침해사고/위협동향

“인터넷만 끄면 해결?” 랜섬웨어 생초보를 위한 10문10답

최민지

[디지털데일리 최민지기자] “컴퓨터를 켜기 전 랜선부터 뽑으라고 하던데, 랜선이 뭐죠? 와이파이 사용자는 어떻게 하나요? 스마트폰은 안전한가요? 인터넷 브라우저에만 접속하지 않으면 괜찮은 거죠?”

전세계를 휩쓴 워너크라이(WannaCry) 랜섬웨어, 한국도 예외는 없었다. 이에 각종 인터넷 사이트 등에서는 랜섬웨어에 대한 질문으로 가득 찼다. 지난 15일 실시간 검색어에 랜섬웨어가 올랐고, 대응방안을 담은 한국인터넷진흥원의 보호나라 사이트는 접속자 폭주로 한 때 마비됐다.

정부는 인터넷 랜선부터 뽑으라는 대국민행동요령까지 배포했지만, 랜섬웨어와 인터넷 기기에 익숙지 않은 사람들은 이마저도 어렵게 느껴질 수 있다. 이에 <디지털데일리>는 윤광택 시만텍코리아 최고기술책임자(CTO, 사진)와 ‘랜섬웨어 생초보’의 눈높이에 맞춘 일문일답을 진행했다.

Q. 랜섬웨어가 뭔가요? 워너크라이 랜섬웨어에 감염되면 컴퓨터를 사용할 수 없게 되는 건가요?

A. 랜섬웨어는 몸값(Ramsom)과 소프트웨어(Software)의 합성어로, 악성코드의 일종입니다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하는데, 이를 인질로 삼고 금전을 요구하죠. 랜섬웨어는 주로 이메일 첨부파일을 통해 감염되죠. 하지만, 랜섬웨어 종류는 다양합니다. 이번에 발생한 워너크라이 랜섬웨어는 인터넷에 연결되기만 해도 감염될 수 있는 종류입니다. 이 랜섬웨어에 걸렸다고 해서 컴퓨터를 다신 사용할 수 없게 되거나 시스템 자체가 망가지는 것은 아닙니다. 다만, 중요한 파일과 추억이 담긴 사진, 동영상 등 각종 데이터를 볼 수 없게 됩니다.

Q. 워너크라이 랜섬웨어에 걸려서 파일이 모두 암호화됐어요. 해커에게 돈을 지불하지 않고 데이터를 복구할 수 있는 방법은 없나요?

A. 현재까지는 복구할 수 있는 방법은 없습니다. 해커가 간혹 과거 버전의 랜섬웨어에 대해 암호화 키를 공개하기도 하는데, 보안업계에서 이를 활용해 복호화 툴을 발표하기도 합니다. 또는 랜섬웨어 공격자를 체포하면서 명령제어(C&C) 서버에서 복호화 키를 확보하는 경우도 있죠. 안타깝게도 워너크라이 랜섬웨어의 경우, 감염 후 데이터 복구를 당장 해결하기는 어렵습니다. 그렇다고 해커에게 돈을 지불하는 것은 매우 위험합니다. 범죄에 동조하는 것이며, 해커가 암호화를 풀어준다고 100% 보장할 수도 없죠. 미리미리 백업하는 예방 습관이 중요한 이유입니다.

Q. 컴퓨터를 켜기 전 랜선을 뽑으라고 하는데, 랜선이 뭐죠? 와이파이 사용자는 어떻게 해야 하나요?

A. 보안패치가 완료되고 최신 운영체제를 사용하고 있다면, 사실 이번 랜섬웨어에 걸릴 확률은 극히 낮습니다. 하지만, 보안패치가 돼 있는지조차 모를 수 있죠. 그래서 사고를 미연에 방지하기 위해 우선 인터넷 연결부터 차단하라는 것인데요. 우선 PC에 연결된 랜(LAN)선을 물리적으로 분리해야 합니다. 컴퓨터가 네트워크에 접속하지 않게 하는 거죠. 와이파이 사용자는 컴퓨터를 켜는 즉시 기존에 사용하고 있는 AP를 잡기 때문에 무조건 공유기부터 꺼야 합니다. 무선 공유기 전원을 끄는 것은 랜선 연결을 제거하는 것과 같은 거죠.

