베트남도 안전지대가 아니다! 랜섬웨어란? 방지법은?

랜섬웨어는 몸값을 의미하는 단어인 Ransom과 Software의 합성어로, 컴퓨터 사용자의 동의 없이 불법으로 설치되어 사용자의 파일을 인질로 비트코인 등의 금전을 요구하는 악성 프로그램입니다.

::: 감염 증상 :::

일단 랜섬웨어에 감염되면 컴퓨터 내의 모든 파일들을 암호화하기 시작합니다. 그렇기 때문에 하드디스크와 메모리 점유율이 급격히 올라가며 CPU 쿨러가 요란한 소리를 내며 돌아갑니다. 만약 암호호가 모두 완료되기 전에 컴퓨터를 재부팅하게 되면 랜섬웨어에 걸렸습니다! (Your Files have been encrypted!) 라는 식의 협박성 문구가 나타나며 복호 코드를 발송하기 위한 비트코인을 요구하는 문구가 같이 나타나게 됩니다. 그리고 대부분의 컴퓨터 작업이 불가능하게 되는데 아래와 같습니다.
1. 중요 시스템 프로그램이 열리지 않는다.
2. 윈도우 복원 시점이 제거되고 업데이트가 불가능해진다.
3. 다른 악성코드를 심는다..
4. CPU와 메모리 사용량이 급격하게 증가하고 파일들이 암호화된다.
5. 안티 바이러스가 오작동하거나 강제로 종료 및 삭제된다.
6. 안전모드로 진입이 불가능하다.
7. 암호화된 파일은 열어볼 수 없다.
8. 강제로 이동식 저장장치의 연결을 해제시킨다.
9. 재부팅을 할 때마다 랜섬웨어 txt 파일, html 파일이 시작 프로그램 목록에 추가된다.

::: 치료 방법 :::

랜섬웨어를 유포한 자가 요구하는 대로 비트코인을 보내고 복호화 키를 받는 방법이 있으나, 요구 금액이 터무니없이 높은데다가 비트코인 자체가 엄청나게 비싸기도 하고 복호화 키를 사용한다고 해도 제대로 복원된다는 보장이 없기 때문에 추천하지 않습니다. 만약 랜섬웨어에 감염되었을 경우 다음과 같은 방법으로 치료를 진행합니다.

우선 컴퓨터의 전원 플러그를 강제로 뽑아버립니다. 노트북이라면 강제 종료를 하거나 배터리를 뻅니다. 그리고 안전모드로 진입해야 하는데 윈도우 버전에 따라 안전모드로 진입하는 방법이 다릅니다.

~ Windows 7: 시스템 부팅 전 F8 키를 눌러서 키보드의 화살표 버튼으로 안전모드(네트워킹 사용)를 선택한 후 엔터키를 눌러서 진입합니다.

Windows 8 ~: 명령 프롬프트(cmd)를 실행하여 shutdown /r /o 를 입력한 후 엔터키를 누릅니다. 시스템이 다시 시작되어 옵션 선택 화면이 나오면 ‘문제 해결’, ‘고급 옵션’, ‘시작 설정’, ‘다시 시작’ 버튼을 차례대로 클릭합니다. 한 번 더 재부팅이 되면 숫자 5를 키보드로 입력합니다.

안전모드로 진입이 완료되었을 경우 적절한 안티바이러스 제품으로 검사하여 랜섬웨어를 제거합니다. 결제 협박문이 남아있을 경우 랜섬웨어 결제 안내 파일 제거 스크립트(RIFR)을 이용해서 제거한 후 시스템을 다시 시작합니다.
컴퓨터가 정상으로 돌아오게 되어도 암호화된 파일이 일부 남아있을 수 있는데 암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용하면 되지만 아직 미해독된 랜섬웨어라면 별다른 방법이 없습니다.

::: 예방 :::

가장 강력하고 확실한 예방법으로 정기적으로, 자주 백업을 하는 것이 랜섬웨어로부터 가장 안전한 방법입니다. 랜섬웨어에 감염되어 파일들이 손상되더라도 백업을 해놓았다면 부담없이 컴퓨터를 재설정할 수 있습니다. 백업 방법으로는 외장하드, 별도로 준비한 여분의 하드디스크, 클라우드 서비스, CD 등으로 백업 등이 있는데 컴퓨터에 직접 연결하는 외장하드나 USB의 경우에는 평상시에도 연결을 하고 사용하는 경우 함께 감염될 수 있으니 조심해야 합니다. 해킹 등으로 자료가 유출되는 경우가 아니라면 클라우드 서비스를 이용하는 것이 안전합니다.
또한 평소 안티 바이러스 프로그램 및 OS 업데이트, 보안 패치 업데이트를 바로바로 해주는 것이 좋습니다. 2017년 5월 전 세계적으로 피해를 입힌 랜섬웨어 WannaCry의 경우 윈도우 OS를 대상으로 했지만 4월에 배포된 보안 업데이트에서 이미 이에 대한 해결책이 나온 상태여서 이 보안 업데이트를 실행한 컴퓨터에서는 랜섬웨어 감염이 발견되지 않았습니다.
평소 백업을 열심히 하고 백신을 설치해서 주기적으로 점검을 해준다고 해도 랜섬웨어의 위험은 언제나 도사리고 있는데, 발신인을 알 수 없는 이메일은 열어보는 것 자체를 금지해야 합니다. 요즘은 이메일에 포함된 링크를 클릭하는 것 말고도 이메일을 열람하는 순간 악성 프로그램이 설치되기 때문입니다. 또한 불법 공유사이트의 이용도 자제해야 합니다. 불법 공유사이트 특성 상 악성 프로그램이 심어진 파일들을 업로드하는 경우가 많기 때문입니다.

랜섬웨어 방지 대국민 행동 요령
1) PC를 켜기 전 네트워크(인터넷) 물리적 단절
 – 랜선 뽑기
 – 와이파이 끄기

2) PC 전원을 켜고, PC 보안설정 변경
 – Windows 방화벽 설정 변경(*붙임 1 참고)
  *파일공유(SMB) 기능 차단

3) PC 인터넷 재 연결 후, 윈도우 운영체제 최신 업데이트 실행
 – Windows Update 실행
 – 백신 프로그램 업데이트
  *파일공유 기능 필요 시 방화벽 설정 복구(*붙임2 참고)
붙임 1. 파일 공유 기능 해제 – 방화벽 설정
Window 방화벽에서 SMB에 사용되는 포트 차단

1) 제어판 -> 시스템 및 보안
2) Windows 방화벽 -> 고급 설정
3) 인바운드 규칙 -> 새규칙 -> 포트 -> 다음
4) TCP -> 특정 로컬 포트 -> 139,445 -> 다음
5) 연결 차단 -> 다음
6) 도메인, 개인, 공용 체크 확인 -> 다음
7) 이름 설정 -> 마침
붙임 2. 파일 공유 기능 필요 시 – 방화벽 설정 복구
Window 방화벽에서 SMB 차단 설정 삭제
(1) 제어판 -> 시스템 및 보안 -> Windows 방화벽 -> 고급 설정
(2) 인바운드 규칙 -> SMB 차단 -> 우클릭 후 삭제, 예(Y) -> 재부팅