랜섬웨어 예방 치료방법
랜섬웨어 예방법 및 랜섬웨어 치료방법은?
랜섬웨어 공포가 전 세계를 휩쓸고 있는 가운데 랜섬웨어 예방 및 랜섬웨어 치료방법 알아두셨으면 합니다. 전세계 100여개 나라의 병원과 기업 등의 컴퓨터가 동시다발적으로 랜섬웨어 ‘워나크라이(WannaCry)’ 공격을 받아 일부는 먹통이 되는 피해까지 발생한 가운데 국내에서도 피해 사례가 잇따라 신고되고 있는데요.
14일 한국인터넷진흥원(KISA)에 따르면" 랜섬웨어 공격으로 6곳이 문의해왔고, 3곳은 감염된 것으로 확인돼 기술지원을 하고 있다고 합니다. 특히 이번 공격이 우리나라 시간으로 주말에 발생한 것이라 월요일에 피해가 확산될 가능성이 크다고 하는데요. 이에 대해 미국의 세계적인 보안업체인 시만텍도 '워나크라이 공격의 확산 가능성"을 경고했습니다.
랜섬웨어란 컴퓨터에 저장된 자료 파일을 암호화해 사용할 수 없게 만든 뒤 요구를 들어주면 암호화한 것을 풀어주겠다고 하는 신종 공격 방식입니다. 주로 기업 등으로부터 돈을 뜯어내려는 목적으로 활용되고 있는데요.
워너크라이 랜섬웨어는 윈도가 설치된 PC와 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드)입니다. PC나 서버가 감염되면 접근 가능한 임의의 IP를 스캔해서 랜섬웨어 악성코드를 확산시킵니다. 감염되면 PC내 문서 파일과 압축파일, DB파일 등을 암호화해 사용할 수 없게 되며 공격자들은 파일을 푸는 대가로 비트코인으로 금전을 요구하는 내용의 다국어(한글 포함)로 작성된 협박 메시지(랜섬노트)를 띄운다고 합니다.
이번에도 컴퓨터에 저장된 데이터 파일을 암호화한 뒤 300달러를 비트코인으로 보내라고 요구하고 있습니다. 3일 내에 지불하지 않으면 금액을 두배로 올리고, 7일이 지나도록 보내지 않으면 암호화된 파일을 삭제시킨다고 주장하고 있는데요.
기존 랜섬웨어 공격은 대부분 이메일 첨부파일에 악성코드를 숨겨 배포하는 방식이었던데 비해, 워나크라이는 윈도 파일 공유 기능의 보안 취약점을 악용해 네트워크를 통해 유포되도록 하고 있습니다. 즉 인터넷에 연결만 돼 있기만 해도 감염된다는 이야기죠.
컴퓨터 보안 업계에선 지난해 미국 국가안보국(NSA)이 개발한 해킹 프로그램을 훔쳤다고 주장하던 ‘섀도 브로커스’(Shadow Brokers)란 해커 단체가 이번 공격을 주도한 것 같다는 분석도 나오고 있습니다. 영국 서리대학의 앨런 우드워드 교수는 '워나크라이에는 미국 정보기관에서 유출된 해킹도구가 사용됐다"고 말했으며 미국 국가안보국의 전방위 도청 및 사찰 의혹을 폭로했던 에드워드 스노든은 이번 랜섬웨어 공격 사태와 관련해 트위터에 올린 글에서 '미국 국가안보국이 윈도의 보안 취약점 발견 즉시 공개했더라면 이번 사태는 발생하지 않았을 것"이라고 지적하고 있다고 합니다.
컴퓨터 보안업체인 어베스트 등에 따르면, 이번 랜섬웨어 공격은 100여개 나라에서 동시다발적으로 발생해 역대 최대 규모로 꼽히고 있다. 신고된 피해사례만도 7만5천건이 넘고, 일부 나라에서는 정부기관 및 병원, 기업 등의 컴퓨터가 감염돼 업무에 차질이 빚어지기도 했습니다.
나라별로는 러시아, 영국, 우크라이나, 대만 등의 피해가 컸는데요. 러시아에선 내무부 컴퓨터 1천여대가 감염됐고, 언론사와 수사기관들도 공격을 당했다고 합니다. 한 이통사는 이번 공격으로 콜센터 등의 가동이 일시 중단되기도 했으며 영국에선 국민보건서비스(NHS·한국의 건강보험공단과 유사한 조직) 산하 40여개 병원이 환자 기록 파일을 열지 못해 진료에 차질이 빚어졌다고 합니다. 물리적인 힘이 아니라 오직 랜섬웨어로 인해 전세계가 공포에 떨고 있는 셈이죠.