컴퓨터를 켜기 전 랜선부터 제거해야 한다.(사진 출처 다나와)
컴퓨터를 켜기 전 랜선부터 제거해야 한다.(사진 출처 다나와)
Q. 이번 랜섬웨어는 인터넷에 연결돼 있으면 감염된다고 하는데, 인터넷 브라우저만 안 켜면 되는 것 아닌가요?

A. 아닙니다. 인터넷 브라우저를 활성화시킨 상태가 아니더라도, 컴퓨터가 켜진 상태에서 와이파이나 랜선에 연결돼 있다면 접속 준비가 완료됐다고 볼 수 있습니다. 그 자체가 이미 인터넷에 연결된 것이죠. 인터넷익스플로러나 크롬창을 켜지 않았지만, 네트워크에 연결돼 있는 거죠. 보안상태가 좋지 않은 PC라면 네트워크에 연결된 컴퓨터를 켜는 것 자체만으로 랜섬웨어에 감염될 수 있습니다.

Q. SMB 포트는 어떻게 차단하나요?

A. 한국인터넷진흥원에서 자세한 설명을 해 놨습니다. 랜선을 제거한 후 SMB 포트를 차단해야 하는데요. 네트워크 방화벽 또는 운영체제 방화벽으로 SMB에 사용되는 포트를 차단하는 방식입니다. 워너크라이 랜섬웨어의 경우 TCP 445번 포트만 해당되나, 변종이 존재할 가능성이 있어 SMB 프로토콜 관련 포트인 UDP 137, 138, TCP 139까지 전부 적용하는 것을 권고하고 있습니다. 방법은 다음과 같습니다.

[제어판] -> [시스템 및 보안] -> [Windows 방화벽] -> [고급 설정] -> [인바운드 규칙] -> [새규칙] ->포트 -> TCP, 특정 원격 포트 선택 -> ‘139, 445’ 입력(UDP/137, 138 입력) -> 연결 차단 선택 -> 도메인, 개인, 공용 선택 -> 이름 입력

Q. 최신 운영체제를 사용하고 있는지 모르겠어요. 보안패치는 어떻게 다운로드 받나요?

A. 최신 운영체제를 확인하려면 [제어판]에서 시스템 항목에 접속하면 컴퓨터에 대한 기본정보를 볼 수 있습니다. 여기서 윈도 버전을 확인할 수 있죠. 윈도7 이상이면 제어판 메뉴에서 윈도 업데이트를 실행할 수 있습니다. 윈도XP 등 지원이 종료된 운영체제는 MS 업데이트 카탈로그 사이트(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에서수동으로 설치하면 됩니다.

좀 더 안전하게 하려면, 보안패치를 안전한 컴퓨터에 내려받아 USB에 옮기고 본인의 컴퓨터에 설치하면 됩니다. 사실, 3월경 MS에서 보안패치를 배포했기 때문에 자동업데이트 사용자라면 걱정할 필요는 없습니다. 이번에 컴퓨터 보안패치를 점검하면서 인터넷브라우저부터 애플리케이션, 플래시, 자바 등의 패치까지 한 번에 해 놓는다면 더 안전하게 사용할 수 있습니다. 또, 윈도 자동업데이트로 설정을 바꾸시는 것도 좋겠네요.

