온라인 매뉴얼

앱체크(AppCheck) 안티랜섬웨어 메뉴 구성

1. 앱체크 아이콘 메뉴

작업 표시줄 알림 영역에 표시되는 앱체크 아이콘 메뉴는 잠금 설정 사용 또는 CMS 중앙 관리 정책을 통한 Lock Mode 적용 시에는 실시간 보호와 옵션 메뉴가 비활성화 처리된다.

이미지 - 앱체크 아이콘 메뉴

◎ AppCheck 열기 : 앱체크 대시보드 화면 실행

◎ 실시간 보호 : 랜섬웨어 행위 실시간 차단 및 행위 롤백 (비)활성화 메뉴

이미지 - 앱체크 아이콘 메뉴 #2

녹색 아이콘 : 앱체크 실시간 보호 중

회색 아이콘 : 앱체크 실시간 보호 꺼짐

◎ 도구 : 일반 로그, 위협 로그, 검역소 화면 실행

◎ 옵션 : 일반, 랜섬 가드, 취약점 가드, 대피소, 자동 백업, 예외 설정, SMB 목록(AppCheck Pro 전용) 설정

◎ AppCheck 정보 : 앱체크 버전, 저작권 및 라이선스 안내, 정품 등록 정보, 수동 업데이트 확인 표시

이미지 - 앱체크 아이콘 메뉴 #3

만약 AppCheck Pro 라이선스 만료일이 30일 이내로 남은 경우 AppCheck 정보창에 “기간 연장하기” 메뉴를 자동 생성하여 클릭 시 체크멀 라이선스 갱신 페이지로 자동 연결되며, 라이선스 갱신이 이루어진 경우 기존에 사용하는 라이선스 정보 그대로 사용할 수 있다.

이미지 - 앱체크 아이콘 메뉴 #4

단, 기간 연장하기 메뉴는 갱신형 라이선스인 경우에만 표시되며 CMS 중앙 관리를 통해 배포된 AppCheck는 표시되지 않는다.

2. 대시보드

이미지 - 대시보드 #1

◎ 실시간 보호 : 랜섬웨어 공격 보호, 네트워크 드라이브 보호, SMB 서버 보호, MBR 보호, 취약점 가드, 랜섬웨어 대피소 사용, 자동 백업 폴더 보호 기능 (비)활성화 실시간 보호는 랜섬웨어 공격 보호, 네트워크 드라이브 보호, SMB 서버 보호, MBR 보호 기능이 모두 비활성화된 경우에만 꺼진다.

이미지 - 대시보드 #2

실시간 보호 중 : 컴퓨터가 랜섬웨어로부터 안전하게 보호되고 있습니다.

실시간 보호 꺼짐 : 컴퓨터가 랜섬웨어 위협에 노출되어 있습니다.

◎ 랜섬웨어 공격 보호 : 보호할 파일 확장명에 포함된 파일들이 탐지 조건에 따라 변경될 경우 “랜섬웨어 행위 탐지”를 통한 차단/제거 및 자동 복원 (비)활성화

이미지 - 대시보드 #3

- 프로그램 이름 : 파일 훼손 행위로 차단된 파일명

- 프로그램 이름 (자세히) : “도구 - 위협 로그” 메뉴로 자동 연결

- 프로그램 설명 : 랜섬웨어 행위 탐지된 파일 속성에 표시된 파일 설명값

- 프로그램 게시자 : 랜섬웨어 행위 탐지된 파일의 디지털 서명 이름

- 신뢰 파일 등록 : 랜섬웨어 행위 탐지된 파일 중 정상적인 프로그램 행위를 과탐한 경우 “신뢰 파일 등록” 메뉴를 통해 신뢰 파일로 등록한다. 신뢰 파일로 등록된 파일은 “옵션 – 예외 설정 – 신뢰 파일 목록”에 자동 추가된다. 단, 잠금 설정 사용 또는 CMS 중앙 관리 정책의 “Lock Mode” 사용 환경에서는 “신뢰 파일 등록” 메뉴가 표시되지 않는다.

이미지 - 대시보드 #4

사용자가 랜섬웨어 행위 탐지창에서 “신뢰 파일 등록” 메뉴를 통해 등록한 경우 “사용자 신뢰 파일로 추가 하였습니다.” 알림 메시지 창을 생성한다.

- 파일 격리하기 : 랜섬웨어 행위 탐지된 파일이 자동 삭제 처리되지 않은 경우 검역소로 삭제 처리한다.

이미지 - 대시보드 #5

랜섬웨어 행위 탐지된 파일 중 보호 대상 시스템 파일로 인하여 자동 삭제되지 않은 파일을 “파일 격리하기” 메뉴로 삭제할 경우 “선택한 파일은 보호 대상 시스템 파일로 격리할 수 없습니다.” 알림 메시지 창을 생성한다.

이미지 - 대시보드 #6

참고로 앱체크 개인 사용자용 무료 버전에서는 랜섬웨어 행위로 탐지된 파일은 차단(종료)만 지원하며, AppCheck Pro 정품 버전에서는 차단 및 자동 치료(삭제) 기능을 제공한다.

