보호나라 랜섬웨어 예방법

워너크라이라는 랜섬웨어가 출현하면서, 전 세계적으로 큰 혼란이 발생되고 있습니다.

사실, RansomWare는 수년전부터 발생하여 지금까지 많은 피해를 가져왔으나, 지금까지는 특정한 사이트에 접속하거나 바이러스에 감염된 파일을 실행 할 때에만 피해를 입었던 것이 사실입니다.

하지만, 이번에 발견된 워나크라이는 인터넷에 연결되어 있고, 동일한 네트워크 경로를 통해 감염된 PC가 있다면, 공유기능을 활용하여 바이러스를 전파한다는 특징이 있습니다.

이에 따라 오늘은 랜섬웨어 예방법과 증상, 감염되었을 경우 치료나 복구 방법에 대해 알아보도록 하겠습니다.

외국에서는 이미 수만대의 PC가 감염되어 대학교나 병원 등의 전산시스템을 마비시킬 정도로 큰 피해를 입고 있는데요. 불행 중 다행으로 국내에서는 주말이라는 특성 때문인지 피해사례는 많지 않습니다.

하지만, 주말 이후 본격적으로 업무가 시작되는 월요일에 생각했던 것보다 훨씬 심각한 감염피해가 발생 할 수 있어 PC 이용자들의 주의가 꼭 필요합니다.

특히, 각 기업체의 서버담당자는 보호나라에서 권고한 사항에 따라 우선, 서버의 공유기능을 비활성화한 후 상황을 지켜봐야 할 듯 합니다.

먼저, 랜섬웨어란 몸값을 뜻하는 Ransom과 Software에서의 ware를 합한 합성어입니다.

저 같은 경우에도 약 1년 전에 모든 문서와 이미지파일을 mp3 확장자로 바꾸어버리는 변형에 감염된 적이 있었는데요. 다행히 노트북에 중요자료가 없는 상태여서 복구를 포기하고 포맷한 경험이 있답니다.

그 때 당시, 해커들이 요구한 비트코인이 우리나라 돈으로 약 60만원 정도 되었었는데. 현재는 비트코인 가격이 크게 오른 상태여서 이보다 더 부담이 되고 있습니다.

▶ 감염증상은?

RansomWare에 감염되면, 순식간에 내 컴퓨터에 있는 모든 데이터파일을 암호화 시킵니다.

대표적으로 xls, ppt, doc 와 같은 MS office 파일은 물론이거니와 txt로 텍스트 파일, 그리고 jpg나 png 등 이미지 파일, 동영상 파일 등의 확장자를 바꾸어 버립니다.

워나크라이 같은 경우 확장자를 WNCRY로 바꿉니다.

이 때, 연결되어 있는 외장형 USB나 파일을 자동으로 업로드하는 클라우드서비스를 이용하고 있다면, 해당 클라우드에 있는 파일도 모두 암호화시킵니다.

이어서, 팝업창으로 "너의 사진, 비디오, 문서, 기타 등등의 파일을 암호화 하였다"라는 메시지와 함께 몇 시간 이내 비트코인을 송금하라는 내용을 보여줍니다.

▶ 해커들이 요구하는 것은?

해커들의 목적은 단 하나! 바로 돈입니다.

이들이 암호해제 목적으로 요구하는 것은 비트코인입니다. 처음에 요구하는 돈을 원하는 시간 안에 보내지 않으면 그 뒤에는 더 많은 돈을 요구하게 됩니다.

원하는 Bitcoin을 송금하면 해독키를 보내준다고 하는데, 사실 정상적으로 해독키를 받아 모든 파일을 살릴 수도 있는 경우도 있지만, 그렇지 않은 경우도 많기 때문에 주의하셔야 합니다.

비트코인은 추적이 불가능한 전자화폐이기 때문에 해커들의 주요 송금수단으로 활용되고 있습니다.

그렇기 때문에, 돈을 보내고 복구할 값어치가 있다면 전문 대행업체를 통해 진행하셔서 복구하시면 되며, 그 외의 경우라면 PC를 깨끗하게 포맷하시면 됩니다.

▶ 랜섬웨어 예방은 어떻게?

가장 좋은 예방법은 확인되지 않은 파일을 실행하거나, 불법다운로드 금지, 어둠의 경로와 같은 사이트 방문을 하지 않는 것입니다.

그리고, 평소에 윈도우 업데이트를 주기적으로 해주고 최신 백신으로 컴퓨터를 보호하는 것이 좋습니다. 아시다시피 대형 백신프로그램 중에는 Ransomware 차단기능이 포함된 제품도 있습니다.

하지만, 이번처럼 네트워크를 통해 감염되는 경우엔 일시 공유기능을 해제하여, 윈도우 방화벽에서 SMB기능을 차단하고 윈도우 업데이트를 통해 예방 할 수 있습니다.

한국인터넷진흥원 보호나라에서도 Ransomware 방지 대국민 행동요령을 배포하였습니다.

보호나라 http://www.boho.or.kr

▶ 윈도우에서 SMB(서버메시지블록) 차단 방법

이번, 바이러스는 윈도우 운영체제의 취약점을 이용한 공격 방식이기 때문에 우선, 컴퓨터를 켜기 전에 인터넷LAN선을 뽑은 상태에서 컴퓨터를 켭니다.

그 다음으로 제어판으로 이동한 후 "Windows 방화벽"을 클릭합니다.

이어서, 제어판 홈에서 좌측 아래 "고급 설정"을 클릭합니다.

그 다음으로 고급 보안이 포함된 Windows 방화벽이 나옵니다.

이곳에서 좌측 맨 위 "인바운드 규칙"을 클릭합니다.

인바운드 규칙을 선택하면 규칙이 많이 나오는데요. 우측 "작업" 아래에 있는 "새 규칙" 메뉴를 클릭합니다.

이어서, 새 인바운드 규칙마법사 팝업창이 나옵니다.

규칙종류는 여러 가지가 있는데 이곳에서 두번째 "포트"를 체크하신 후 "다음"을 클릭합니다.

포트설정 화면에서는 TCP를 그대로 유지한 채, 하단 특정로컬포트에서 137-139, 445를 입력한 후 "다음"을 클릭합니다. 만약 범위값이 틀렸다는 메시지가 나오면 예전 운영체제를 사용하는 경우로써 137-139 대신에 137,138,139, 445 를 입력하시면 다음단계로 넘어갈 수 있습니다.

그 다음으로 "연결 차단"을 선택한 후 "다음"을 클릭합니다.

규칙적용시기 부분에서는 기본값으로 선택한 화면 그대로 넘어갑니다.

마지막으로, 규칙에 대한 이름 적는 부분에서는 본인 임의대로 적으셔도 상관 없습니다.

저는 랜섬웨어차단이라고 적고 "마침"을 클릭하였습니다.

윈도우 방화벽에서 정상적으로 인바운드 규칙이 적용된 화면입니다.

차단의 경우 녹색표시가 아니라 금지표시가 되어 있으며 위 그림처럼 되어 있으면 정상적으로 적용된 것입니다.

이 후, PC를 끈 후 다시 인터넷 LAN선을 연결합니다.

그 다음으로, 윈도우 보안패치와 백신프로그램 업데이트를 진행하시면 됩니다.