랜섬웨어 대응, 누구나 쉽게 할 수 있다

지난 5월 12일부터 윈도우 취약점을 노린 대규모 랜섬웨어 공격이 전세계적으로 이뤄졌다. 해당 취약점은 컴퓨터 사이에 파일이나 폴더를 주고받기 위해 사용하는 프로토콜(SMB)을 통해 악성 코드를 원격에서 실행할 수 있는 것이 특징이다.

특히 이번에 사용되는 랜섬웨어 악성코드(WannaCry)는 네트워크를 통해 접근할 수 있는 IP를 무작위로 검색하고, 취약점이 존재하는 컴퓨터에 스스로 침입하며 확산하는 방식이다. 즉 취약점 보안 패치를 하지 않았다면 PC를 켜고 인터넷에 연결하는 것만으로 해당 랜섬웨어에 감염될 가능성이 높으며, 같은 네트워크로 연결된 사무실이나 가정의 다른 PC로 전염된다.

사용자의 파일을 암호화하고 돈을 요구하는 WannaCry 랜섬웨어(출처=시만텍)

다행히 이 취약점을 보완하는 패치는 지난 3월 15일 이뤄진 윈도우 업데이트를 통해 이뤄진 만큼 꾸준한 업데이트를 진행해온 사용자라면 PC 사용에 큰 문제가 없으며, PC를 켠다고 해서 무조건 감염 되지도 않는다. 하지만, 업데이트를 진행하지 않은 윈도우 XP, 비스타, 7, 8, 8.1, 10 및 윈도우 서버 2003, 2008, 2012, 2016 등 현존하는 대부분 윈도우 운영체제는 업데이트가 필요하다.

만약 해당 패치를 진행하지 않았다면 PC를 켜기 전 인터넷 케이블을 뽑거나 노트북 같은 휴대용 기기의 경우 무선 공유기 끈 상태에서 PC 전원을 켜야 한다(가능하다면 이 상태에서 파일을 백업하는 것도 좋은 방법이다). 이후 SMB 기능을 해제해 악성코드가 접근할 수 없도록 차단하고, 차단을 마치면 다시 인터넷에 연결해 윈도우 최신 보안 업데이트를 설치하면 된다(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598). 특히 이번 사안의 경우 마이크로소프트가 지원을 중단한 윈도우 XP, 윈도우 서버 2003 등에 대해서도 해당 취약점을 보완한 업데이트를 제공했다.

윈도우 보안 업데이트 목록(출처=IT동아)

SMB 기능을 해제하는 방법은 윈도우 8 이상의 운영체제에서는 제어판 -> 프로그램 -> 프로그램 및 기능 -> 윈도우 기능 켜기/끄기 -> SMB 1.0/CIFS 파일 공유 지원 기능을 끄면 된다. 이 과정을 마치면 PC 재시작 후 인터넷 케이블을 연결하고 윈도우 보안 패치 및 안티 바이러스 소프트웨어를 최신 버전으로 업데이트하고 SMB 1.0/CIFS 파일 공유 지원 기능을 다시 켜면 된다. 이 기능을 켜지 않으면 다른 PC와 파일을 공유하거나 공유 프린터를 이용할 때 문제가 발생할 수 있으니, 취약점 보완 후 해당 기능을 다시 켜야 한다.

SMB 기능을 끄는 방법(출처=IT동아)

이스트시큐리티는 이러한 과정을 자동으로 수행하는 소프트웨어(http://cdn1.estsecurity.com/removaltool/WannaCryptorChecker.exe)도 공개했다. 해당 소프트웨어를 내려받아 실행하면 해당 취약점이 있는지 탐지하고, 이번 공격에 주로 사용되는 445번 포트를 차단한다. 이 상태에서 윈도우 보안 업데이트 및 안티 바이러스 소프트웨어를 업데이트하고, 해당 소프트웨어를 다시 실행하면 취약점이 발견되지 않았다는 메시지와 함께 차단됐던 포트가 다시 열린다.

랜섬웨어 점검 소프트웨어(출처=이스트시큐리티)

랜섬웨어 점검 소프트웨어(출처=이스트시큐리티)

윈도우 XP 사용자는 IP 접근 통제를 통해 허용된 사용자만 시스템에 접근할 수 있도록 기본 포트 번호를 바꿔야 한다. 윈도우 + R을 눌러 실행 창을 열고, 여기에 firewall.cpl 이라고 입력한다. 일반 탭에서 방화벽을 '사용'으로 설정하고, 예외 탭에서 내 시스템에 접근할 수 있는 IP를 수동으로 입력해야 한다. 하지만 이 방법은 일반 사용자에게 너무 어렵다. XP 사용자의 경우 안전한 PC에서 XP용 업데이트 파일을 내려받은 후 USB 등의 저장장치를 통해 자신의 PC(윈도우 XP)에 옮겨 설치하는 방법이 편하다. 물론 이 때 자신의 PC는 인터넷 연결을 해제한 상태여야 한다.

요약

1. 윈도우 보안 패치를 꾸준히 했다면 큰 걱정은 없어
2. 보안 패치를 하지 않았다면 인터넷 연결을 끊고 PC 부팅
3. 부팅 후 중요한 파일을 외장하드 등에 옮기고 SMB 기능을 차단
4. 기능 차단 후 윈도우 업데이트 및 보안 소프트웨어 업데이트 진행
5. 업데이트 후 인터넷에 연결하고 SMB 기능을 활성화
6. XP 사용자의 경우 안전한 PC에서 업데이트 파일을 받은 후 USB에 저장해 설치

그렇다면 이러한 랜섬웨어 공격을 예방할 수 있는 방법은 무엇이 있을까? 윈도우 업데이트 및 보안 소프트웨어 업데이트는 이러한 취약점을 해결하는 근본적인 방법이다. 여기에는 최신 공격 동향과 새롭게 발견된 취약점을 개선한 내용이 포함돼 있기 때문에 대부분의 공격을 차단하는 것이 가능하다. 업데이트는 완벽한 방어책은 될 수 없지만, 우리가 할 수 있는 가장 최선의 조치다.

랜섬웨어 예방을 위해 윈도우 업데이트는 필수다(출처=IT동아)

또, 사용자가 자신의 화면에 뜨는 경고 메시지를 무시하면 안된다. 윈도우 10 운영체제는 설치형 파일 실행 시 시스템에 위험을 줄 수 있다는 경고 메시지를 보여주고, 크롬 등의 웹 브라우저는 악성코드 유포 가능성이 있는 사이트를 알려준다. 워드, 엑셀 등 매크로 기능을 포함한 문서 파일 역시 파일을 열었을 때 매크로 기능을 실행할 것인지 물어본다. 하지만 우리는 이런 메시지를 보더라도 무심코 '확인'이나 '다음' 혹은 '실행' 버튼을 누른다. 이러한 습관을 고쳐야 한다. 경고 메시지 내용을 스스로 이해할 수 없다면 일단 '취소'나 '닫기' 버튼을 누르고, 이에 관해 잘 아는 사람에게 물어보거나 최소한 포털 사이트에 검색이라도 해보는 것이 좋다.

만약 랜섬웨어에 감염됐다 하더라도 공격자에게 대가를 지불하는 것은 바람직하지 않다. 랜섬웨어의 수익성을 확신한 해커는 이렇게 벌어들인 돈으로 더 새롭고 획기적인 공격 방식을 개발하고, 이를 통해 더 많은 피해자가 발생할 수 있다.

동아닷컴 IT전문 이상우 기자 lswoo@donga.com