워너크라이 랜섬웨어 예방방법과 검사 무료 원격지원 서비스

요 며칠 렌섬웨어로 시끄럽습니다.

어제 보도에 따르면 전세계적으로 20만대가 랜섬웨어에 피해를 받은 것으로 알려져 있습니다.
우리나라도 월요일이 되면 피해가 많이 보고 될 것으로 예상하고 있습니다.
이번에 유행하는 랜섬웨어는 워너크라이(Wanna Cry)라는 이름으로 전세계적으로 심각한 상태입니다.

JTBC 토요일 뉴스 30분 18초에 랜섬웨어 뉴스가 나옵니다. (플레이하시면 랜섬웨어 리포트 부분이 나옵니다)

일단 렌섬웨어가 뭔지 알아보겠습니다.

랜섬웨어란?
악성코드, 바이러스의 일종으로 대상의 컴퓨터안에 있는 파일들을 암호화해서 잠궈 버리는 악성 프로그램입니다.랜섬웨어에 감염되면 파일을 열려고 할 때 암호입력을 요구하게 되고 암호를 풀고 싶다면 돈을 입금하라고 합니다.이름에서도 알 수 있듯이 Ransom은 몸값이란 뜻으로 몸값 즉 사용자의 중요한 자료에 암호를 걸고 암호를 해제하고 싶다면 돈을 내라는 협박을 하는 방식입니다.

그런데 여기서 생각해 볼 문제가 있습니다. 
과연 돈을 지불하면 파일을 풀어 줄 것인가 입니다. 제 생각에는 그렇지 않을 것 같습니다. 어차피 해커는 불법적인 방법으로 돈을 벌겠다고 악성프로그램을 유포 시켰습니다. 그런 해커가 돈을 받았다고 순순히 파일의 암호를 풀어 줄 것 같진 않네요.

또한 가지 재미있으면서 생각해볼 문제는 해커들도 추적이 되는 통화(돈)으로는 받고 싶지 않았던 모양입니다. 뉴스에 따르면 비트코인이라는 전자화폐로 지불하라고 한다고 합니다. 비트코인은 최근 많이 주목 받으며 다음 세대의 통화로 거론되기도 합니다. 분석에 따라서는 기축통화가 될 수 있다는 얘기도 있기도 합니다. 그러나 아직까지는 비트코인에 대해 모르는 사람이 더 많을 뿐아니라 비트코인이 뭔지 안다 해도 어떻게 사고 어떻게 지불해야 하는지 아는 사람은 많지 않습니다. 

즉 해커가 요구하는 대로 몸값을 지불하려면 비트코인 부터 공부하셔야 됩니다.
물론 진짜로 이 '몸 값'을 지불 하실 분은 없으시겠지만요.

한국인터넷진흥원의 사이버위기 경보 단계도 관심에서 주의로 상향 됐습니다.
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25724

상황이 정말 심각하다는 뜻으로 생각 할 수 있습니다.

랜섬웨어는 해결책을 찾기보다 예방을 철저히 하는 방법밖에 없습니다.
이번에 문제가 되는 랜섬웨어는 마이크로소프트 윈도우의 보안 허점을 공격하는 방식으로 예방의 기초는 윈도우 보안업데이트를 최신으로 유지 하는 것입니다. 

아래는 한국인터넷진흥원에서 밝힌 랜섬웨어에 대한 정보입니다.
http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

랜섬웨어 위협 대상 OS 

• Windows 10
• Windows 8.1
• Windows RT 8.1
• Windows 7
• Windows Server 2016
• Windows Server 2012 R2
• Windows server 2008 R2 SP1 SP2

http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25704
모든 운영체제는 위 링크에서 볼 수 있습니다.

해결 방안(이라고 하지만 제가 보기엔 예방 방안 입니다)

• 보안 업데이트가 중단된 운영체제는 윈도우7 이상으로 업그레이드 하고 모든 운영체제는 최신 보안패치 적용
• 방화벽장비와 윈도우 방화벽, 개인 방화벽 소프트웨어등을 통해 SMB(윈도우 파일 공유 프로토콜)관련 네트워크 포트 차단
• SMB관련 설정 및 모든 프로그램을 종료하여 SMB를 통한 감염경로 차단
• RDP(리모트 데스크 탑, 원격제어)사용시 포트를 변경해서 사용하고 인증된 사용자만 접속할 수 있도록 설정
• WebDAV 서비스 사용중지

기술적인 얘기가 너무 많아서 어렵게 보일 수 있습니다. 한 줄로 요약하자면 네트워크상 파일공유를 하지 말고 그것을 위한 프로그램과 네트워크 연결을 비활성화 해서 아예 접근을 차단하라는 얘기입니다.

추가적으로 위의 조치는 이미 감염이 된 후에는 의미가 없으므로 일단 컴퓨터가 부팅 되기 전에 물리적으로 네트워크 연결을 차단한 뒤에 파일공유 관련 프로그램과 연결을 비활성화 시켜야 합니다. 쉽게 말해서 랜케이블을 제거한 뒤 작업을 하시면 됩니다. 파일공유관련 해서 모든 접근을 차단 하셨으면 네트워크 연결을 하고 운영체제의 보안패치를 최신까지 다 적용하세요.

여러번 말씀드리지만 예방이 최선입니다. 
감염된 뒤에는 늦습니다. 요구한 돈을 지불한 다 해도 정상적으로 자료를 찾는다는 보장도 없고 백신을 통해서 랜섬웨어를 제거 할 수 있을지도 알 수 없습니다. 무조건 예방 해야 됩니다. 

▶중요한 자료는 꼭 백업 하고
▶운영체제의 보안패치는 최신으로 유지하고
▶방화벽 및 백신 프로그램 사용

하여 철저히 예방하는 수 밖에 없습니다. 모두 피해 없으시길 빕니다.

KISA 한국인터넷진흥원 랜섬웨어 예방을 위한 보안수칙
https://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=1515

추가

랜섬웨어 확인 방법으로 랜섬웨어 감염 증상 몇 가지가 있어서 소개 합니다.
아래와 같은 프로그램을 볼 수 있고 바탕화면에도 당신의 파일이 암호화 됐다는 메세지가 나타나기도 합니다.
http://blog.alyac.co.kr/1092 이 링크에서 더 자세히 확인하실 수 있습니다.

랜섬웨어 검사 방법은 한국인터넷진흥원 홈페이지에서 프로그램을 받아 검사하실 수 있으며 원격지원 서비스도 무료로 제공하고 있습니다.
https://www.kisa.or.kr 

랜섬웨어 치료, 복구 방법은 몇몇 서비스가 있는 것 같은데 실제 치료가 가능한지 모르겠습니다. 일단 소개는 해보겠습니다.
아래 사이트는 랜섬웨어 복구툴을 제공한다 하니 한번 방문해 보세요.
https://www.nomoreransom.org/co/index.html