◎ 네트워크 드라이브 보호 : 네트워크 드라이브를 통해 연결된 공유 폴더 내 파일들이 변경될 경우 “랜섬웨어 행위 탐지”를 통한 차단/제거 및 자동 복원 (비)활성화 (AppCheck Pro 전용)

앱체크 무료 버전에서 보호 기능 활성화 시 “AppCheck Pro 버전에서 제공되는 기능입니다. 지금 바로 업그레이드 하시겠습니까?” 알림 메시지 창이 생성된다.

이미지 - 대시보드 #7

“예(Y)” 버튼 클릭 시 구입한 앱체크 라이선스 정보(이메일 주소, 시리얼 번호)를 입력하면 AppCheck Pro 정품 버전으로 변경되며 정품 등록 시에는 인터넷이 연결되어 있어야한다.

◎ SMB 서버 보호 : 원격지 PC에서 실행된 랜섬웨어가 네트워크 드라이브로 연결된 공유 폴더 내 파일들을 변경할 경우 원격지 IP 차단을 통한 자동 복원 (비)활성화 (AppCheck Pro 전용)

◎ MBR 보호 : Master Boot Record (MBR) 영역의 변조를 시도하는 파일 실행 차단 (비)활성화

이미지 - 대시보드 #8

- 프로그램 이름 : MBR 영역 훼손 행위로 차단된 파일명

- 프로그램 이름 (자세히) : “도구 - 위협 로그” 메뉴로 자동 연결

- 프로그램 설명 : MBR 영역 훼손 행위로 차단된 파일 속성에 표시된 파일 설명값

- 프로그램 게시자 : MBR 영역 훼손 행위로 차단된 파일의 디지털 서명 이름

- 신뢰 파일 등록 : MBR 보호 기능으로 차단된 파일 중 정상 프로그램 행위를 과탐한 경우 “신뢰 파일 등록” 메뉴를 통해 신뢰 파일로 등록한다. 단, 잠금 설정 사용 또는 CMS 중앙 관리 정책의 “Lock Mode” 사용 환경에서는 “신뢰 파일 등록” 메뉴가 표시되지 않는다.

- 파일 격리하기 : MBR 보호 기능으로 차단된 파일이 악성 파일인 경우 “파일 격리하기” 메뉴를 통해 검역소로 삭제 처리한다.

◎ 최근 업데이트 일 : 앱체크 자동(수동) 업데이트를 통해 마지막 버전 업데이트가 이루어진 날짜

이미지 - 대시보드 #9

업데이트 메뉴를 클릭 시 최신 버전 환경에서 “현재 최신 버전을 사용하고 있습니다.” 알림 메시지가 생성된다.

3. 도구

[ 3-1 ] 일반 로그

일반 로그는 앱체크 동작 중 발생하는 세션 프로그램, 서비스 프로그램, 자동 백업, 알림 메세지 등 다양한 정보를 표시한다.

일반 로그의 칼럼(Columns)은 날짜, 수준, 구분, 내용으로 구분되며, 각 항목별 내림차순/올림차순으로 정렬할 수 있다.

일반 로그의 “기간 설정” 메뉴를 통해 지정한 특정 기간 내에 기록된 일반 로그 내역을 필터링하여 확인할 수 있다.

이미지 - 일반로그 #1

모든 기간 : 모든 기간 동안의 일반 로그 확인

오늘 : 오늘 날짜 기준으로 기록된 일반 로그 확인

최근 7일 : 최근 7일 기준으로 기록된 일반 로그 확인

사용자 범위 지정 : 특정 기간(년-월-일 지정) 동안에 기록된 일반 로그 확인

일반 로그에 기록된 특정 항목을 선택하여 마우스 우클릭 메뉴를 통해 복사, 모두 선택, 새로 고침할 수 있다.

이미지 - 일반로그 #2

◎ 복사 (Ctrl+C) : 선택한 항목의 일반 로그 세부 정보 복사하기

◎ 모두 선택 (Ctrl+A) : 일반 로그에 기록된 모든 항목 일괄 선택하기

◎ 새로 고침 (F5) : 일반 로그에 기록된 정보 갱신

[ 3-2 ] 위협 로그

위협 로그는 랜섬 가드, 취약점 가드, MBR 보호 기능을 통해 처리된 내역(차단, 제거, 복원, 제거 실패) 정보를 표시한다.

위협 로그의 “기간 설정” 메뉴를 통해 지정한 특정 기간 내에 기록된 위협 로그 내역을 필터링하여 확인할 수 있다.

이미지 - 위협로그 #1

모든 기간 : 모든 기간 동안의 위협 로그 확인

오늘 : 오늘 날짜 기준으로 기록된 위협 로그 확인

최근 7일 : 최근 7일 기준으로 기록된 위협 로그 확인

사용자 범위 지정 : 특정 기간(년-월-일 지정) 동안에 기록된 위협 로그 확인

위협 로그의 칼럼(Columns)은 날짜, 탐지 주체, 위협, 종류, 대상 경로, 처리, MD5 (기본값 : 비활성화)로 구분되며, 각 항목별 내림차순/올림차순으로 정렬할 수 있다.

