최근 수정 시각 : 2024-12-08 21:07:47

랜섬웨어/예방법

파일:상위 문서 아이콘.svg   상위 문서: 랜섬웨어
1. 개요2. 백업
2.1. NAS2.2. 공 CD/DVD/블루레이2.3. 클라우드 서비스2.4. 시스템 복원2.5. 외장 하드/USB 드라이브
3. 안티 바이러스 업데이트 및 보안 취약점 패치, 차단 솔루션 병행 사용4. 하드웨어 / 소프트웨어적 격리
4.1. 액세스 권한4.2. 기억 장치 분리
5. 읽기 전용 디스크 설정6. 문제의 보안 허점 소프트웨어 삭제 7. 브라우저의 광고 차단 플러그인 사용8. 정품 소프트웨어와 콘텐츠 사용 그리고 정식 프로그램 배포 사이트 확인9. 확장자 및 유형이 com, exe, bat, 스크립트 일시 관리자 권한으로 실행하지 않기10. 수동 대처 방법11. 그 외의 피해 최소화 방법

1. 개요

운영체제에 파일 쓰기 기능이 있는 한, 예방만이 상책이다. 랜섬웨어 뿐만 아니라 거의 모든 악성 프로그램이 파일 쓰기, 그 중에서도 파일 덮어쓰기 기능을 악용하고 있기 때문이다. 따라서 아래의 예방법은 랜섬웨어 뿐만 아니라 대부분의 컴퓨터 바이러스 감염 예방에도 도움이 되는 법이다. 애초에 랜섬웨어가 바이러스, 나아가 악성코드의 한 갈래이니 당연한 이치이다.[1]

구체적으로는 크게 백업과 격리, 예방으로 나눌 수 있으며 그 외의 대응 수단은 없다. 공격자가 요구하는 금액을 주면 운 좋게 해독 키를 받을 가능성이 없지는 않으나, 랜섬웨어 문서에서 보듯 먹튀 가능성도 있고 여러모로 추천할 만한 방법은 아니다. 범죄자와 거래를 하는 순간 약점이 잡혀서 더 뜯길 수 있는 건 다반사고, 거래 자체가 불법인 경우는 더욱 말할 것도 없기 때문이다.

이론상으로는 랜섬웨어에 걸린 파일들을 해커의 협조 없이 복구하는 것은 현실적으로 불가능하나, 랜섬웨어를 개발한 개발자가 잡혀서 복호화 키를 압수해서 경찰이 이를 공개하는 경우나, 랜섬웨어 자체에 결함이 있어서 이 결함을 통해 암호를 알아낼 수 있는 경우가 있다. 하지만 이 두 가지 경우를 제외하고는 현실적으로 스스로 암호를 푸는 것은 거의 불가능하며 특히 후자라면 최신 랜섬웨어는 그러한 결함들을 다 보완해서 나오는 경우가 대부분이라 범인들이 다행히 복호화 키를 파쇄하지 않은 채로 검거되지 않는 이상 현실적으로 복구가 매우 어렵다. 복호화 키를 받아도 100% 완벽 복원은 불가능한 경우가 있는 데다, 컴퓨터 전체를 봉인하지 않더라도 최소한 랜섬웨어에 암호화된 SSD나 하드 디스크는 분리해서 기약 없이 복호화만 기다려야 하니 금전적, 정신적 피해도 심각하다.

그러니 중요한 자료를 보유하고 있는 사람이라면, 바로 백업 및 보안 조치를 시작해야 한다. 파일별로 사회적 거리두기를 실천해야 한다는 얘기다.[2] 백신 프로그램 역시 점검한다. 이미 V3 Lite무료백신에도 랜섬웨어를 차단하기 위한 감시 기능이 탑재되어 있으며,[3] 앱체크 , 랜섬디펜스 등의 무료 랜섬웨어 전문 백신도 설치하면 더 좋다. 백신의 주기적 업데이트와 의심스러운 사이트 접속을 피하는 것만으로도 상당 부분 예방이 가능하니 참고하면 좋다. 한때 파일의 확장자를 바꾸어 두는 방법으로 랜섬웨어 감염을 회피하는 방법이 있었으나, 매직넘버를 기반으로 하는 신형 랜섬웨어에는 이게 통하지 않는다. 2017년 4월만 해도 각종 인터넷 사이트에 신종 랜섬웨어에 당한 후기들을 보면 문서, 사진, 영상 등 파일 확장명을 .aaa 등으로 바꿨지만 소용없고 탈탈 털렸다는 비명들이 쏟아지기도 했다. 그럴 바엔 차라리 랜섬웨어 감지 프로그램을 설치하고 백신을 자주 업데이트하는 게 유리하다.

많은 랜섬웨어들이 어도비 플래시 등을 통해 유입되었고, 이것 하나 때문에 플래시를 기피하는 풍조가 생기기도 했다. 때문에 익스플로러가 아닌 크롬 또는 파이어폭스를 사용하는 예방책도 있었다.[4] 클리앙, 뽐뿌 사태에서도 볼 수 있듯 일반 사이트에서도 광고를 통해 랜섬웨어가 대량 유입되고 있기에, 애드가드, 유블록 오리진 등으로 랜섬웨어 감염 위험성을 크게 낮출 수 있다. 몇몇 차단 프로그램은 1 ~ 3시간 단위로 업데이트가 올라오기도 하기 때문에, 차단 필터를 자주 업데이트하는 것도 좋다. 광고를 통한 랜섬웨어 유입 및 확산은 개인 소비자 뿐만 아니라 구글 등 광고를 이득으로 삼고 있는 회사들 역시 큰 타격을 받게 하는 원인이 되기도 하는데, 수익 창출을 위해 자주 노출시켜야 할 광고들이 애드블록 등으로 인해 차단되고 있기 때문이다.

2. 백업

가장 강력하고 가장 확실하며 수많은 실전 경험이 축적되고 검증된 대처법이다. 백업을 이기는 랜섬웨어는 없다. 아래 설명된 모든 방법을 시도하기 전에 백업부터 먼저 챙겨야 한다. 아래 설명된 방법들을 다 지켜서 철통방어를 한다고 해도 창은 언제나 방패를 이겨왔다. 백업이야말로 그 무엇보다 최고의 보험이다. 단 랜섬웨어 감염 이전에 미리 챙겨야 한다. 백업 항목을 가서 보면 알겠지만 백업은 랜섬웨어 외에도 파일의 손상과 유실을 야기하는 수많은 재난 상황에서 가장 신뢰할 수 있는 복구 수단이다.

백업 방법으로는 아래의 다섯 가지 정도가 있는데, 강력한 순서대로 정리되어 있다.

2.1. NAS

NAS가 일반 사용자 입장에서는 가장 안전한 보호 수단이다. 물리적으로 분리되어 있고 백업 솔루션이 기본으로 장착되어 있고 전기와 공간도 적게 차지하고 여러 부가 기능이 덤으로 따라오기 때문이다. 무엇보다 한 번 설정해 놓으면 자동으로 작동한다.

단 여기서 랜섬웨어에 방어가 된다고 하는 부분은 NAS 데이터 본체나 일반적인 백업이 아닌 NAS의 스냅샷 기능을 활용한 백업을 말한다. 스냅샷 적용 백업 솔루션은 랜섬웨어에 당한 파일의 과거 버전을 가지고 있다. 즉 PC의 파일이 감염되고, NAS의 파일이 감염되고, 심지어 감염된 파일이 백업까지 되었다 하더라도, NAS 백업 장치에 존재하는 파일의 과거 버전은 그대로이기 때문에 백업 복구가 가능하다. 혹 실수해서 랜섬웨어 실행 파일까지 복구하는 바람에 또 감염됐어도 여전히 NAS 안에는 감염 이전 파일이 남아 있으므로 무한히 복구 시도를 할 수 있다.

