랜섬웨어 예방방법

인터넷 연결만 되어있어도 감염되는 렌섬웨어! 차단방법은?

 

▶ 최악의 악성코트, 랜섬웨어란?

전 세계 150개국 20만건에 달하는 피해를 입히고 있는 악성코드 랜섬웨어란, 몸 값을 뜻하는 랜섬과 소프트웨어의 합성어입니다. PC에 있는 데이터들 중 사용자의 개인 데이터가 있을 법한 특정 확정자를 건드려 선택적, 불규칙적으로 해커가 개발한 암호화 방식에 따라 파일이 잠궈버리는 것이 특징입니다. 주로 건드리는 파일 확장자는 png, jpg, doc 등의 사진, 동영상, 문서확장자가 대표적입니다.

Ransom + Software = "Ransomware"

컴퓨터를 재부팅하거나 암호화된 파일(사용하던 파일의 확장자가 바뀌어 있음)을 열려고 할 때 "암호화되었으니 비용을 지불하라"는 경고 메시지가 뜬다면 랜섬웨어에 걸린 것이라고 보시면 됩니다. PC마다 다 다른 암호들이 걸리며, 전문 프로그래머도 이 암호를 쉽게 풀어내기가 어렵다고 합니다. 단 한 대의 PC가 감염되도 연결된 모든 PC로 퍼지기 때문에 정말 악질적인 악성코드입니다.

지난 5월 12일 영국의 국민보건서비스 (한국의 건강보험공단과 유사한 조직)가 랜섬웨어의 공격을 받아 산하 40여 개 병원이 환자 기록 파일을 열지 못하는 등 진료에 어려움을 겪었다고 합니다. 국내의 경우 주말이 겹쳐 업무용 컴퓨터들이 대부분 켜져있지 않았기 때문에 직격탄은 면했으나 업무가 시작되는 월요일부터 랜섬웨이의 공격 및 피해가 본격화 될 것으로 보입니다.

 

▶ SMB포트를 차단(방화벽 설정)방법

워너크라이 랜섬웨어는 MS 윈도우 운영체제의 SMB 취약점을 이용해 전파되며, 취약한 컴퓨터의 경우 부팅 시에 감염될 수 있습니다. 또한 단순히 웹사이트에 접속하는 것 만으로도 바이러스 감염이 될 수 있기 때문에, 사전에 윈도우 보안패치 및 백신 업데이트 등의 조치가 필요합니다. (여기서 SMB란 'Server Message Block'의 줄임말이며, 파일 및 장치를 공유하기 위해 사용되는 통신 프로토콜입니다)

정부는 랜섬웨어로 인한 PC의 대규모 감염을 막기위해 'SMB포트를 차단(방화벽 설정)방법'을 발표했는데요. 아래에 있는 차단방법을 보고 PC에 적용을 하시면 됩니다.

① 컴퓨터 부팅전 인터넷을 차단(랜선 연결 제거)

② SMB포트를 차단한 후 프로토콜 비활성화

③ 인터넷에 연결해 윈도우 보안패치 및 백신 업데이트

 

1. 제어판 -> 시스템 및 보안

 

2. Windows 방화벽

 

3. 고급설정 클릭

 

4. 인바운드 규칙 → 새규칙 → 포트선택 (★를 따라가세요)

 

5. "특정 로컬 포트" 선택 후 [137-139,445] 입력 후 다음

 

6. "연결 차단" 선택

 

7. 도메인, 개인, 공용 3가지를 선택 후 다음

 

8. 이름에 "SMB 차단"을 적고 마침을 누름

 

인바운드 규칙 목록에서 SMB 차단이 완료된 것을 볼 수 있습니다.