이미지 - 위협로그 #2

◎ 차단 : 랜섬웨어 행위 탐지 및 MBR 보호로 탐지된 프로세스(파일) 및 IP 주소, 취약점 가드로 탐지된 응용 프로그램을 차단한다.

◎ 제거 : 랜섬웨어 행위 탐지로 제거된 파일, 랜섬웨어에 의해 암호화된 파일 및 생성된 파일을 자동 삭제한다.

◎ 복원 : 랜섬웨어 대피소에 임시 백업된 파일을 이용하여 원래 위치로 복원한다.

◎ 제거 실패 : 랜섬웨어 행위 탐지 발생 시점 기준으로 제거해야 할 파일이 이미 삭제되어 없거나 파일을 특정 문제로 제거하지 못하는 경우에 기록한다.

위협 로그에 기록된 특정 항목을 선택하여 마우스 우클릭 메뉴를 통해 파일 위치 열기, 복사, 모두 선택, 새로 고침할 수 있다.

이미지 - 위협로그 #3

◎ 파일 위치 열기 : Windows 탐색기를 이용하여 선택한 파일의 대상 경로 열기

◎ 복사 (Ctrl+C) : 선택한 항목의 위협 로그 세부 정보 복사하기

◎ 모두 선택 (Ctrl+A) : 위협 로그에 기록된 모든 항목 일괄 선택하기

◎ 새로 고침 (F5) : 위협 로그에 기록된 정보 갱신

[ 3-3 ] 검역소

검역소는 랜섬웨어 행위 탐지를 통해 제거되어 검역소 폴더(C:\ProgramData\CheckMAL\AppCheck\Quarantine)에 백업된 파일 정보를 제공하며, 필요에 따라 사용자가 검역소에 백업된 항목을 복원할 수 있다.

검역소그의 “기간 설정” 메뉴를 통해 지정한 특정 기간 내에 기록된 위협 로그 내역을 필터링하여 확인할 수 있다.

이미지 - 검역소 #1

모든 기간 : 모든 기간 동안의 검역소 로그 확인

오늘 : 오늘 날짜 기준으로 기록된 검역소 로그 확인

최근 7일 : 최근 7일 기준으로 기록된 검역소 로그 확인

사용자 범위 지정 : 특정 기간(년-월-일 지정) 동안에 기록된 검역소 로그 확인

검역소의 칼럼(Columns)은 날짜, 위협명, 종류, 대상 경로, MD5 (기본값 : 비활성화)로 구분되며, 각 항목별 내림차순/올림차순으로 정렬할 수 있다.

이미지 - 검역소 #2

검역소에 기록된 특정 항목을 선택하여 마우스 우클릭 메뉴를 통해 파일 위치 열기, 복사, 모두 선택, 새로 고침할 수 있다.

이미지 - 검역소 #3

◎ 원래 위치로 복원 : 검역소에 백업된 선택 파일을 원래 위치(대상 경로)로 복원하기

◎ 지정 위치로 내보내기 : 검역소에 백업된 선택 파일을 사용자가 지정한 폴더로 내보내기

◎ 삭제 : 검역소에 백업된 파일 삭제하기

이미지 - 검역소 #4

검역소 파일 삭제 시 “검역소에서 파일을 삭제하면 복원 기능을 사용할 수 없습니다. 그래도 삭제하시겠습니까?” 메시지 창이 생성되며, 삭제된 파일은 휴지통으로 이동하지 않고 완전히 삭제 처리된다.

◎ 파일 위치 열기 : Windows 탐색기를 이용하여 선택한 파일이 존재했던 위치(대상 경로) 열기

◎ 복사 (Ctrl+C) : 선택한 항목의 검역소 로그 세부 정보 복사하기

◎ 모두 선택 (Ctrl+A) : 검역소 로그에 기록된 모든 항목 일괄 선택하기

◎ 새로 고침 (F5) : 검역소 로그에 기록된 정보 갱신

4. 옵션

[ 4-1 ] 일반

이미지 - 옵션 - 일반 #1

◎ 알림 영역 아이콘 사용 : 작업 표시줄 알림 영역에 앱체크 아이콘 표시

“알림 영역 아이콘 사용” 옵션이 체크된 경우 앱체크 아이콘(AppCheck.exe)이 종료될 경우 최대 2분 이내에 자동 재실행된다.

◎ 프로그램 실행 차단시 알림창 실행 : 랜섬웨어 행위 탐지, MBR 보호, 취약점 가드 보호 기능을 통한 탐지 시 알림창 표시

이미지 - 옵션 - 일반 #2

◎ 탐지시 의심 파일 전송하기 (익명으로 처리되며 분석 외 다른 용도로 사용되지 않습니다.) : 앱체크 이용 중 랜섬 가드, 취약점 가드, MBR 보호 기능으로 탐지되는 파일을 익명으로 체크멀 서버로 전송

◎ MBR 보호 : Master Boot Record (MBR) 영역의 변조를 시도하는 파일 실행 차단 (탐지된 파일은 차단만 지원하며 자동 삭제(치료)하지 않으며, 반복 재실행 시에는 삭제 처리한다.)