요즘(2020년)에는 와이파이형 NAS도 나와 있어 일종의 무선 외장 하드처럼 쓸 수 있는 제품도 있다. 외장 하드의 이동성과 NAS의 강력함을 둘 다 갖춘 하이브리드형 제품이다. 단점은 무선 방식이므로 아무래도 보안성은 떨어진다.

물론 NAS도 일종의 컴퓨터이기에 전용의 바이러스나 랜섬웨어에 감염될 수는 있다. NAS를 타깃으로 한 랜섬웨어 감염 사례는 극히 드물지만 이론상으로 불가능하진 않으므로 의외로 사례가 많다. , 업데이트는 제때 해야 한다. 그리고 반드시 NAS의 관리자 암호는 바꾸고 사용해야 한다.

중요한 것은 NAS의 파일 연결에 SMB[5] 등 운영체제에서 사용하는 프로토콜을 사용하지 말 것. 네트워크 드라이브까지 쉽게 감염시켜버린다. 백업시에만 별도 계정을 사용하는 FTP나 기타 프로토콜을 사용하는 클라이언트 등을 사용해서 연결하는 것이 좋다.

2.2. 공 CD/DVD/블루레이

NAS 다음으로 안전한 게 바로 1회 쓰기만 가능한 광학 매체에 보관하는 것이다. 싸구려 CD는 염료의 안정성이 떨어져 데이터 보존성은 약 1년 내외로 잡고, 비교적 신뢰할만한 수준의 공DVD의 데이터 보존성은 7~15년이다. 이러한 짧은 보존 기간이 염려된다면 가격이 비싼 대신 1000년의 내구성을 자랑하는 M-DISC라는 매체도 있다. 매체의 염료를 태워서 기록하는 특성상 1회 기록만 가능하고 DVD Writer의 펌웨어를 해킹하지 않는 이상에야 이미 기록된 데이터를 파괴할 수도 없다. 해커가 물리적으로 미디어를 탈취하여 파괴하는 것[6]외에 기록이 완료되어 보관 중인 미디어의 데이터를 파괴할 방법은 없다.

용량 문제가 단점인데 CD는 일반적으로 한 장당 700MB이며[7], DVD라도 4.7GB, 듀얼 레이어로 기록해도 9.4GB 정도가 한계이므로 중요한 문서나 사진 정도를 제외한다면 전체 자료를 백업하는 건 매우 힘들다. 다른 매체에 비해 기록에 시간이 많이 걸리는 것도 단점이므로, 해당 파일을 더 이상 수정할 일이 없으면서 용량이 작고 중요한 자료들의 보조 백업 용도에 더 적합하다.

CD나 DVD 자체의 불량으로 백업한 자료가 일부 또는 전부가 손상되어 복사되는 일도 종종 있으니, 반드시 쓰기 작업 후엔 파일의 완전성을 다시 확인하고 백업을 마쳐야 한다. 검사 프로그램을 돌려보거나 파일을 HDD에 복사해 보면 바로 알 수 있으니 반드시 체크해야 한다.

한국에서는 대중화하지 않았지만, 일본에서는 꽤 널리 쓰이는 블루레이 디스크 백업(BD-R)도 있다. 한 장당 100GB 용량까지 나왔으며 한 장당 가격은 2만 원 선이다. 용량당 단가는 하드 디스크보다 비싸지만, 데이터 안전성을 중시한다면 블루레이 디스크도 검토해 볼 수 있을 것이다.

2.3. 클라우드 서비스

보호해야 할 자료가 상대적으로 저용량이라면 구글 드라이브, 드롭박스 등의 동기화 식의 클라우드 서비스를 이용하면 편리하다. 여러 컴퓨터에서 동시에 이 서비스들을 사용할 경우, 자동으로 데이터를 동기화해주기 때문에 다른 컴퓨터를 잠깐 껐다 켜 주는 것만으로도 백업을 진행해 준다. 또 대부분의 클라우드 서비스는 돈을 일정량 지불하고 용량 확장도 가능하니 필요하다면 활용해도 좋다. 랜섬웨어에 오염된 줄도 모르고 그대로 동기화시켜 버리면 망했다고 생각할 수도 있으나, 이러한 서비스들은 클라우드 서버에 일정 기간 파일 히스토리를 남기기 때문에 암호화를 당한 지 오랜 시간이 지나지 않았다면 해당 시간대로 복구가 가능하다. 원드라이브는 동기화가 되었을 경우 원드라이브 웹페이지에서 임의의 시점으로 복원 가능하다.[8]

백업만 전문으로 하는 클라우드 서비스를 사용하는 것도 방법이다. Backblaze나 CrashPlan 같은 곳이 이런 곳인데, 파일 히스토리를 처음부터 끝까지 남겨 놓기 때문에 언제든지 원하는 시점으로 돌려서 복구가 가능하다.

클라우드 서비스의 단점은 암호와 아이디 관리를 잘 해야 하고, 민감한 개인정보나 기밀 자료 보관엔 상대적으로 적합하지 않다. 해킹이나 오류 등으로 인해 "연인 간의 은밀한 사진이 털렸어요" 부터 시작해서 회사 기밀 자료가 날아갔다는 사례가 인터넷 검색만 해봐도 유명인들을 포함해서 줄줄 나온다. 정말로 민감하거나 강력한 보안을 요구하는 자료는 암호화를 해서 넣어야 하고, 오프라인에 백업해서 보관하는 편이 낫다.

다른 문제점으로는 클라우드 서비스를 제공하던 회사가 망하거나 서비스를 중단해서 자료와 함께 없어지거나 회사 서버의 해킹이나 치명적인 오류로 인해 저장한 데이터에 손상을 입는 문제도 심각하다. 가격만 보고 중저가의 클라우드 회사를 골랐다가는 이런 문제를 당할 확률이 급속도로 올라간다. 물론 값비싸고 관리가 철저한 회사는 이런 문제에서 상대적으로 안전하지만, 반면에 정기적으로 내는 비용도 올라가므로 컴퓨터를 어느 정도 다룰 줄 아는 개인이 직접 NAS 등을 운영하며 외장 매체에 다중 백업하는 비용이 훨씬 저렴할 수 있다는 것은 생각해 볼 문제이다. 그러므로 클라우드는 어디까지나 편리하게 자료를 관리하기 위해 보조로 같이 쓴다고 생각해야지, 100% 의존하는 것은 상당히 위험하다.

