보안 시리즈의 서막 - 회사 컴퓨터에 랜섬웨어가 걸렸다

회사 컴퓨터에 랜섬웨어가 걸렸었다 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

상황을 듣고 왠지 모르게 웃음이 났다 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

다들 알리라고 생각한다 당황과 두려움이 함께 느껴졌을때 그 .. 그 .. 감정을 ..

 

나는 클라우드 구축하고 데이터베이스 운영하는 사람이지 보안전문가가 아니다 ㅎㅎ

아는 보안 수준이라고는 암호화해서 데이터베이스 저장하기! 공개키 비밀키로 암호화 하기!

방화벽 세우기 이정도의 아주 초보 수준밖에 되지 않은 사람이란 말이다.

 

하지만 지금 회사에서 네트워크와 컴퓨터 보안에 관련한 기술인이 없고(중소기업에서 흔한 상황이다)

그나마 저런 지식이 있었던 사람이 나라서 여차저차 해결을 해보려고 했다. 참고로 랜섬웨어에 랜섬이 몸값이라고 한다. 

 

아 난 컴퓨터 보안에 대해 아무것도 모른다 하는 사람한테 유용할 듯 하다.

비전문가의 의견이니 참고만 하세요! 나는 아무것도 책임 못집니다.

 

 

 

 

 

랜섬웨어 증상

랜섬웨어에 걸리면 증상은 다양하지만 일단 컴퓨터가 멈추는것 같다. 회사 컴퓨터는 멈추고, 클릭이 되지않고(파일이 잠겼다), 바탕화면에 All files are encrypted라는 문장이 떴다. Encrypt를 이런 더러운 행위에 써도 되는가? 마음에 들지 않는다. 아래에 대표적인 증상을 나열해 보겠다.

 

(어떻게 파일을 잠그는 걸까.. 나도 배워보고 싶다. 원리가 너무 궁금하다.)

 

1. 컴퓨터가 멈춘다

2. 파일이 열리지 않는다

3. 돈을 내라는 이상한 txt파일이 생긴다

4. 바탕화면에 Encrypt되었다는 이상한 문구가 써져있다

5. 컴퓨터가 꺼지지 않는 경우도 있다고 한다

우리 회사는 1~4번까지 다 해당되었었다.

 

 

 

 

 

 

해결

결론부터 말하면 당연히 해결 못했다. 이번경우를 포함하여 랜섬웨어가 걸린경우를 2번 봤었는데 첫번째는 대학에서였고 두번째는 이번사건이였다. 대학에서 걸린분은 40만원을 지불했고 파일을 돌려받았다. 과제가 있어서 어쩔 수 없다고 하셨는데 안타까웠다..

 

이번 경우는 백업은 하나도 해놓지 않아서 다 포기하고 초기화 하였다. 일은 다시 해야하지만 어쩌겠는가 ㅠㅠ 방법이 따로 없는것을 ㅠㅠ

 

하지만 이건 절대 좋은 방법이 아니라는 사실! Never pay to Attacker라고 한다. 비용을 지불하는것은 해당 공격자들에게 계속해서 이러한 행위를 하라는 좋은 격려가 되기 때문에 지불하지 않고 해결하려 시도하는것이 좋다. 사실 이것보다도 돈받고 안해줄 수도 있다 ㅎ 그냥 돈 주지 말자. 비트코인으로 요구하는 경우가 많아서 한번 지불하면 돌려받을 수도 없다.

 

---

1. 제일 먼저 해야 할 일은 모든 연결되어 있는 선을 뽑고 인터넷도 끊기!

- 아주 희박하지만 네트워크를 통해 랜섬웨어가 퍼질 수 있다.

- 연결되어 있는 모든 선들은 그냥 끊자 (하드웨어, USB등 포함) ㅎ 무슨일이 있을줄알고 연결시켜논단 말인가. 

- 컴퓨터는 끄지 마세요. 껐다 켜도 해결되는건 아무것도 없고 다시 전원이 들어오지 않는 등 더 상황이 악화될 수 있다.

www.zdnet.com/article/experts-dont-reboot-your-computer-after-youve-been-infected-with-ransomware/

Experts: Don't reboot your computer after you've been infected with ransomware | ZDNet

 

2. 네트워크가 연결된 회사 컴퓨터라면 공유폴더를 신속하게 끊어내야 한다.

 

3. 결정의 시간이다. 해커에서 돈 준다는 옵션(하지 말라!)을 제외하면 아래 방법이 있다.