◎ 자체 보호 사용 : 앱체크 관련 폴더(자동 백업 폴더 포함) 및 파일, 레지스트리, 일부 보안 제품 무력화 도구로부터 앱체크 보호

◎ 잠금 설정 사용 : 사용자가 입력한 비밀번호를 통해 앱체크 옵션, 실시간 보호, 앱체크 제거 기능 변경 차단 (AppCheck Pro 전용)

단, CMS 중앙 관리를 통해 배포된 AppCheck Pro 버전은 Lock Mode 기능으로 대체되므로 옵션에서 “잠금 설정 사용” 메뉴가 표시되지 않는다.

잠금 설정 사용을 위한 6~30자리 길이의 비밀번호를 입력해야하며, 비밀번호 분실 시 복구할 수 없다.

이미지 - 옵션 - 일반 #3

입력한 비밀번호를 확인하기 위해서는 “비밀번호 보이기” 박스에 체크하여 확인한다.

잠금 설정에 사용할 비밀번호 입력시 6~30자리 길이로 지정하지 않을 경우 “비밀번호의 길이가 잘못되었습니다. (6~30자 이내로 입력하십시오.)” 알림 메시지가 생성된다.

이미지 - 옵션 - 일반 #4

잠금 설정에 사용할 비밀번호 입력 후 비밀번호 확인란에 재입력 시 정보가 틀릴 경우 “입력한 비밀번호가 일치하지 않습니다.” 알림 메시지가 생성된다.

이미지 - 옵션 - 일반 #5

잠금 설정이 적용된 환경에서 앱체크 옵션 메뉴 접근 시 잠금 설정 해제를 위한 비밀번호 입력창이 생성된다.

이미지 - 옵션 - 일반 #6

만약 입력한 비밀번호가 틀리다면 “비밀번호가 올바르지 않습니다.” 알림 메세지가 생성된다.

이미지 - 옵션 - 일반 #7

만약 CMS 중앙 관리 정책을 통해 Lock Mode가 적용된 환경에서는 앱체크 옵션 접근 시 “잠금 설정으로 옵션을 변경할 수 없습니다. 관리자에게 문의하시기 바랍니다.” 알림 메시지가 생성된다.

이미지 - 옵션 - 일반 #8

잠금 설정 사용 또는 CMS 중앙 관리 정책을 통한 Lock Mode가 적용된 앱체크는 알림 아이콘 메뉴(실시간 보호, 옵션) 비활성화와 제어판에서 AppCheck 제거를 할 수 없다. (※ CMS 중앙 관리 정책에서는 “어플리케이션 제거 허용” 설정을 통해 앱체크 제거 허용 여부를 결정한다.)

이미지 - 옵션 - 일반 #9

잠금 설정 사용 활성화 시 앱체크 제거 메시지 : 잠금이 설정되어 있어 삭제할 수 없습니다. 잠금 설정 해제 후 다시 시도하시기 바랍니다.

◎ 자동 업데이트 사용 : 앱체크 무료 버전은 6~12시간 주기로 앱체크 업데이트 자동 확인 (AppCheck Pro 버전 : 3시간 주기)

- 업데이트 에이전트로 사용 : 앱체크 무료 버전에서 표시되는 하위 메뉴로 P2P 방식으로 앱체크 업데이트 동작 (선택 가능)

이미지 - 옵션 - 일반 #10

◎ 기본값 : 일반 옵션 설정 초기화

[ 4-2 ] 랜섬 가드

이미지 - 옵션 - 랜섬가드 #1

◎ 랜섬웨어 사전 방어 사용 : 보호할 파일 확장명에 포함된 파일들이 탐지 조건에 따라 변경될 경우 “랜섬웨어 행위 탐지”를 통한 차단

◎ AppCheck Pro 확장 기능 : 랜섬웨어 차단 후 자동 치료

랜섬웨어 행위 탐지를 통해 차단된 악성 파일 자동 치료(삭제)한다. 단, 차단된 파일 중 유효한 디지털 서명을 가진 파일 또는 시스템 폴더에 위치한 파일은 삭제하지 않는다.

◎ AppCheck Pro 확장 기능 : 네트워크 드라이브 보호

앱체크가 설치된 PC에서 실행된 랜섬웨어(Ransomware)가 네트워크 드라이브로 연결된 다른 장치에 위치한 공유 폴더 내 파일 훼손 시 “랜섬웨어 행위 탐지”로 차단 및 자동 복원한다.

◎ AppCheck Pro 확장 기능 : 이동식 디스크 보호

앱체크가 설치된 PC에서 실행된 랜섬웨어(Ransomware)가 USB 포트로 연결된 이동식 디스크 내 파일을 훼손 시 “랜섬웨어 행위 탐지”로 차단 및 자동 복원한다.

