랜섬웨어(Ransomware) 예방법, 데이터 인질극 예방 수칙(워너크라이)

지난 15일 CGV를 비롯해 관공서, 기업 등 대한민국을 넘어 전 세계를 두려움에 떨게 한 랜섬웨어란 무엇일까요?

랜섬웨어(Ransomware)란 몸값(Ransome)과 소프트웨어(Software)의 합성어로 컴퓨터에 연결된 모든 저장장치의 데이터를 암호화해서 사용자가 이를 사용하지 못하게 할뿐만 아니라 이를 풀어주는 대가로 돈(비트코인)을 요구하는 악성 프로그램입니다. 흔히 Crytolocker 방식의 바이러스에 컴퓨터가 감염되어 모든 데이터가 암호화 되는 것입니다.

아래 화면과 같이 PC의 데이터들이 암호화 되었으니, 하단의 비트코인 결제 주소로 금액을 지불하라는 메세지가 나타나면 랜섬웨어에 감염된 것입니다. 이번 CGV 대형 광고판에 나타난 정체불명의 창이 바로 이것인 것이죠.

특히 이번 랜섬웨어 대란의 경우 기존과 다른 유포 방식과 Microsoft의 공식 기술지원이 끝난 구버전의 윈도우 OS가 여전히 많이 사용되고 있어 워너크라이(Wannacry) 랜섬웨어 대란이 벌어졌다고 판단하고 있습니다.

랜섬웨어뿐 아니라 대부분의 바이러스, 악성 프로그램들은 두가지 방식으로 전파되었습니다. 첫째는 이메일에 첨부 파일을 첨부하여 사용자가 이메일의 첨부파일을 여는 순간 악성 프로그램에 감염되는 것과 둘째는 기술지원이 끝난 구버전의 OS이거나 보안 업데이트가 적용되지 않은 PC의 보안 취약점을 이용한 유포 방식이 있습니다.

그러나 이번 워너크라이 랜섬웨어 방식은 두번째 바이러스 유포 방식과 유사하지만, 특정 웹 사이트에 접속하거나, 파일을 내려 받는 행위를 하지 않았음에도 컴퓨터가 인터넷에 연결되어 있다면 감염되는 점이 문제였습니다. 또한 워너크라이 랜섬웨어는 감염된 PC뿐만 아니라 네트워크에 연결된 다른 컴퓨터들을 검색해 추가로 바이러스를 유포하는 점에서 기존 랜섬웨어와는 달리 파급력이 상당하다는 것입니다.

이번 대란의 대표적인 표적은 구버전의 윈도우 OS였습니다. 이미 Microsoft 사에서는 지난 3월 워너크라이 랜섬웨어에 대비한 취약점 패치를 배포한바 있습니다. 이례적으로 기술지원이 종료된 운영체제에 대해서도 패치를 제공했지만, 많은 사용자들이 워너크라이 랜섬웨어 피해를 입은 것은 대부분 윈도우 자동 업데이트 기능을 비활성화했기 때문으로 보입니다.

랜섬웨어 예방법 #1

데이터 백업은 선택이 아닌 필수

현재 유포되고 있는 랜섬웨어는 50종이 넘는 것으로 알려져있습니다. 유포 방식도 앞서 말씀드린 것처럼 이메일, SNS, 웹 사이트 등 다양하며, 앞으로 탄생 할 변종 랜섬웨어로부터 완벽히 컴퓨터를 지킬 수 있는 방법은 사실상 없습니다. 중요 자료와 업무용 데이터 들은 PC와 분리된 외부 저장소에 정기적으로 백업하거나 클라우드 서버에 업로드하여 데이터 백업을 이중 삼중으로 받아 놓는 것이 좋습니다. 