Q. 보안패치가 됐는지 어떻게 확인할 수 있나요?

A. 한국인터넷진흥원에서 최신버전 사용 유무 확인 방법과 SMB 취약점 패치 여부 확인 방법을 설명했습니다. 우선, 최신버전을 사용하는지 확인하는 방법입니다.

-윈도 10 사용자
[Windows 설정] -> [업데이트 및 복구] -> [Windows 업데이트] -> 업데이트 확인
-윈도 7 사용자
[시작] - [제어판] -> [Windows Update] (안 보이는 경우, 보기 기준을 작은 아이콘으로 변경) -> 업데이트 상태 확인

SMB 취약점 패치 여부 확인 방법은 다음과 같습니다.
-윈도 10 사용자
[Windows 설정] -> [업데이트 및 복구] -> [업데이트 기록] -> 설치된 업데이트 목록에서 “KB4012606”,
“KB4013429”, “KB4013198” 중에 하나라도 있으면 패치 적용 상태
-윈도 7 사용자
[시작] - [제어판] -> [Windows Update] (안 보이는 경우, 보기 기준을 작은 아이콘으로 변경) -> [업데이트 기록 보기] -> “KB4012212” 또는 “KB4012215”가 존재하는지 확인
-윈도 XP 사용자 [Windows 키 + r] 후 cmd 입력 -> cmd 창에서 ‘wmic qfe list’ 입력 후 엔터 -> KB4012598 존재 여부 확인

Q. 클라우드 백업은 괜찮나요?

A. 랜선 제거 후 백업을 먼저 해놓는 것을 추천합니다. 백업은 클라우드로 이용할 수 있고 외장하드처럼 분리 매체에 사용할 수도 있는데요. 클라우드 서비스를 의심하는 것은 아닙니다. 다만, 클라우드의 위험은 내가 물리적으로 관리하지 않을 때 발생할 수 있죠. 계정관리를 철저히 해야 하는데요. 비밀번호를 주기적으로 변경하고 예측 가능한 비밀번호를 사용하지 말아야 합니다. 이중 인증 등을 사용하는 신뢰된 서비스를 선택할 수도 있습니다.

이번 랜섬웨어는 클라우드와는 큰 연관은 없습니다. 다만, 많은 해커들은 클라우드까지 공격할 준비를 갖추고 있죠. 클라우드도 온라인에 연결돼 있으니까요. 워너크라이의 경우 웜 방식을 통해 히트를 쳐 클라우드까지 진출하지는 않을 것으로 예상합니다. 하지만 하지 않는 것뿐이지, 할 수 없는 것은 아니죠. 랜섬웨어도 소프트웨어입니다. 해당 기능을 넣느냐 안 넣느냐의 차이입니다.

외장하드 또는 USB를 통해 중요한 파일을 백업해 놓아야 합니다. 별도로 복사본을 분리된 매체에 저장해놓아야 랜섬웨어에 감염되더라도 피해를 줄일 수 있습니다.

Q. 랜선 제거 후 백업했고, SMB 포트를 차단하고 최신 운영체제 및 보안 업데이트까지 모두 끝냈어요. SMB 차단 설정은 다시 풀어야 할까요?

A. 포트를 차단해도 인터넷은 사용 가능합니다. SMB 포트는 파일 공유 항목이기 때문에 프린터나 기업 및 기관에서 사용할 때 일부 기능이 제한될 수 있습니다. 이러한 기능이 필요하다면 다시 설정을 통해 차단을 풀어야 합니다.

Q. 스마트폰은 안전한가요?

A. 워너크라이 랜섬웨어는 윈도 운영체제 취약점을 악용한 공격입니다. 이에 윈도를 대상으로 하죠. 스마트폰은 주로 안드로이드와 iOS 운영체제입니다. 이 랜섬웨어에서 스마트폰은 대상이 아닙니다. 맥북도 마찬가지로 대상에서 제외됩니다. 그러나 모든 랜섬웨어가 스마트폰과 맥, 리눅스 등을 제외하는 것은 아니죠. 수많은 랜섬웨어와 변종들이 매일 발생하고 있기 때문에 반드시 안전하다고 말할 수는 없습니다.

본인의 컴퓨터와 데이터를 안전하게 지키려면 스스로 노력해야 피해자도 가해자도 되지 않습니다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널