◎ AppCheck Pro 확장 기능 : SMB 서버 보호

앱체크가 설치되어 있지 않은 원격지 PC에서 실행된 랜섬웨어(Ransomware)가 네트워크 드라이브로 연결된 공유 폴더(앱체크 설치 PC) 내 파일을 훼손 시 원격지 IP 차단(1시간) 및 자동 복원한다.

◎ AppCheck Pro 확장 기능 : 고급 탐지 기능 - 고스트 탐지

실행 중인 프로세스가 파일 목록을 조회할 경우 앱체크는 동적 디코이(Decoy) 데이터를 메모리에 생성하여 랜섬웨어(Ransomware)가 파일 훼손 시 기존보다 더 빠른 탐지가 이루어지도록 하는 탐지 방식이다.

◎ AppCheck Pro 확장 기능 : 고급 탐지 기능 – 스마트 탐지

랜섬웨어(Ransomware) 프로세스가 실행되어 소수의 파일만 암호화한 후 종료되고 다시 재실행된 동일 프로세스가 파일 암호화를 진행하는 반복 파일 훼손 행위에 대한 탐지 방식이다.

◎ AppCheck Pro 확장 기능 : 위협 차단 기능 – 시스템 위협 차단

랜섬웨어(Ransomware)를 비롯한 악성 파일에 의한 시스템 복원 무력화 행위로부터 시스템을 보호하는 탐지 방식이다.

◎ AppCheck Pro 확장 기능 : 보호할 파일 확장명 (구분자 , 또는 ;)

파일 훼손 행위로부터 보호되는 기본 파일 확장명은 총 56종(7z, ai, bmp, cer, crt, csv, der, doc, docx, dwg, efi, eps, gif, hwp, jbw, jpeg, jpg, jps, jtd, key, lic, lnk, mp3, nc, odp, ods, odt, ogg, one, ost, p12, p7b, p7c, pdf, pef, pem, pfx, png, ppt, pptx, psd, pst, ptx, rdp, rtf, srw, tap, tif, tiff, txt, uti, x3f, xls, xlsx, xps, zip)이며, 사용자에 의한 추가적인 파일 확장명 등록은 AppCheck Pro 정품 버전에서만 가능하다.

만약 보호할 파일 확장명에 추가한 문자 중 허용되지 않은 문자가 포함될 경우 “사용할 수 없는 문자가 포함되어 있습니다.” 알림 메시지를 생성하여 적용되지 않도록 한다.

이미지 - 옵션 - 랜섬가드 #2

◎ 기본값 : 랜섬 가드 옵션 설정 초기화

[ 4-3 ] 취약점 가드

취약점 가드는 보호할 응용 프로그램의 취약점(Exploit) 코드 실행이 이루어질 경우 취약점 공격 탐지를 통해 사전 차단하여 악성코드 자동 감염을 예방하는 보호 기능이다.

보호할 응용 프로그램 중 오피스(Office) 프로그램은 AppCheck Pro 정품 버전에서만 활성화할 수 있다.

이미지 - 옵션 - 취약점 #1

웹 브라우저 Internet Explorer, Microsoft Edge, Chrome, Firefox, Opera
플러그인 Java, Adobe Flash
미디어 재생기 Windows Media Player, Windows Media Center, 곰플레이어(GomPlayer), 팟플레이어(PotPlayer)
오피스 Microsoft Office, 한컴오피스, Adobe Acrobat

취약점 공격 탐지가 발생한 시스템은 탐지된 응용 프로그램을 확인하여 Windows 업데이트 기능을 통한 최신 보안 패치 적용 및 각 응용 프로그램의 최신 버전을 확인하여 구버전인 경우 최신 버전으로 업데이트하여 취약점 문제를 수정해야 한다.

이미지 - 옵션 - 취약점 #2

- 프로그램 이름 : 취약점 공격을 탐지하여 차단된 보호할 응용 프로그램의 실행 파일명

- 프로그램 이름 (자세히) : “도구 – 위협 로그” 메뉴로 자동 연결

- 프로그램 설명 : 취약점 공격을 탐지하여 차단된 파일 속성에 표시된 파일 설명값

- 프로그램 게시자 : 취약점 공격을 탐지하여 차단된 파일의 디지털 서명 이름

◎ 기본값 : 취약점 가드 옵션 설정 초기화

[ 4-4 ] 대피소

이미지 - 옵션 - 대피소 #1

◎ 랜섬웨어 대피소 사용 : 보호할 파일 확장명에 포함된 파일들이 특정 조건에 따라 변경, 삭제 등의 파일 훼손이 발생할 경우 실시간으로 랜섬웨어 대피소 폴더에 임시 백업하며, 랜섬웨어 행위 탐지 시 임시 백업된 파일을 이용하여 원래 위치로 자동 복원해주는 기능이다.

랜섬웨어 대피소 기능을 사용하지 않을 경우 “랜섬웨어 대피소 미사용 시 랜섬웨어 차단 및 파일 복구에 문제가 발생합니다.” 안내 메시지창이 생성된다.

