세계에 확산 중인 랜섬웨어 피해 예방 대책
랜섬웨어는 중요 파일을 암호화한 뒤 이를 복구하는 대가로 금전을 요구하는 악성 프로그램으로 컴퓨터 문서를 인질(Ransom, 랜섬)로 잡고 돈을 요구한다고 해서 붙여진 이름이다.
랜섬웨어는 데이터 파일을 암호화하고 사용자에게 300달러(약 34만원)의 몸값을 가상 화폐인 비트코인(Bitcoin)으로 지불하도록 요구하고 있다.
3일 내에 몸값을 지불하지 않으면 지불금액은 두 배로 늘어나며, 7일 내에 지불하지 않으면 암호화된 파일은 삭제된다고 경고한다.
 ?
?
이번에 유포된 '워너크라이(WannaCry)' 랜섬웨어는 마이크로소프트 윈도 운영체제의 취약점을 이용해 인터넷 네트워크를 통해 유포되는 점이 특징이다.
특히 보안이 취약한 윈도 옛 버전을 사용하는 기업과 공공기관이 워너크라이 랜섬웨어의 주요 타깃이 될 것으로 보인다.
미래창조과학부는 5월 14일 오후 6시를 기해 국가 사이버위기 경보를 '관심'에서 '주의'로 한 단계 올렸으며 근무를 시작하는 월요일(5월 15일)에는 피해 기업이 늘 것으로 우려하고 있다.
윈도 10 버전은 자동으로 보안 패치가 업데이트 되기 때문에 큰 문제가 없지만, 윈도 7 이하 버전은 설정에 따라 업데이트가 제때 이뤄지지 않는 경우가 흔해 피해를 볼 가능성이 있다.
특히 윈도 XP 이하 옛 버전은 MS가 보안 업데이트를 중단해 별도 보안 패치를 수동으로 설치해야 감염을 막을 수 있다.
보안 패치는 MS 업데이트 카탈로그 사이트(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에서 내려받을 수 있다.
보안업계 관계자는 "암호화된 파일은 복구가 어려워 컴퓨터를 포맷하거나 해커에게 돈을 주고 복구하는 방법밖에 없다"며 "예방이 최선인 만큼 신속하게 보안 패치를 업데이트하고, 감염 여부를 검사해야 한다"고 조언했다.
한국인터넷진흥원(KISA)과 보안업계에서는 랜섬웨어 감염을 피하기 위해서는 우선 컴퓨터를 켜기 전 인터넷 네트워크를 끊고, 파일 공유 기능을 해제한 뒤 컴퓨터를 재시작해야 한다.
파일 공유 기능 해제는 제어판, 프로그램, Windows 기능 설정 또는 해제를 차례로 누른 다음 ‘SMB1.0/CIFS 파일 공유 지원’ 항목을 해제하면 된다.
?
제어판에서 '프로그램 및 기능'을 클릭한 다음 'Windows 기능 사용/사용 안함'을 누른다.
'SMB1.0/CIFS 파일 공유 지원' 항목을 해제한다.
이후 인터넷에 다시 연결해 백신 프로그램을 최신 버전으로 업데이트하고, 악성코드 감염 여부를 검사한다.
만약 감염이 의심된다면 즉각 USB와 외장 하드 등 외부 저장장치와 연결을 해제해야 한다.
외부 장치에 있는 파일들까지 암호화될 수 있기 때문이다. 또 클라우드를 이용할 경우에는 실시간으로 동기화되는 설정을 해제해야 한다.
□ 랜섬웨어 방지 대국민 행동
1) PC를 켜기 전 네트워크 단절
- 랜선 뽑기
- 와이파이 끄기
2) 감염 경로 차단
- 방화벽 설정 변경
3) 인터넷 재연결 후 보안 업데이트
- 윈도우 보안 패치 실행
- 백신 프로그램 업데이트
□ 파일 공유 기능 해제 - 방화벽 설정
o Window 방화벽에서 SMB에 사용되는 포트 차단
1) 제어판 → 시스템 및 보안
2) Windows 방화벽 → 고급 설정
3) 인바운드 규칙 → 새규칙 → 포트 → 다음
4) TCP → 특정 로컬 포트 → 137-139, 445 → 다음
5) 연결 차단 → 다음
6) 도메인, 개인, 공용 체크 확인 → 다음
7) 이름 설정(SMB 차단) → 마침
□ 파일 공유 기능 필요 시 - 방화벽 설정 복구
o Window 방화벽에서 SMB 차단 설정 삭제
1) [제어판] → [시스템 및 보안] → [Windows 방화벽] → [고급 설정]
2) [인바운드 규칙] → [SMB 차단] → [우클릭 후 삭제, 예(Y)] → [재부팅]
|