2.4. 시스템 복원

또한 시스템 복원 지점을 정기적으로 설정했다면 파일 복구가 아예 불가능한 것이 아니다. 하지만 요즘 나오는 랜섬웨어는 시스템 복원 지점을 기본적으로 삭제해 놓고 들어간다고 하니 주의해야 한다. 특히 윈도우에서 제공하는 기본 복원은 최신 랜섬웨어가 무조건 망가뜨린다.
그래서 시스템 복원은 WinBACK, 하드보안관이나 디스크샷, 발자국 등의 MBR 암호화와 함께 자료 보호 기능을 가진 초기화 프로그램들을 사용하는 편이 더 안전하다. 기본적으로 중요 시스템에 대한 기본적인 마스터 권한을 유저에게 주지 않으므로 외부의 위협에서 상당 부분 보호할 수 있다. 더구나 초기화를 시키는 게 쉽게 가능하므로, 사용자가 이것저것 이상한 프로그램을 깔아 두는 경우나 은행/공공 기관의 ActiveX, EXE 실행 파일 쓰레기 설치 문제도 해방될 수 있다. 가족이나 여러 사람이 공용으로 쓰는 컴퓨터면 랜섬웨어가 아니어도 상당히 고려할만한 옵션이다.
다만 이것도 MBR을 공격하는 랜섬웨어에 100% 안전한 방법은 아니고, 껐다 켜면 초기화를 시키는 유형의 프로그램은 정전이나 셧다운, 사용자의 부주의로 인해 중요 자료가 갈려나가는 수가 있어서 PC방 등의 공용 컴퓨터에 더 적합하다.
윈도우에서 기본적으로 제공을 하고 있는 시스템 복원 지점을 만들어 두었다고 하면 ShadowExplorer(섀도우 익스플로러)를 통해서 복구는 가능하나 최근에 나오는 랜섬웨어들은 해당 시스템 복원 지점을 파괴하므로 해당 방법은 거의 무력화되었지만 그래도 운이 좋아서 시스템 복원 지점이 살아 있으면 복구를 시도할 수 있다.ShadowExplorer(섀도우 익스플로러 다운로드)
ShadowExplorer(섀도우 익스플로러 사용 방법)

2.5. 외장 하드/USB 드라이브

평상시에 컴퓨터로 계속 연결하여 방치하는 경우는 랜섬웨어 감염 시 가장 믿을 수 없는 매체다. 랜섬웨어가 언제 걸릴 지 예측이 불가능하기 때문에 감염 당시에 운 좋게 외장 하드를 연결하고 있지 않았어야 파일 복구가 가능하다. 그런데 외장 하드를 백업용으로 사용하고 있다면 대부분이 주 하드 디스크 고장 등 물리적인 재난을 대비하기 위해서 사용하기 때문에 항상 컴퓨터에 꽂혀 있게 된다. 랜섬웨어는 이런 외장 드라이브의 파일들은 기본적으로 찾아내 변조시킨다. 플래시 메모리를 쓰는 USB 드라이브는 더 심한데 이것은 자성체 디스크를 쓰는 외장 하드에 비해 매체 자체의 안정성도 떨어진다. 정전기가 튀거나 USB 전원이 좀 잘못 들어가도 칩이 타버려 못 쓰게 되어 버린다. 쓰기 작업을 자주 하면 셀 수명이 다해 역시 못 쓰게 되며 특히 셀 수명이 짧은 TLC를 쓰는 값싼 보급형을 외장 하드처럼 사용하면 더욱 빠르게 속도가 느려지고 셀이 급속도로 소모된다. 애당초 USB 드라이브의 목적은 플로피 디스크를 대신하는 간편한 이동식 보조 저장장치이며, SSD처럼 지속적으로 컴퓨터에 꽂고 각종 파일의 입출력을 하루 종일 하라는 용도로 만든 것이 아니다. 정말 백업용으로 사용할 작정으로 하루에 한 번씩 정기적으로 연결-백업-분리라는 일과를 수행할 작정이라면 상관없지만 그 정도로 꼼꼼한 사람이라면 랜섬웨어에 감염조차 되지 않을 것이다. 게다가 저가형 USB 디스크는 백업 속도까지 느린 지라 작은 용량의 파일들이 많거나 수십 GB 단위의 대용량을 백업하는 것은 시간 소모가 크고 힘들다.

다만 외장 하드 같은 경우는 굽는 시간이 제법 걸리고 하나하나 이름을 붙여 제대로 보관해야 하는 광학 매체 등보다 더 편리한 백업 수단이기는 하고, 이런 장점을 살려 항상 컴퓨터에 연결해서 사용하지 않고 자료를 백업하거나 백업한 자료가 필요할 때만 컴퓨터에 연결해서 사용하는 사람도 없는 것은 아닌데, 이 경우 랜섬웨어 대비 백업용으로도 나쁘지 않다.(연결-백업-분리를 매번 한다고 해 봤자, USB 케이블 꽂는 게 전부인데 딱히 번거로운 일은 아니다.) 다만 저장 매체의 특성상 랜섬웨어뿐만 아니라 각종 악성코드나 바이러스 전반에 취약한 면이 있으니 취급에는 주의해야 한다. 당연하다면 당연하겠지만 외장 하드를 연결하기 전에 컴퓨터에 이상 증상이 있는지 생각해보자. 인터넷 접속을 차단한 상태로 연결한다면 더욱 좋다. 물론 외부 충격이나 분실 위험에도 주의해야 하니 절대 백업한 외장 하드 원본은 남에게 함부로 빌려주면 안 된다. 빌려준 외장 하드를 파손하거나 잃어버리는 것도 문제이고, 역으로 빌려준 저장 매체를 통해 다른 사람이 걸린 바이러스 또는 랜섬웨어가 유입되어 당한 사례 등이 인터넷 등에 매우 많다. 꼭 보내야 할 파일이나 대용량 자료가 있다면 백업해 둔 외장 하드 대신, 당사자만 공유하는 구글 드라이브 등의 네트워크 드라이브로 받고 삭제하거나 대용량 이메일 첨부를 이용해야 한다. 어차피 업무적으로 몇백 GB나 TB 단위의 자료가 자주 오갈 일은 드물지만, 그런 유형의 회사라면 자료 전달용 외장 하드는 따로 구해서 쓰고 백업본은 절대 건드려서는 안 된다.

3. 안티 바이러스 업데이트 및 보안 취약점 패치, 차단 솔루션 병행 사용

일반적인 바이러스에 대해서도 당연하게 언급되는 이야기지만 운영체제(OS), 안티 바이러스(백신) 프로그램 업데이트를 꾸준하게 해 주는 게 좋다. Windows 보안 업데이트 역시 당연히 필수로 여겨진다.
그리고 보통은 이런 보안책이 없는 윈도우 XP에서 기승을 부리기 때문에 되도록 산업용이 아니면 가급적 최신 버전 OS를 설치해서 사용하는 게 좋다. 윈도우 7 역시 최신 업데이트를 하지 않으면 얄짤 없이 감염되며 최근에는 Windows 8.1, Windows 10에서의 감염 사례도 보고되고 있다. 또한 유틸리티등을 꾸준히 업데이트하며 보안취약점을 최소화 시켜야한다.

랜섬웨어가 기승을 부릴 때는 바이러스 토탈에 들어가 자신이 들어가고자 하는 사이트, 혹은 다운받은 파일에 랜섬웨어가 심어져 있는지 확인하는 것이 좋다. 그리고 Windows Vista, Windows 7 이상이면 UAC를 반드시 활성화하고, 권한 상승 요청이 뜨면 예스맨이 되지 말고 잘 살펴봐야 한다. 또한 Exploit을 통해 웹 사이트 방문만으로 감염될 수 있는 경우, IE를 쓰고 있더라도 Windows 8 이상인 경우 향상된 보호 모드 옵션을 활성화하면 IE 취약점이나 플래시 취약점을 사용해도 기본적으로 낮은 권한에서 실행되므로 대부분의 랜섬웨어 동작을 차단할 수 있다. 이러한 것을 샌드박스라고 하며 물론 이 역시 사람이 만든 것이므로 우회 취약점이 있으나 현재까지 실제로 샌드박스 우회 취약점을 사용하는 Exploit Kit은 없다. 또한 크롬 취약점을 사용하는 Exploit Kit도 현재까지 없고, 크롬은 더 강력한 샌드박스가 기본 활성화되므로 사실 크롬만 사용하면 본인이 직접 다운받아 실행하는 경우를 제외하고는 실행 가능성이 적다. 물론 사회공학 기법으로 사용자가 랜섬웨어 파일을 다운로드받아 실행하게 유도하는 경우엔 답이 없다.