이미지 - 옵션 - 대피소 #2

- 대피소 경로 : 대피소 기본 위치는 “C:\ProgramData\CheckMAL\AppCheck\RansomShelter” 폴더이며, 설정 버튼을 클릭하여 원하는 다른 폴더로 변경 가능하다. 단, 특정 위치로 대피소 폴더를 지정할 경우 “지정된 경로는 사용할 수 없습니다.” 안내 메시지가 생성되므로 다른 폴더로 지정해야한다.

이미지 - 옵션 - 대피소 #3

- 대피소 사용량 : 대피소 경로로 지정된 드라이브의 전체 용량 중 대피소 내 저장된 파일 용량 표시

- 대피소 비우기 : 대피소 폴더 및 내부 파일을 일괄 삭제하며, 삭제된 폴더 및 내부 파일은 휴지통으로 이동되지 않고 완전 삭제한다. 사용자가 “대피소 비우기” 클릭 시 “랜섬웨어 대피소를 비우시겠습니까?” 안내 메시지창이 생성된다.

이미지 - 옵션 - 대피소 #4

만약 랜섬웨어 대피소 폴더 내 파일을 수동 삭제 시에는 “AppCheck 옵션 – 일반 – 자체 보호 사용” 체크를 해제하신 후 삭제한다.

- 파일 1개당 최대 크기 : 대피소에 임시 백업되는 파일 용량(100MB, 200MB, 500MB, 1GB, 2GB, 5GB) 제한

- 대피소 폴더 숨기기 : 대피소 폴더 속성을 숨김(H) 처리

- 대피소 자동 삭제 – ○일 경과된 파일 자동 삭제 : 대피소 폴더에 임시 백업된 파일을 “10분, 20분, 30분, 1시간, 3시간, 6시간, 12시간, 1일, 2일, 3일, 4일, 5일, 6일, 7일” 경과 시 자동 삭제 (기본값 : 7일)

만약 대피소 자동 삭제 시간을 너무 짧게 설정한 경우 탐지 후 수동 복구가 필요한 경우 임시 백업된 파일이 삭제되어 복구할 수 없으므로 기간 설정에 주의하시기 바랍니다.

- 대피소 자동 삭제 – 대피소 용량이 ○○에 도달하면 오래된 순으로 파일 자동 삭제 : 대피소 폴더에 임시 백업된 파일 용량이 “5GB, 10GB, 20GB, 50GB, 100GB, 디스크의 10%, 디스크의 20%, 디스크의 30%, 디스크의 40%, 디스크의 50%”에 도달하면 오래된 파일순으로 자동 삭제 (기본값 : 50GB)

◎ 기본값 : 대피소 옵션 설정 초기화

[ 4-5 ] 자동 백업

자동 백업은 백업 대상 폴더를 지정하여 폴더 내의 모든 파일을 자동 백업 폴더에 파일 히스토리 기반으로 스케줄 설정에 따라 백업하며, 랜섬웨어에 의해 자동 백업된 폴더 내부 파일은 임의로 변경할 수 없도록 보호한다.

안전한 백업을 위해서는 백업 대상 폴더에 지정된 폴더가 위치한 드라이브 이외의 다른 저장 장치에 자동 백업이 이루어지도록 설정하시길 권장합니다.

이미지 - 옵션 - 자동백업 #1

◎ 스케줄 설정 : 한 번, 반복, 매주, 매월 단위로 자동 백업

- 한 번 : 지정한 특정일의 특정 시간에 1회 자동 백업하도록 설정한다.

이미지 - 옵션 - 자동백업 #2

- 반복 : 10분, 15분, 20분, 30분, 1시간(기본값), 3시간, 6시간, 12시간, 24시간 단위로 자동 백업하도록 설정한다.

이미지 - 옵션 - 자동백업 #3

- 매주 : 지정한 특정 요일의 특정 시간에 자동 백업하도록 설정한다.

이미지 - 옵션 - 자동백업 #4

- 매월 : 매월 지정한 특정일 또는 특정 요일의 특정 시간에 자동 백업하도록 설정한다.

이미지 - 옵션 - 자동백업 #5

◎ 백업할 대상 폴더 목록 : 백업을 원하는 폴더 추가 및 삭제

◎ 지정한 확장명만 백업 (구분자 , 또는 ;) : 백업할 대상 폴더 내에 존재하는 파일 중 사용자가 지정한 파일 확장명만 백업

◎ 제외할 대상 폴더 목록 : 백업할 대상 폴더 목록에 포함된 하위 폴더 중 사용자 선택에 따라 자동 백업 시 제외 처리 추가 및 삭제

◎ 백업 시 제외할 파일 확장명 (구분자 , 또는 ;) : 백업할 대상 폴더 내에 존재하는 파일 중 사용자가 지정한 파일 확장명은 백업 시 제외 처리

◎ 백업할 위치 : 로컬 디스크 또는 네트워크 공유 폴더(SMB/CIFS) 중 선택

◎ 로컬 디스크 : PC와 물리적으로 연결된 하드 디스크 중 사용 가능한 디스크 용량이 가장 많은 드라이브가 기본적으로 자동 선택되며, 사용자 선택에 따라 자동 백업 폴더가 저장될 드라이브 지정할 수 있다.