이메일에 첨부된 파일이 지인 이름으로 왔거나, 의심되는 메일일 경우 설치 파일이 아닌 pdf, doc, hwp 등 문서 파일이라도 섣불리 실행하지 않는 것이 좋습니다. 또한 메신저나 SNS에서 링크를 무심코 누르거나 토렌트를 이용하시는 분이라면 특히 주의하셔야 합니다. 백신 프로그램은 항상 최신 상태를 유지하는 것이 중요합니다. 

지금까지 설명드린 부분은 교과서와 같은 예방법이지만, 모든 과정이 그러하듯 기초가 가장 중요합니다.

설령 랜섬웨어 피해를 입더라도, 백업만 정기적으로 받아 놓으면 컴퓨터 포멧 후 데이터를 복구하시면 그만이기 때문입니다.

랜섬웨어 예방법 #2

워너크라이 랜섬웨어 예방법

① 컴퓨터를 켜기 전 네트워크 단절

- 랜선 뽑기, 와이파이 끄기

컴퓨터를 시작하기 전 랜선을 빼고, 와이파이 역시 꺼야합니다. 워너크라이 랜섬웨어의 경우 인터넷 연결 만으로도 감염될 수 있는 위험성이 있기 때문에 반드시 물리적으로 네트워크를 단절시켜야 합니다.

② 감염 경로 차단

- 방화벽 설정 변경

특정 게임이나 공유 프로그램 등을 사용하며 별도로 예외 처리 입력이 귀찮아 방화벽을 해제하고 사용하는 분들이 많습니다. 인터넷만 연결되어 있어도 감염되는 워너크라이 랜섬웨어로부터 PC를 안전하게 보호하기 위해서는 방화벽 사용 설정으로 변경하셔야 합니다.

▲ 바탕화면의 제어판 아이콘 혹은 윈도우 시작 버튼에서 제어판을 선택합니다.

▲ 제어판 화면은 운영체제 버전에 따라 다를 수 있습니다. 방화벽 설정을 위해 시스템 및 보안을 선택해주세요.

▲ 시스템 및 보안 페이지에서 Windows 방화벽 메뉴를 선택해주세요.

▲ Windows 방화벽에서 방화벽 설정 업데이트 부분이 권정되는 설정이 아닙니다.로 되어 있습니다. 우측의 권장 설정 사용 버튼을 클릭해주세요.

▲ Windows 방화벽 창에서 좌측의 Windows 방화벽 설정 또는 해제 메뉴를 선택하시면 위 화면과 같이 각 네트워크 유형 설정의 사용자 지정을 하실 수 있습니다. 개인 네트워크 설정, 공용 네트워크 설정 모두 Windows 방화벽 사용에 체크해주세요.

③ 인터넷 연결 후 보안 업데이트

- 윈도우 보안 패치 실행

방화벽 설정을 완료하셨다면 네트워크 연결 후 윈도우 보안 패치 및 백신 업데이트를 진행합니다.

▲ 제어판 > 시스템 및 보안 > Windows 업데이트를 선택해주세요.

▲ 많은분들이 윈도우 자동 업데이트 기능을 비활성화로 사용하고 계시는 분들이 많습니다. 자동 업데이트 기능을 활성화 하신 다음 업데이트 확인을 진행해주세요.

▲ 좌측의 업데이트 확인 선택 시 업데이트 확인 후 미설치된 패치가 있을 경우 즉시 설치하도록 합니다.

- 백신 프로그램 업데이트

윈도우 업데이트 진행 후 백신 프로그램 역시 확인해주세요.

▲ 백신 프로그램은 대부분 자동 업데이트를 사용하고 있습니다. 저 역시 자동 업데이트 기능을 사용하고 있지만, 오늘 확인해보니 아직 검색 엔진이 15일자로 확인이 됩니다. UPDATE 버튼을 선택하여 수동으로 업데이트를 진행해주세요.

▲ 업데이트 파일을 다운로드 받고 설치를 진행합니다.