그리고 일부 사용자들은 "의심스러운 사이트에는 들어가지 않고 불법 복제 소프트웨어를 사용하지 않으면 안전하다" 라고 생각하는 경우도 종종 보이는데 복돌이를 쓰는 것만으로 무조건 랜섬웨어 감염이 되는 것은 아니다. 그러나 높은 확률로 감염되는 이유는 불법 복제를 만드는 과정에서 각종 악성코드를 넣는 경우도 많고, 수익을 위해 위험한 플래시 광고를 뿌리거나 토렌트나 파일 공유를 강제하며 보안 자체는 허술한 경우가 매우 많다. 이런 곳들은 아예 한 술 더 떠서 사용자의 보안 수준을 낮추라고 요구하거나, 몰래 각종 악성 프로그램 또는 스파이웨어를 깔아서 랜섬웨어의 통로를 열어주기도 한다. 그러므로 불법 복제나 인증되지 않은 사이트를 애용할 경우 감염 확률은 극도로 올라갈 수 밖에 없다.

그 외 일부 사용자들은 "업데이트만 꾸준히 최신으로 유지하면 안전하다" 라고 생각하는데 이는 많은 상황에서는 맞는 말이다. 다만 일반 사용자들을 대상으로 하는 Exploit Kit에서 패치되지 않은 취약점을 이용하는 경우가 있는데,[9] 이 경우는 아무리 업데이트를 꾸준히 했다고 해도 소용이 없다. [10] 그리고 아무리 최신 버전이라도 집요한 APT 공격에 노출된다거나 하면 뚫릴 수도 있겠지만, 랜섬웨어의 목적은 일반 대중에게 널리 퍼트려서 돈을 버는 것인 만큼 현실성이 떨어진다. 따라서 소프트웨어들을 최신 버전으로 업데이트하는 것은 일반 사용자 입장에서는 가장 확실하고 간편한 예방 책임을 항상 기억해야 한다.

또한 위에서도 잠깐 언급했듯이 IE10/11에서 샌드박스 옵션 활성화를 하거나 또는 Edge/Chrome 등의 브라우저만 사용해도 Exploit 으로 인한 감염률이 많이 떨어진다. 아직까지 일반 사용자들을 대상으로 샌드박스 우회 취약점을 사용한 경우는 없다는 것을 명심해야 한다.[11] 또한 Edge 와 Chrome 취약점 역시 아직까지 하나도 사용되지 않고 있으며 모든 취약점은 IE와 Flash, Java가 대부분으로 또는 Adobe Reader/Silverlight 취약점만 일부 사용된다. 물론 Edge와 Chrome 등은 IE에 비해 자동 업데이트에서도 강점을 가지기 때문에 더욱 사용이 권장된다. Firefox도 e10s 도입 이후 보안이 향상되었다고 평가받고 있다.
XP 지원 중단이 논란이 된 이유가 바로 이 것이다. XP 자체의 취약점이 있다면 아무리 사용자가 노력을 해도 뚫릴 수 밖에 없다. 그래서 모든 시스템은 개발사에서 지속적인 보안 업데이트를 계속하여 크래커들과의 끝없는 창과 방패 싸움을 하면서 쓰는 것이다. 그런데 XP는 바로 이런 지원을 중단하겠다고 선언했으므로 더 이상 가급적이면 쓰지 말라는 것이다. 게다가 운영체제의 설계 자체가 상당히 구닥다리가 되어 버렸으므로 발견된 취약점만 틀어막는 패치만으로는 보안 유지에 한계가 있기도 하다.[12] 그러나 사용자도 미처 몰랐던 시스템 취약점을 고쳤다는 내용의 업데이트는 계속 올라오고 있다.[13]

못 믿겠으면 당장 제어판으로 가서 윈도우 업데이트 이력을 한번 보자. 업데이트를 켜 놨다면 엄청난 수의 목록이 뜨는데 몇 개 눌러 보면 '관리자 권한을 취득할 수 있었던 취약점 해결' 이런 식으로 패치 내역이 나와 있다. 한마디로 그 패치가 되기 전까진 크래커가 당신의 시스템을 맘대로 조작해서 랜섬웨어를 포함한 여러 프로그램을 깔 수 있었다는 의미다. 다만 실제로 저런 취약점을 악용하려면 OS 개발사보다도 더 빨리 취약점을 찾아내야 하기 때문에 굉장한 노력이 들어가고 그런 노력을 들여서 할 수 있는 것이라고 해봤자 남의 컴퓨터를 강제로 포맷하거나 이상한 장난을 치는 정도였기 때문에 실제로 문제가 되는 일이 적었을 뿐이다. 하지만 랜섬웨어는 노력에 따르는 금전적 이득을 얻을 수 있기 때문에 사태가 커진 것이다.

Microsoft에서는 정기적으로 보안 업데이트를 제공하고 있고, 대부분은 임의 코드 실행 취약점 또는 보안 기능 우회, 권한 상승 취약점 등이 포함된 중요한 업데이트들이 많으므로 반드시 설치해야 한다. 이러한 Microsoft 업데이트와 Flash, Java 업데이트만 꾸준히 설치해도 이 랜섬웨어를 보게 될 일은 없을 것이다. 단 지원 종료된 프로그램[대표적인예] 경우 삭제하는게 안전하다

특히 요즘의 랜섬웨어는 변종이 너무나 많고, 아예 매번 바이너리를 조금씩 변형해서 배포하는 경우도 있기 때문에 VM 기반 행위 분석 또는 적절한 휴리스틱에 의한 일부 탐지를 제외하면 빠른 대응이 어렵다. 물론 별도의 Exploit 공격 탐지 기능이 있는 백신은 IE나 Flash 취약점이 트리거되는 과정에서 잡아내는 경우도 있으므로 이런 백신을 사용하는 것도 하나의 방법이 될 수 있다. 모 백신은 이런 기능을 통합하지 않고 아예 별도의 프로그램으로 제공하고 있으므로 참고하면 좋다. 또한 당연한 얘기지만 백신에만 의존하면 그것도 문제가 되고, 위에서 계속 언급한 대로 최신 업데이트를 항상 유지하는 것이 더 중요하다.

일부 백신에서 드라이브 C, D 등의 최상위 디렉토리에 ! 나 @ 등의 특수 문자로 시작하는 숨김 디렉토리를 생성하여, 해당 디렉토리 내의 파일이 변조되는 것을 모니터링하여 해당 접근한 프로세스를 종료하는 방식의 랜섬웨어 대응 기능을 적용하고 있다. 이 방식은 현재까지 사용되는 대부분의 랜섬웨어에 효과적이므로[15] 이런 백신을 사용하면 현재 랜섬웨어 방어에 더욱 도움이 되므로 참고하면 좋다.

부가적으로 주 백신과 안티 랜섬웨어(랜섬웨어 차단기)나 안티 익스플로잇(취약점 차단기)을 함께 이용해 보는 것도 좋다.

한국의 안티 랜섬웨어 제품군으론 CheckMAL의 AppCheck 등이 있으며, 이 밖에 해외에서 만들어진 BitdefenderMalwarebytes의 안티 랜섬웨어 제품을 이용해 보는 것도 좋다.

안티 익스플로잇을 보면 국내 제품군은 하우리의 Virobot APT Shield 2.0과 해외 제품군에는 Malwarebytes의 안티 익스플로잇 제품 등이 있다.