◎ 이력 파일 유지 개수 : 자동 백업 대상 원본 파일이 수정될 경우 기존의 백업 파일은 이력 파일(.history)로 변경되며, 이력 파일 수는 0~10개로 사용자가 지정할 수 있다. (기본값 : 3개) 참고로 이력 파일 유지 개수를 초과할 경우 가장 오래된 이력 파일부터 자동 삭제한다.

◎ 네트워크 공유 폴더(SMB/CIFS) : 서버 주소(IP 주소 또는 원격지 장치 이름), 공유 폴더(공유 설정이 이루어진 원격지 드라이브/폴더 이름), 사용자 ID, 비밀번호 입력 필수

이미지 - 옵션 - 자동백업 #6

안전하게 네트워크 공유 폴더를 사용하기 위해서는 Windows 업데이트 기능을 통해 제공되는 SMB 취약점 관련 최신 보안 패치를 하시기 바라며, 공유 폴더 접근을 위한 사용자 계정 및 비밀번호 관리와 폴더 접근 권한 설정을 하시길 권장합니다.

또한 자동 백업 폴더 및 내부 파일을 삭제하기 위해서는 “옵션 – 일반 – 자체 보호 사용” 설정을 체크 해제 후 삭제한다.

[ 4-6 ] 예외 설정

이미지 - 옵션 - 예외설정 #1

◎ 신뢰 파일 목록

- 아래에 등록된 파일들은 항상 허용 : 신뢰 파일 목록에 추가된 파일은 랜섬웨어 행위 탐지 및 MBR 차단이 발생하지 않도록 허용한다. 단, 특정 탐지 조건에 따라서는 신뢰 파일 목록에 추가된 파일을 통한 파일 훼손 시 차단될 수 있다.

기본적으로 신뢰 파일 목록에 추가된 파일에 의해 변경되는 파일들은 랜섬웨어 대피소 폴더에 백업 처리가 이루어지지 않는다.

주의할 점은 랜섬웨어에 의해 악용 가능한 Windows 시스템 파일(Explorer.exe, svchost.exe 등)을 등록할 경우 탐지되지 않을 수 있으므로 추가하지 않거나 일부 사용자만 추가하도록 한다.

◎ 예외 파일 목록

앱체크의 보호할 파일 확장명에 포함된 파일이지만 보호를 원하지 않는 경우 예외 파일 목록에 추가한다.

- 아래에 등록된 파일들은 항상 허용 : 예외 파일 목록에 추가된 파일은 앱체크 보호 대상에서 제외 처리한다.

예외 파일 목록에 추가된 파일은 랜섬웨어에 의해 파일 훼손 시 대피소 백업 및 차단이 이루어지지 않는다.

◎ 예외 폴더 목록

예외 폴더 목록에 등록된 폴더 내 파일 중 앱체크의 보호할 파일 확장명에 포함된 파일이 존재하지만 보호를 원하지 않는 경우 예외 폴더 목록에 추가한다.

- 아래에 등록된 폴더들은 항상 허용 : 예외 폴더 목록에 추가된 폴더 내 모든 파일은 앱체크 보호 대상에서 제외 처리한다.

예외 폴더 목록에 추가된 폴더는 랜섬웨어에 의해 내부 파일들이 훼손 시 대피소 백업 및 차단이 이루어지지 않는다.

참고로 예외 파일 목록 또는 예외 폴더 목록에 추가된 개체는 앱체크 자동 백업 기능을 통해 따로 백업을 해두시면 만약의 랜섬웨어 또는 데이터 훼손 등의 사고로부터 안전하게 보호받을 수 있다.

[ 4-7 ] SMB 목록

SMB 목록은 랜섬 가드의 “SMB 서버 보호” 기능을 위한 옵션이며, 네트워크 드라이브를 통해 연결된 특정 IP 주소(IPv4, IPv6)의 차단 및 허용 여부를 설정할 수 있다.

이미지 - 옵션 - SMB #1

원격지 PC에서 실행된 랜섬웨어가 네트워크 드라이브를 통해 연결된 공유 폴더 내 파일 훼손 시 “원격지 PC가 공유 중인 파일을 다수 훼손하여 즉시 차단하였습니다.” 알림 메시지 창을 통해 원격지 IP 주소를 차단 및 훼손된 파일을 자동 복원할 수 있다.

- IP 주소 (자세히) : “도구 – 위협 로그” 메뉴로 자동 연결

- 항상 허용 : 차단된 원격지 IP 주소를 항상 허용

이미지 - 옵션 - SMB #2

만약 잠금 설정 사용 또는 CMS 중앙 관리 정책의 “Lock Mode” 사용 환경에서는 “항상 허용” 메뉴가 표시되지 않는다.