랜섬웨어 예방 및 랜섬웨어 치료방법
’"주말에 쉬고 월요일(15일) 출근한 경우, 컴퓨터를 켜기 전에 인터넷을 끊어라. 인터넷과 분리된 상태로 컴퓨터를 켜 윈도 운영체제의 파일 공유 기능을 해제한 다음 다시 인터넷을 연결하고 마이크로소프트(MS) 업데이트 누리집에 접속해 보안패치를 받아 설치하라"
인터넷진흥원은 이번 랜섬웨어 공격을 피하기 위해서는 '에스엠비(SMB) 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법'(한국인터넷진흥원 보호나라 누리집(www.boho.or.kr)에 올려져 있어요)에 따라 월요일 출근해 컴퓨터를 사용할 때는 켜기 전에 인터넷부터 끊을 것을 권했습니다. 한국엠에스는 '인터넷 선을 분리한 상태로 컴퓨터를 켜 제어판, 프로그램, 윈도 기능 설정 또는 해제를 차례로 선택한 뒤 'SMB1.0/CIFS 파일 공유 지원' 체크를 해제하고 컴퓨터를 재부팅하면 된다"고 설명하고 있습니다.
이후 다시 인터넷 선을 연결한 뒤 엠에스 업테이트 카탈로그 누리집 (www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에 접속해 보안패치를 내려받아 설치하면 이번 공격을 피할 수 있는데요. 엠에스는 윈도 파일 공유 기능의 보안 취약점을 악용한 랜섬웨어 공격이 전세계에서 동시다발적으로 발생하자 이례적으로 구형 운영체제인 윈도XP와 윈도 서버 2003, 윈도 8용 패치를 제공했습니다.
윈도 비스타 이하 버전을 사용하는 경우, 윈도 7 이상 운영체제로 버전을 업그레이드한 후 최신 보안패치를 적용해야 하며 윈도 최신 보안패치가 불가능한 경우, 네트워크 방화벽과 윈도 방화벽을 이용해서 SMB 관련 포트(137(UDP), 138(UDP), 139(TCP), 445(TCP))를 차단하고, 운영체제 내 설정을 이용해 모든 버전의 SMB 프로토콜을 비활성화 해야 합니다.
윈도 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)는 최신 업데이트를 수행해야 하는데요. 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 최신 패치를 적용해야 합니다. 자동 업데이트를 통해 업데이트를 하거나, 수동으로 설치해야 할 경우 'Windows Update' 카탈로그에서 사용 중인 운영체제 버전에 맞는 업데이트 파일을 수동으로 설치해야 합니다.
랜섬웨어 예방은 KISA보호나라에서 배포한 SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령으로 할 수 있는데요. 방법을 살펴보면
랜섬웨어 예방 요령
PC를 켜기 전 네크워크를 끊고 감염경로 차단 및 보안 업데이트 순으로 진행해야되요.
윈도우 방화벽에서 SMB에 사용되는 포트를 차단해야 하는데요. 제어판에서 시스템 보안 클릭!
윈도우 방화벽 고급설정 클릭!
인바운드규칙 새규칙 포트 다음순으로 클릭
특정로컬포트에서 137부터 139 그리고 445 다음 클릭
연결차단에 체크하시고 다음 클릭
도메인 개인 공용체크확인 후 다음
이름을 설정하고 난 다음 마치면 됩니다.
하지만 이 방법은 워나크라이만 막을 수 있을 뿐이라고 하는데요. 인터넷진흥원은 "해커가 워나크라이 변종을 만들어 추가 공격에 나설 수 있으니 가능하면 윈도를 최신 버전으로 바꾸고, 랜섬웨어에 감염된 것으로 의심되면 바로 신고(국번없이 118이나 110번)하거나 문의해줄 것"을 당부했습니다. 실제 해외에서 워너크라이 랜섬웨어 전파를 중단할 수 있는 방법(킬 스위치)을 제거한 변종 웜이 발견돼 또 다른 랜섬웨어가 전파될 가능성도 높은 상황이라고 합니다. 랜섬웨어 대란이라고도 할 수 있는 공포의 주말을 보내고 있는데요.
랜섬웨어 피해를 막기 위해서는 무엇보다 랜섬웨어 예방이 중요하겠죠. 따라서 내일 출근하신다면 컴퓨터를 바로 켜지말고 랜선을 뽑고 컴퓨터를 켠 다음에 윈도우 보안설정에 들어가서 SMB 설정을 해제한 후 윈도 보안 업데이트를 실시하여야겠습니다. 이슈가 많이 된만큼 많은 분들이 랜섬웨어 예방하셔서 랜섬웨어로 인한 피해가 한건도 없었으면 합니다.