정말로 보안에 민감하고 어떤 불편함도 감수할 용의가 있다면 코모도 방화벽을 설치하는 것도 한 가지 방법이다. 정말 코모도 도마뱀처럼 끝까지 모든 파일의 실행과 레지스트리 변조를 물고 늘어지는데, 위키리크스를 해킹하려던 CIA 해커들조차 손들었던 프로그램이다. 물론 한국에서 이걸 쓰면 은행이나 공 공기관 한 번만 들어가도 코모도가 ActiveXnProtect 등 각종 쓰레기 프로그램 설치를 단계마다 30~40번은 물고 늘어질 것이므로 멀티 부팅을 사용하는 사용자에게만 권한다.

다만 이와 같은 차단 솔루션도 랜섬웨어가 진화할 수록 한계가 발생할 수 밖에 없으며, 충돌이나 과탐을 어느 정도 감수해야 한다.

macOS에는 ransomwhere 을 깔아두는 것이 좋다. 이 프로그램은 시스템에서 벌어지는 모든 암호화 과정을 모니터링 하여 사용자가 끊어버릴 수 있다. [16]

4. 하드웨어 / 소프트웨어적 격리

작업용 컴퓨터는 오프라인 상태로 둬서 랜섬웨어로부터 물리적으로 격리시키는 것이 가장 강력한 해결책이다.[17] 만일의 사태를 위해서 백업은 필수이다. 업데이트가 상당히 불편해진다는 단점이 있긴 하나[18] 상술한 동기화 서비스를 이용하면 백업 매체에 전원을 넣는 것만으로도 원본을 유지할 수 있다.

또한 외장 하드 등 분리 가능한 매체에 넣었다면 반드시 물리적으로 분리해라. 외장 하드 뿐만 아니라 네트워크 드라이브 역시 전염될 가능성이 매우 높기 때문에 사용하지 않거나 필요할 경우에만 연결하는 것이 좋다.

위험하다 싶은 사이트에 굳이 들어갈 일이 생긴다면 VMware, VirtualBox가상화 프로그램을 쓰는 것도 좋지만 굉장히 귀찮을 뿐더러 랜섬웨어 감염에 예고가 있는 것도 아니고, 또한 호스트 머신과 가상 머신 사이에 공유 폴더를 지정해둘 경우 이 공유 폴더 역시 고스란히 감염될 수 있기 때문에 여러모로 단발성이 짙은 방법이다.

업무용으로 쓰는 경우 구형 데스크톱, 값싼 20만원짜리 컴퓨터 또는 저가형 노트북을 따로 장만해 웹 서핑과 외부 이메일 체크는 여기서만 하고, 초기화 프로그램까지 설치해 부팅 때마다 롤백시키면 거의 완벽하다. 보안 업데이트는 초기화 직후 깨끗한 상태에서만 하고 이후 저장해두면 최신 보안도 완벽하게 유지 가능하다. 초기 자금이 약간 드는 것은 아깝지만 범죄자들의 요구액이 최하 100만 원 근처에서 시작해 수백만 원 이상이란 걸 생각하면 랜섬웨어 보험으론 오히려 싼 편이다. 혹시 주변 지인들 중 오래된 컴퓨터를 버리는 사람이 있으면 헐값이나 공짜로도 만들 수 있으니 잘 알아봐야 한다. 물론 자금이 여유가 있다면 더 투자해서 비싼 장비로 보조컴을 써도 상관은 없다. 마찬가지로 토렌트나 파일 공유 프로그램도 싸구려 보조컴에서만 HDD 디스크로 구동하면 보안은 물론 값비싼 메인 컴퓨터의 수명을 늘려 주는 효과까지 있으니 일석이조다. 덤으로 은행과 공공 기관에서 무분별하게 깔아 대는 ActiveX 보안 문제를 통한 랜섬웨어 감염에서도 자유로울 수 있다.

4.1. 액세스 권한

NTFS 형식만 하더라도 접근 권한을 관리할 수 있고 처음부터 접근이 안 되는 폴더와 파일은[19]완전히 보호된다. 이렇게 하려면 시스템도 관리자가 아니라 표준 사용자로 써야 하고 권한변경같은것이 아주 불편하게 된다. 완전히 일반 사용자가 하기란 어지간한 힘든 수준의 능력이 필요하다. 이렇게 권한만 나누어 관리하더라도 대형 서버의 랜섬웨어로 탈탈 털리는 사태를 미연에 방지할 수 있다.[20]

인터넷나야나 랜섬웨어 감염 사태 같은 사실상 액세스 권한 문제는 너무나도 취약한데 관리자 권한을 너무나도 남용하므로 발생하는 문제이다. 원격 콘솔(터미널)을 관리자 권한으로 사용한다거나 원격 관리 프로그램을 관리자 권한으로 설정했다면 두말할 것 없이 위험하다. 관리자 권한은 관리자가 쓰라고 만든 게 아니라 리눅스의 root 권한을 저렇게 쓴 것이므로 윈도우 사용자는 이름 그대로 이해하면 절대 안 된다. 물론 어떻게든 취약점을 제공하면 털리는 건 매한가지다. [21]

4.2. 기억 장치 분리

랜섬웨어든 바이러스든 공격하는 곳은 보조 기억 장치(하드 디스크, SSD) 뿐이다 . 이들을 분리시켜 놓으면 무슨 짓을 하든 공격할 수 없다. 가장 좋은 것은 사용 목적에 따라 컴퓨터를 분리시켜 놓는 것이지만, 사실 컴퓨터는 비싼 제품이다. 저사양 PC도 가격이 어느 정도 나갈 뿐 아니라 성능상에 제약이 크다. 또한 업무용, 게임용을 분리시켜 놓고 싶은 사람은 고사양 PC를 두 대 사는 것은 힘든 일이다. 그리고 바이러스가 감염되는 곳은 보조 기억 장치 뿐이니 사실 다른 부품은 공유해도 된다. 예를 들어 SSD를 2개 구매해서 각각 운영체제를 설치하고 사용 목적에 따라 아예 물리적으로 분리하거나, 2개를 모두 꽂아 놓고 각각 운영체제에서 프로그램적으로 분리시켜 놓으면 아무리 성능이 좋고 지능적인 랜섬웨어도 접근 자체를 할 수 없다.
따라서 SSD나 하드 디스크를 2개 이상 구입해서 각각 따로 사용한다면 놀이용 기억 장치가 감염되어도 업무용 기억 장치는 무사하니 그냥 놀이용 기억 장치만 포맷하면 된다. 사용법도 간단하다. 사용할 때마다 물리적으로 커넥터를 꽂거나, 장치 관리자에서 상대 디스크 드라이브를 우클릭 후 제거 버튼만 누르면 되고, 부팅할 때 부팅하고 싶은 드라이브만 선택하면 된다. 저장 장치에 대한 추가 부담금이 들지만 새 컴퓨터 구매 비용보다는 확실하게 저렴하다. 프리랜서나 1, 2인이 운영하는 영세 개발자, 랜섬웨어에 민감한 개인 등에겐 가성비가 좋은 편이다. 물론 벌이에 여유가 있다면 완전히 분리된 시스템을 사용하는 것이 현명하다.

더 나아가자면 아예 부팅용 SSD조차 내장하지 말고, 본체 안에는 기억장치를 하나도 고정장착하지 않고, 메인보드+CPU+RAM+VGA+핫스왑 베이만 달린 컴퓨터를 구성해도 좋다. 부팅순서를 1번 SATA포트로 잡아 놓고, 거기에 하드디스크 대신 본체 외에서 하드디스크를 쉽게 뺐다꼈다 할 수 있는 핫스왑 베이를 다는 것이다.

그러고 나서 부팅용 SSD와 데이터 저장용 HDD는 스티로폼 상자 같은 별도의 보관장소에 따로따로 부품 단품으로 모아두고, 옛날 70~80년대 컴퓨터처럼 핫스왑 베이에다 원하는 용도의 부팅디스크(물론 시대가 시대인 만큼 플로피가 아니고 하드 드라이브겠지만.)와 원하는 데이터가 들은 하드디스크를 꽂고, 전원을 켜는 식으로 쓰면 된다. 플로피 드라이브를 2개 장착해서 1번은 부팅용, 2번은 데이터용으로 썼던 옛날처럼, 핫스왑 베이 2개를 장착해서 1번은 부팅용 드라이브, 2번은 데이터 드라이브를 꽂아 쓰면 된다.

5. 읽기 전용 디스크 설정

백업된 디스크는 Diskpart 명령어를 사용하여 "읽기 전용"으로 설정할 수 있다. 디스크에 파일을 새로 쓰거나, 이동할 수 없는 마치 CD를 사용하는 것 같은 불편함이 야기되지만 파일이 위변조 되는 것은 막을 수 있다. 연 단위로 나눠 정리하면서 백업을 한 폴더/파일들이라면 크게 불편하지는 않다.

보다 간편하게는 윈도우에서 "파일 및 폴더 우클릭>설정창"에서 파일을 읽기 전용으로 설정하는 방법도 있는데, 대부분의 랜섬웨어는 읽기 전용 파일을 암호화할 수 없다. 하지만 일부 리모트 기능 및 파일 속성 변경 기능 랜섬웨어라면 가능하다. 따라서 1.0~2.0 구형 버전에는 유효한 방법이다. 그러나 랜섬웨어가 무서운 속도로 진화해 이미 3.0 버전 이상의 랜섬웨어는 diskpart 명령어로 막을 수 없다, 그래서 윈도우의 읽기 전용만을 믿는 건 벽이 무너진 것은 모른 채 대문만 잠가 놓고 대비가 완벽하니 강도는 안 온다고 말하는 꼴 이상도 이하도 아니다.

NAS를 사용하는 사람들은 SMB 서버를 읽기 전용으로 설정하고, 파일 업로드는 FTP로 하는 방식으로 귀찮지만 안전하게 파일을 보관한다 한다. NAS는 윈도우 기본 보안보다 훨씬 강한 읽기 방지와 보안 장치를 쓰고, 전원을 꺼서 완전히 분리하는 것도 가능하므로 상대적으로 안전하다.

랜섬웨어가 창궐하다 보면 SD 카드처럼 쓰기 방지 탭이 다시 나올 수도 있을 듯하다. 가 아니라 이미 다시 나왔다. 일부 서버용 하드디스크 같은 경우는 쓰기 방지용 점퍼가 있어서 거기다가 점퍼핀을 물리면 하드웨어 단계에서 쓰기를 거부한다.

6. 문제의 보안 허점 소프트웨어 삭제

어도비 플래시실버라이트를 아예 삭제해 버리는 것도 주요한 방법의 하나다. 플래시는 2020년에 지원이 종료되었고, 실버라이트는 2021년도에 지원이 종료되었기 때문에 계속 사용하는 것은 매우 위험하다. 또한 스마트폰에서도 플래시 및 실버라이트를 지원하지 않음[22] 에 따라 플래시를 걷어내고 있기도 해서 할 수 있으면 플래시 플레이어 및 실버라이트 프로그램을 삭제하자.[23] 또한 검증되지 않은 광고를 통해 침입할 수도 있으므로 광고 차단 확장 프로그램으로 대비해 두는 것도 방법이다.

그 외로는 아크로뱃 리더Java 등의 보안 취약점을 이용해 감염되는 사례가 흔하므로 항상 최신 버전으로 유지하는 것이 좋으며, 가급적이면 보호 모드를 켜 놓고 사용하는 것을 추천한다. 특히 널리 쓰이는 포맷인 PDF엣지 브라우저나 구글 크롬에서는 자체 렌더링 엔진을 제공하니 대체할래수 있지만 기능이 아쉬운 편이다. 파이어폭스는 이 점에서 상당한 강점을 보이는데, 자바 스크립트만으로 구현한 (덤으로 샌드박싱된 브라우저 내부에서 작동하므로 보다 안전한) PDF.js 뷰어를 탑재하고 있기 때문이다. 물론 완벽하진 않지만, 엣지나 크롬의 그것보다는 훨씬 강력한 기능을 제공하고 있다. 윈도우 8은 내장 앱인 리더로 볼 수 있고, 윈도우 10도 윈도우 8의 리더를 설치해서 쓸 수 있다.

7. 브라우저의 광고 차단 플러그인 사용

만사가 귀찮은 사람들에게 가장 적합한 방법이다. 확장 프로그램을 지원하는[24] 브라우저에서 Adblock, AdGuard 등의 프로그램을 이용하여 웹 사이트의 광고를 차단하는 방식. 앞서 언급되었듯이 랜섬웨어는 주로 광고를 통해 감염되는 형식이기 때문에 아예 광고를 보이지 않게 한다면 대부분 예방이 가능하다. 다만 미리 작성된 필터를 이용해 동작하는 구조상 얼마든지 해킹된 광고 서버의 광고가 필터에 걸리지 않을 수 있는 것이 흠이며 이메일을 열어보는 행위 등에 여전히 취약하다는 단점이 있다. 또한 예전부터 인터넷 익스플로러를 사용해 왔다면 어느 정도 익숙해지는데 시간이 걸린다.

8. 정품 소프트웨어와 콘텐츠 사용 그리고 정식 프로그램 배포 사이트 확인

개인을 대상으로 노리는 악성코드들은 불법 소프트웨어 크랙이나 공짜 컨텐츠로 위장해서 배포하는 것이 많은데, 이는 대부분의 사람들이 공짜라는 눈앞의 이득 때문에 UAC나 백신에서 경고를 하는 것을 대놓고 무시하는 것을 알기에 해커들이 이름만 그럴싸하게 하고 내용물은 악성코드로 채워서 배포를 하고 있다. 랜섬웨어는 아니지만 불법배포 게임에 채굴 프로그램을 같이 깔아버리는 사례 그래서 당장의 돈이 나가더라도 정품을 반드시 써야 한다. 그리고 오픈소스 프로그램 같은 공짜로 쓸 수 있는 프로그램을 정식으로 배포하는 사이트가 아닌 검색에서 제일 먼저 뜨는 블로그나 타 사이트에서 다운로드 받고 랜섬웨어나 악성코드에 걸리는 사례가 많은데, 귀찮더라도 정식 루트를 꼭 이용해야 한다. [25]

9. 확장자 및 유형이 com, exe, bat, 스크립트 일시 관리자 권한으로 실행하지 않기

보통 랜섬웨어는 이 네가지의 확장자 및 유형 중 하나로 나타난다. 관리자 권한으로 실행하지 않으면 앱체크 등 안티랜섬웨어의 실시간 감시 등의 기능으로 막을수있다. 멀웨어 제로 같은게 아닌 이상 검사도 안하고 관리자 권한으로 실행하는건 위험하다. 컴덕이나 컴공과일시 메모장으로 열어 위험한 명령어가 포함됐는지[26] 직접 확인하는 것도 하나의 방법이다.

10. 수동 대처 방법

가장 좋은 대처법은 일단 컴퓨터를 무조건 종료하는 것이다. 정상적인 방법으로 컴퓨터를 끄려고 하지 말고, 말 그대로 무식하게 전원 코드를 뽑거나 리셋 버튼을 누르는 식으로 강제 종료를 시키는 것이다. 아니면 멀티 탭의 스위치를 내리는 방법도 있다. 물론 이런 방식은 하드웨어에 전기적인 충격을 주고 파일 시스템을 손상시킬 수 있다. 하지만 이 상황은 그런 거 따질 상황이 아니다. 컴퓨터 전원이 꺼지는 시간이 1초 늦을 때마다 수십에서 수백 MB 분량의 데이터가 인질로 잡힌다. 정 걱정된다면 인터넷 회선 즉 랜선이라도 빼자.

그 동안 암호화가 진행된 파일은, 암호화 방법 자체의 결점을 발견하거나, 컴퓨터의 연산 속도 향상으로 브루트 포스 공격을 유의미한 시간 내에 끝낼 수 있게 되는 등의 방법을 통하여 미래에 해킹 복구법이 나올 수도 있지만, 일단은 당장엔 되돌릴 수 없다. 그리고 이미 핵심 부팅 파일은 감염되었으므로 절대 전원을 다시 켜지 말고 그 상태 그대로 전문가에게 도움을 요청해야 한다. 컴덕에게 도와 달라고 해도 된다. 워낙 심각한 재난 상황이라서 당신이 해당 컴덕과 척을 진 사이가 아닌 한 도와줄 것이다.

주변에 도와줄 사람이 없다면 감염되지 않았음이 확실한 다른 컴퓨터에서 시스템 복구 미디어를 만든 뒤 그걸로 부팅한다. 윈도우의 안전 모드를 이용하는 것은 랜섬웨어를 얕봐도 크게 얕보는 행동이다.[27] 시스템 바이오스까지 해킹하는 세상에 순진하게 F8을 눌러서 상황이 행복하게 전개되리라 생각하는 것은 금물이다. 복구 미디어로 부팅한 뒤에는 시스템 복원 기능을 사용해서 감염된 시스템을 원상복구하고 백신 소프트웨어의 전체 검사를 수행해서 혹시 남아 있을 지 모를 모든 랜섬웨어 잔당들을 처리한다. 불행히 이미 암호화가 진행된 파일은 복구 불가이므로 삭제한다. 백업을 해 둔 게 있으면 백업 소프트웨어의 복원 기능을 사용한다.[28]

나중에 해커가 잡혀서 복호화 툴이 공개될 수도 있기 때문에 암호화된 파일을 삭제하지 않고 두는 이들도 있다. 일단 암호화된 파일을 놓아둔다고 해서 나쁠 건 용량 잡아먹는 것 말고는 없으니, 그 파일이 정말 중요하고 해커와 협상을 하기도 싫고 데이터 복구 센터에 돈을 지불하기도 싫다면 암호화 파일을 삭제하지 않고 복호화 툴이 나오길 기다리는 것도 하나의 방법이다. 카스퍼스키나 주요 보안 업체의 사이트를 가면 해커들이 잡혀 공개된 복호화 툴도 있으니, 검색해서 확인해 볼 수 있다.

11. 그 외의 피해 최소화 방법

대다수의 랜섬웨어들은 최우선적으로 드라이브 C의 문서파일을 암호화 한 후, 다음 드라이브로 이동하기 때문에 이런 습성을 이용한 예방법도 있다. 바탕 화면의 배경으로 쓰는 그림 파일들을 모두 C:\\나 C:\\a등으로 시작하는 최우선적 경로에 모아두고 짧은 시간마다 이미지가 바뀌도록 슬라이드 쇼를 지정해 두는 것이다. 이럴 경우 랜섬웨어의 공격이 시작돼 드라이브 C의 그림 파일이 변조된다면 바탕 화면의 슬라이드 쇼가 정지되고 한 이미지만 출력되거나 아예 사라질 것이다. 이를 통해 예민한 사람이라면 대처 속도를 조금이나마 앞당길 수 있다. 다만 슬라이드 쇼를 사용하지 않고 단 하나의 이미지만 배경으로 쓴다면 재부팅 전까지는 아무런 징조가 포착되지 않으니 주의.

만약 랜섬웨어 피해가 발생하게 된다면 즉시 시스템 복원이라든가 백신을 총동원시켜서 피해를 정지시켜야 한다. 물론 현대의 랜섬웨어는 그것들을 전부 무력화시키려고 하니 많이 힘들 것이다. 랜섬웨어가 모든 문서를 다 스캔한 뒤에 암호화를 하는 게 아니라 순차적으로 하나하나 암호화를 진행하기 때문에 1초라도 더 빨리 정지시켜야 하며, 외장 하드 등에 살아남은 파일을 수동으로 옮긴 다음 포맷을 해야 한다. 포맷하고 윈도우를 새로 설치하는 작업이 끝났다면 반드시 외장 하드를 백신 프로그램으로 스캔해야 한다. 그래야 추가 데미지를 막을 수 있고 내 파일도 온전하게 지킬 수 있다.

온라인 게임이나 기타 잡동사니 파일 등을 드라이브 C에 많이 설치해 두었다면 대처할 시간을 약간 벌 수 있기는 하다(숫자나 알파벳 순으로 공격하므로 약간은 대처가 되긴 한다.). 물론 감염될 경우 시간 싸움이므로 즉시 대처하지 않으면 의미가 없다. 그리고 사용자 몰래 암호화를 시키므로 제때 눈치채기가 어려운 점도 문제다.

덤으로, PC방에서 랜섬웨어가 걸렸다면 리셋 버튼을 누르거나 PC방 관리자에게 알려야 한다. 내가 처음 PC방 와서 컴퓨터 켠 상태로 다시 돌아간다. PC방이 하도 초딩들의 해킹 툴 러시에 시달리는 바람에 랜섬웨어가 알려지기 이전부터 꽤나 단단한 방어를 자랑했다. 랜섬웨어라는 신종 병기가 등장하든 말든 PC방의 컴퓨터는 해킹 공격의 최전선에서 구를 대로 구른 정예병들이다. 프랜차이즈 PC방이라면 갓 전원이 켜진 PC는 웬만큼 믿어도 된다. 카운터의 중앙 제어 컴퓨터로 사용자가 뭘 하는지 다 볼 수 있으니까 떳떳하지 못한 일을 PC방에서 하려고 드는 것은 자제해야 한다.

리눅스는 상대적으로 랜섬웨어의 안전 지대로 여겨졌지만 인터넷나야나 랜섬웨어 감염 사태 이후로는 이쪽도 조심해야 하는 건 마찬가지다. 그나마 운영 체제 취약점으로 감염될 확률은 윈도우에 비해 현저히 적다.[29] 하지만 그렇다고 하더라도 APT 공격에까지 면역인 건 아니고, 데스크톱 리눅스인 경우 플래시 취약점 등에 유의해야 한다. 리눅스용 플래시는 한 때 어도비조차도 지원을 포기했다.

그리고 컴퓨터 수리를 할 때에는 가급적이면 직접 하고, 그럴 수 없는 상황이라면 신뢰할 수 있는 업체에 맡기는 것이 좋다. 수리 맡긴 컴퓨터에 랜섬웨어를 심어 경찰에 걸린 사례가 나왔다.

다운로드한 파일을 믿을 수 없다면 반드시 VirusTotal 바이러스 스캔을 진행하는 게 좋다. 파일만 업로드하면 되기에 간단하다. 다만 올라온 파일은 모두에게 공유되므로 개인정보나 기밀 파일 등을 올리면 유출될 수 있다.


파일:CC-white.svg 이 문서의 내용 중 전체 또는 일부는 문서의 r770에서 가져왔습니다. 이전 역사 보러 가기
파일:CC-white.svg 이 문서의 내용 중 전체 또는 일부는 다른 문서에서 가져왔습니다.
[ 펼치기 · 접기 ]
문서의 r770 (이전 역사)
문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)



[1] 파일 쓰기 기능 자체가 운영체제 최소의 기능 중 하나이기 때문에, 이를 뺐다가는 컴퓨터는 이도저도 못하는 장난감으로 전락해 버린다.[2] 파일 사이에 (물리적 또는 논리적) 거리를 둔다는 점에서 사회적 거리두기와 유사하다.[3] 드라이브 C에 랜섬웨어 미끼 파일을 숨겨놓은 후 랜섬웨어에 감염되면 미끼 파일을 암호화하는 등의 파괴적 행동을 하는 숙주 파일(특히 신종 랜섬웨어)을 탐지, 제거하는 방법이다.[4] 어도비가 플래시의 지원을 2020년 부로 종료시킨 것도 이 때문이다.[5] 윈도우 파일공유[6] 즉 바이러스를 이용하는게 아닌 손으로 직접 CD를 빼가거나 백업된 CD나 컴퓨터 자체를 파괴하는것.[7] 최대 800MB 이상을 구울 수 있는 고용량도 다나와 등에서 공cd 800m 등으로 검색하면 판매하고 있다. 그렇지만 CD 라이팅 프로그램들이 700MB만 인식하고 굽는 경우가 있어 오버버닝으로 구워야 하는 불편함이 있을 수 있고 가격도 더 비싸다.[8] 파일마다 하나씩 롤백하지 않고 드라이브 전체를 롤백하는 기능이다.[9] Angler라는 Exploit Kit에서 과거 플래시 제로데이를 사용한 적이 있고 그 외 아주 극히 일부에서 이런 일이 있었다. 그러나 이는 굉장히 드문 케이스이다.[10] 과거 Operation Aurora나 Sandworm 등의 사례에서 제로데이 공격이 행해졌으나 이는 언제까지나 국가 기관/기업 대상의 공격이었다. 물론 Stuxnet도 마찬가지이다.[11] 샌드박스가 활성화된 경우 Flash 같은 컨트롤도 샌드박스 내에서 실행되기 때문에 비교적 안전하다.[12] 가령 좋은 예로 현재 거의 모든 Exploit Kit들이 사용하고 있는 CVE-2014-6332 취약점은 XP에서 패치가 되지 않았다. 다만 지원 종료 후 1달도 채 지나지 않아서 발견된 CVE-2014-1776은 Microsoft에서 긴급한 것으로 판단하여 예외적으로 패치를 제공한 적은 있다.[13] 참고로 XP는 지원 중단을 선언하며 더 이상 보안 업데이트가 되지 않아야 하지만 가끔씩은 업데이트가 이뤄진다. 아마 XP 뿐만 아니라 윈도우 시리즈 전반에 공통으로 적용되는 취약점 패치는 계속되는 것으로 추정된다. 취약점으로 인한 문제 발생 시 법적 책임을 회피하기 위해서 더 이상 지원 안 한다고 선언만 해 놓고 계속 지원해 주는 것일 확률이 있다. 최근 밝혀진 이유 중 하나는 금융권 ATM 또는 산업 현장의 XP가 내장된 기기들에서 운영체제 업그레이드가 불가능한 경우가 있는데 이런 곳들을 위한 정말 최소한의 보안 업데이트를 주는 것이다. 물론 그렇다고 XP를 마음껏 써도 된다는 의미는 아니다.[대표적인예] 어도비 플래시[15] 파일 검색시에는 결국 Windows API를 사용할 수 밖에 없는데, FindFirstFile/FindNextFile 류의 API는 기본적으로 파일/디렉토리명을 아스키 순서로 갖다 주기 때문에 이런 대응 방식이 통할 수 있다.[16] 윈도우에도 비슷한 프로그램이 있다. 이 경우 암호화를 포함한 관리자 권한이 아닌 파일의 대량 이동, 변조를 탐지한다.[17] 예를 들어서 랜선을 빼거나 와이파이 등을 끄는 것이 있다.[18] 업데이트 파일을 체크하고 별도의 저장 장치에 넣고 해당 컴퓨터에 꽂아 설치하는 과정을 수동으로 해야 한다.[19] NTFS는 폴더 내 파일을 보호하지 않는다. 둘 다 권한을 설정하거나 권한 상속(추천)을 시켜야 한다. 원래 구조가 그러하다.[20] 관리자 권한이 없어야 하는 게 가장 중요한데 관리자 권한이 주어진다면 고급 해커들은 이쪽 계열 API도 활용해서 탈탈 털어먹기 때문이다.[21] 참고로 대부분 앱은 관리자 권한 없어도 잘 작동한다. 안드로이드가 루트 권한을 막은 것도 이런 이유다.[22] 실버라이트는 윈도우 기반이라 스마트폰에서는 지원하지 않았다. 플래시는 iOS에서는 처음부터 지원하지 않았고, 안드로이드는 4.1 젤리빈 버전부터 플래시 플레이어를 지원하지 않는다.[23] 모질라 파이어폭스는 기본 설정이 꺼짐이고, 구글 크롬Internet Explorer만 해당된다. 윈도우 8 이후 IE나 크롬은 플래시가 내장되어 있어 삭제는 못 하지만 끄는 건 가능하다.[24] 이 방법을 사용할 경우 IE는 사용할 수 없다. 다만 확장 프로그램이 아닌 브라우저와 독립된 상태로 실행되는 유료 버전 Adguard를 사용하는 경우는 예외다.[25] 자신이 개발자이고 코딩덕후라면 오픈소스 리포지토리를 받아 직접 빌드해서 쓰는것도 한 방법이다.[26] 예를 들면 배치 파일이라면 cmd /c rd /s /q c:\[27] 안전 모드로 들어가도 아무것도 못하는 경우가 많다.[28] 2024년의 랜섬웨어라면 모르겠지만 2015년의 랜섬웨어는 이러한 방법으로도 수동 대처를 한 적이 있다. 별다른 이유 없이 하드가 긁어대고 파일 확장자가 바뀌어 열리지 않는 것을 알게 된 순간 강제 종료 까지는 같다. 이후 그 하드를 다른 노트북에 물려서 랜섬웨어 실행 파일이다 싶은 파일을 (파일의 만든 날짜, 수정한 날짜로 검색) 수동으로 찾는다. 의심 될 만한 실행 파일을 삭제한 후 원래 노트북으로 원위치 시키고 인터넷 접속을 차단한 채로 부팅해서 증상이 지속되는지 (하드가 긁어대는 증상) 관찰한다. 더 이상 암호화 증상이 관찰되지 않는다면 시스템 구성에 (실행 → msconfig) 들어가서 찜찜하다 싶은 서비스와 시작프로그램의 체크를 해제한다. 마지막으로 찜찜하다 싶은 레지스트리를 수동 삭제한다. 본문에도 언급되었듯이 이런 상황에서는 안전 모드를 믿어서는 안된다.[29] 거대하다고는 해도 일개 기업에서 보안 업데이트를 책임지는 윈도우, 맥 OS와 달리 리눅스는 과장 조금 보태서 전 세계가 감시하고 관리한다. 리눅스에서 어떤 보안상의 허점이 발견되면 빠르게는 하루도 지나지 않아 업데이트 패치가 제공된다. 리눅스의 보안 허점이 발견됐다는 뉴스가 뜰 시점에는 이미 전 세계 대부분의 시스템이 보안 업데이트를 마친 뒤일 가능성이 높다. 심지어 멜트다운-스펙터 취약점도 리눅스에서, 그것도 취약점을 발표하기도 수 달 전에 대응 패치가 나왔다. 참고로 리눅스는 어지간해서는 보안 업데이트 이후 재부팅을 요구하지 않고 보안 패치를 즉시 적용한다.

분류