- 임시 허용 : 차단된 원격지 IP 주소를 1회 임시 허용

이미지 - 옵션 - SMB #3

만약 잠금 설정 사용 또는 CMS 중앙 관리 정책의 “Lock Mode” 사용 환경에서는 “임시 허용” 메뉴가 표시되지 않는다.

◎ 허용된 주소 목록

이미지 - 옵션 - SMB #4

허용된 주소 목록에 사용자가 직접 IP 주소를 추가하기 위해서는 추가 버튼을 클릭하여 IPv4 또는 IPv6 주소를 개별, 순차, 전체 규칙에 따라 특정 IP를 추가할 수 있다.

이미지 - 옵션 - SMB #5

만약 허용된 주소 목록에 추가된 원격지 IP를 통해 공유 폴더 내 파일 훼손 시 앱체크 차단은 이루어지지 않지만 랜섬에어 대피소 백업은 이루어질 수 있다.

◎ 차단된 주소 목록

차단된 주소 목록에 등록된 원격지 IP 주소는 1시간 동안 임시 차단되며 차단 만료 시간이 경과하면 자동으로 차단된 주소 목록에 등록된 IP 주소는 삭제 처리되며 원격지 PC에서는 공유 폴더 내 파일에 대한 접근이 가능하다.

이미지 - 옵션 - SMB #6

- 차단된 주소 목록 (임시 허용) : 등록된 차단 IP 주소를 삭제한다.

- 차단된 주소 목록 (항상 허용) : 등록된 차단 IP 주소를 “허용된 주소 목록”에 추가하여 해당 IP에 대한 차단을 하지 않는다.

참고로 원격지 PC의 IP 주소 차단 시 앱체크 실시간 보호를 OFF할 경우 차단된 IP 주소를 임시 허용하도록 처리한다.

5. 고객센터

[ 5-1 ] 온라인 지원

이미지 - 고객센터 #1

◎ 앱체크 도움말 : 체크멀 사이트에서 제공하는 온라인 도움말 페이지 연결

◎ 온라인 문의 : 체크멀 사이트에서 제공하는 온라인 문의 페이지 연결

◎ 원격지원 : 체크멀 사이트에서 제공하는 원격지원 페이지 연결 (사전에 원격지원 예약 필요)

[ 5-2 ] 웹사이트 및 컨텐츠

이미지 - 고객센터 #2

◎ 홈페이지 : 체크멀 메인 페이지 연결

◎ 뉴스레터 : 체크멀 사이트에서 제공하는 뉴스레터 페이지 연결

◎ 블로그 : 체크멀에서 운영하는 블로그 연결

◎ 페이스북 : 체크멀에서 운영하는 페이스북 계정 연결

◎ 유튜브 : 체크멀에서 운영하는 유튜브 계정 연결

[ 5-3 ] 제품 및 라이선스 정보

◎ 제품 정보

이미지 - 고객센터 #3

- 제품명 : 라이선스 등록 여부에 따라 AppCheck 또는 AppCheck Pro 표시

- 버전 : 현재 설치된 앱체크 버전 정보

- 최근 업데이트 일 : 현재 설치된 앱체크 버전 업데이트 날짜

- 업데이트 : 앱체크 최신 버전 업데이트 수동 확인

◎ 라이선스 정보

이미지 - 고객센터 #4

- 라이선스 등록 : 앱체크 무료 버전에서 제공되는 AppCheck Pro 정품 등록 메뉴

이미지 - 고객센터 #5

- 이메일 주소 : 라이선스 등록 시 사용한 이메일 주소

- 시리얼 번호 : 라이선스 등록 시 사용한 시리얼 번호

- 라이선스 수 : 등록한 라이선스에서 사용 가능한 장치수

- 서비스 만료 : 등록한 라이선스의 서비스 만료일

AppCheck Pro 라이선스 만료 30일 전부터 “사용중인 라이선스가 ○○일 남았습니다. 만료후에는 랜섬웨어 위협에 노출될 수 있으니 기간내 라이선스를 갱신하시기 바랍니다.” 안내 메시지가 생성된다.

이미지 - 고객센터 #6

AppCheck Pro 라이선스 기간 만료 시에는 모든 기능이 종료되며 제품 실행 시 “AppCheck 라이선스 만료 안내” 메시지를 통해 “현재 사용 중인 제품의 라이선스가 만료되었습니다. 계속해서 프로그램을 사용하시려면 구입/관리처에 라이선스 구매를 문의하시기 바랍니다.” 안내 메시지 창이 생성된다.

만약 CMS 중앙 관리에서 배포한 앱체크 버전은 라이선스 만료 관련 알림 메시지가 생성되지 않는다.

이미지 - 고객센터 #7

- 지금 구매하기 : 체크멀 라이선스 갱신 구매 페이지 연결

- 정품 등록하기 : 라이선스 등록창을 통한 추가 구매한 이메일 주소와 시리얼 번호 등록

- 제품 제거하기 : 앱체크 삭제

위로