티스토리 뷰
랜섬웨어란?
어제 오늘 일이 아닌 랜섬웨어에 관한 정보를 알려드리려 합니다. 몇년전에 전 세계 여러나라에서 약 12만대 컴퓨터가 감염되었다고 하는 그녀석. 가장 먼저 랜섬웨어가 무엇인지 알고 가야하는데요. 위키백과에서는 아래와 같이 설명하고 있습니다.
랜섬웨어란? -위키백과
랜섬웨어(Ransomware)는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류이다. 컴퓨터로의 접근이 제한되기 때문에 제한을 없애려면 해당 악성 프로그램을 개발한 자에게 값을 지불해야 한다.
몇년전 랜섬웨어에 감염된 1인으로써 쉽게 설명해드리자면 내 컴퓨터에 있는 사진과 문서파일들이 전부 이상한 파일로 변경됩니다. 해당 파일을 더블클릭하면 "당신 파일은 암호화 되었다. 복구하길 원하면 비트코인을 보내라" 라는 영어 메시지가 나오죠. 워낙 변종도 많아서 한번 당하면 복구가 거의 불가능하죠. 중요한 것은 제작자에게 돈을 준다고 해도 정상적으로 복원이 가능하도록 도와주진 않는다는 것입니다.
랜섬웨어 감염증상
랜섬웨어 감염증상은 단 번에 알수있습니다. 기존에 사용하던 프로그램이 제대로 실행되지 않고 랜섬웨어 감염을 알리는 텍스트 파일, 이미지파일, html 파일등이 생성됩니다. 자동으로 해당 인터넷 페이지가 오픈되고 금전을 요구하죠. 이런 상황에서는 인터넷 정도는 가능하지만 백신실행등은 정상적으로 되지 않습니다. 엄청 중요한 자료가 암호화되었다면 복호화를 고민하시겠지만 거의 불가능하다고 보여집니다. 이미 감염이 되었다면 한국인터넷진흥원에서 문의하는 정도의 대응밖에 할 수 없겠네요.
랜섬웨어 예방 방법
기본적으로 최신 윈도우 보안업데이트와 백신 최신 업데이트를 유지하는 것이 중요합니다만 그이전에 아래글을 꼭 확인해 주세요. 우리나라 한국인터넷진흥원에서 신속하게 보호나라사이트에서 이번에 세계적으로 판치고 있는 랜섬웨어 예방방법을 공유 했습니다. 일단 랜선(인터넷)을 뽑거나 인터넷 공유기를 꺼버린 상태에서 아래 작업을 진행하시면 됩니다. 어렵지 않은 작업이니 차근차근 따라해보시기 바랍니다!
기본적인 윈도우 보안패치를 업데이트하고 백신 프로그램을 업데이트하셔야합니다.
주의할 점은 방화벽설정을 마친후에 인터넷 작업을 하셔야 한다는 것입니다.
- 방화벽 설정 변경 방법 -
기본적으로 위에 작없을 진행하시면 SMB를 사용하는 랜섬웨어를 차단시킬 수 있습니다.
<추가> 기타 해결 방안(아래 버전을 사용하는 경우, 다음과 같은 방안으로도 해결 가능)
- Windows Vista 또는 Windows Server 2008 이상 사용자
시작 -> 'Windows Powershell' 입력 -> 우클릭 -> 관리자 권한으로 실행 ->
① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB1 -Type DWORD -Value 0 -Force
② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB2 -Type DWORD -Value 0 -Force
- Windows 8.1 또는 Windows Server 2012 R2 이상 사용자
클라이언트 운영체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작
서버 운영체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템 재시작
위 내용은 한국인터넷 진흥원(KISA)에서 운영하는 보호나라 사이트에서 발표한 대국민 랜섬웨어 예방 요령으로 보호나라에 가시면 더욱 많은 정보를 얻으실 수 있습니다. 보호나라 사이트 링크는 아래를 참고해 주세요.
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr