다.



- KL AV for Free. Secure the Whole World Will Be.