랜섬웨어 예방법 #3

파일 공유 기능 해제 및 방화벽 설정

윈도우 방화벽에서 SMB에 사용되는 포트 차단

SMB 포트 차단 설정에 앞서 SMB가 무엇을 하는 녀석인지 궁금하실텐데요. Server Message Block의 줄임말로 컴퓨터간의 통신에서 데이터를 송수신하기 위한 프로토콜이며, 윈도우 SMB 서비스에 원격코드실행 취약점을 이용하여 시스템 관리자 권한을 획득하여 관리자 권한을 획득한 공격자는 시스템을 완전히 제어할 수 있게 되어 시스템에 위험에 그대로 노출되게 됩니다.

일반적으로 클라이언트는 서버와 통신하기 위하여 TCP 445번의 SMB를 이용하게 됩니다.

인터넷 공유기를 사용하고 계신다면 공유기 포트 설정에서 인바운드 UDP 137, 138번과 TCP 139, 445번을 차단하시는 것도 좋습니다. 워너크라이 램섬웨어의 경우 TCP 445번만 해당되지만, 이후 변종이 나타날 가능성이 높아 SMB 프로토콜과 연관된 UDP 137, 138, TCP 139번까지 전부 적용하는 것이 좋습니다.

- PC 방화벽 인바운드 규칙 만들기

윈도우즈 방화벽 사용/사용 안함과 동일하게 제어판 실행하도록 합니다.

▲ 바탕화면의 제어판 아이콘 혹은 윈도우 시작 버튼에서 제어판을 선택합니다.

▲ 제어판 > 시스템 및 보안 선택

▲ 시스템 및 보안 페이지에서 Windows 방화벽 메뉴를 선택해주세요.

▲ Windows 방화벽 > 고급 설정

▲ ①인바운드 규칙 > ②새 규칙을 선택한 다음 새 인바운드 규칙 마법사를 이용하여 SMB 포트를 차단합니다.

▲ 포트(O) > 다음(N) 버튼을 선택합니다.

▲ TCP(T) > 특정 로컬 포트(S) > 139, 445 > 다음(N) 버튼 클릭.

▲ 연결 차단(K) > 다음(N) 버튼 클릭.

▲ 도메인, 개인, 공용 체크 확인 > 다음(N) 버튼을 클릭.

▲ 이름 설정 > 마침 버튼을 클릭하시면 됩니다. 이름 지정의 경우 본인이 식별하기 쉬운 이름을 정하시면 됩니다.

TCP 포트에 대한 새 규칙 생성이 완료 되셨다면 UDP 포트에 대한 인바운드 규칙을 생성하도록 합니다. 

Windows 방화벽 > 고급 설정 > ①인바운드 규칙 > ②새 규칙 > 포트(O) 선택까지는 TCP 설정과 동일한 단계로 진행해주세요. 

▲ UDP(U) > 특정 로컬 포트(S)에 137,138번을 입력하신 후 다음 버튼을 클릭합니다. 

▲ UDP 역시 이름 지정 시 본인이 식별하기 쉬운 이름으로 입력하신 뒤 마침 버튼을 클릭합니다.

▲ 방화벽 고급 설정창에서 인바운드 규칙에 새로 지정한 규칙이 적용되었는지 확인해보시면 SMB포트 (TCP/UDP) 모두 정상적으로 적용되었음을 확인할 수 있습니다.

지금까지 랜섬웨어(Ransomware) 피해 방지를 위한 예방법에 대해서 살펴보았습니다. 영국의 한 보안 전문가가 워너크라이 램섬웨어의 작동을 비활성화시키는 킬스위치를 만들어 생각보다 피해가 적었지만, 워너크라이 랜섬웨어의 변종이 나타날 수 있는 등 안심하기에는 이르다고 볼 수 있습니다. 현재 사용중인 OS의 버전에 따라 적용 가능한 보안 패치가 있는지 수시로 확인하고, 지금까지 알려드린 예방법 등 보안을 위한 기본적인 수칙만 지켜도 큰 피해를 예방할 수 있습니다.