㉮ 랜섬웨어를 스스로 해결한다.

- 랜섬웨어는 보통 암호화 키를 사용하여 파일을 잠그고 복호화 키를 이용하여 해당 파일을 여는 방법인데 이것 외에도 여러가지 다른 공격방법들이 있다. 만약 파일이 잠기는 유형의 공격을 당했다면 시중에 나와있는 몇가지의 복호화 키를 이용해서 시도할 수 있다. 구글에 'ransomware recovery tool'을 검색하면 몇가지 옵션을 시도할 수 있다.

- 랜섬웨어 보안문제를 해결해주는 업체들이 있다. 노모어랜섬웨어라는 곳도 존재한다.(추천하지 않는다)

하지만 여러분 아시죠? 이게 될지 안될지는 그분들의 손과 하늘에 달렸다는 것을.

- 다른 방법으로 랜섬웨어가 걸렸다면 보안 프로그램을 활용하여 해당 바이러스를 삭제하기 위해 시도해 볼 수 있다!

 

㉯ 마지막의 마지막 방법으로 윈도우를 초기화 한다

- 시스템을 초기화하고 백업이 있다면 해당 백업으로 컴퓨터를 설정하자. 이 방법이 베스트다. 다만 해당 백업버전이 감염되지 않은 버전임을 반드시 확인해야한다.

- 백업이 없다면.. 눈물을 머금고 세상을 원망한 후 다 밀어버려라.. 어쩔 수 없다 ㅠ 쓸수도 없는 파일들인것을. 이번 경험으로 강박적으로 백업을 해야겠다는 생각이 들었다.

---

 

 

 

 

 

예방

이런 바이러스나 악성공격을 마주했을때 항상 드는 생각은 보안을 철저히 하면서 ★백업★ 두번말해도 입이 아프지 않은 ★백업★의 중요성이다. 다들 입을 모아서 하는 말이 악성공격은 계속해서 정교해지고 교묘해지고 강력해지고 있다고 한다.

 

그리고 이번에 랜섬웨어를 해결하기 위해서 급하게 공부한 결과 막을 수 있는 방법이 없다는 결론이 더 정확한 듯 하다. 이 부분은 다른 분들 의견도 궁금해용. 

 

해결할 수 없으니 조심스러운 컴퓨터 사용을 통해 예방하는것이 최선이라고 생각한다. 어쩌면 진짜 기본적인것만 지키면 악성공격은 생각보다 별것 아닐 수도 있다. 아 여담이기는 한데 맥도 랜섬 걸린다고 한다 ㅋㅋㅋ 다만 사용자가 적어서 윈도우보다 안전한것 처럼 보일뿐이라고 한다. 출처는 교수님. 클라우드도 랜섬 걸린다고 한다!!! 진짜 조심하며 살아 겠다...

 

---

1. 출처가 불분명한 이메일 열지 않기

 

2. https 확인하기

 

3. 이미지 다운받을 때도 해당 사이트 두번 체크하기(이미지 다운도 위험하다니 ..)

 

4. 모르는 광고 클릭하지 않기. 무언가를 누르는 행위가 무언가를 허락하는 행위일 수 있다!

 

5. 주기적으로 백업하기. 백업은 로컬과 드라이브, 클라우드 등 여러곳에 하는것을 추천한다. 근데 말하는 나도 지금 회사컴퓨터 백업 안시켜놨다 ㅋㅋㅋ 나는 모순적인 사람..

 

6. 백신프로그램 사용하기. 귀찮으면 window 보안 옵션이라도 공부해서 켜놓자. 그게 최소한의 조치일 수 있다. window defender라는 기본 안티 백신 프로그램이 있다. 이 부분은 의견도 들쑥날쑥하고 다들 잘 모르는 개념이라서 따로 포스팅을 하려고 한다.

 

7. 주기적으로 윈도우 업데이트 하기

---

 

 

 

 

 

 

 

 

위에 일련의 랜섬웨어 사건때문에 보안솔루션을 알아보고 적용 + IT보안 유지하는 법등을 혼자 공부하고 적용하게 생겼다 ㅎㅎ 행복한 일인지 슬픈일인지 모르겠으나 이쪽 분야에 지식이 늘어난 거니까 나쁜일은 아니겠지? ㅠㅠ

 

입사 초기라 코드리뷰, 인수인계 산더미인데 보안까지. 행복한 나날이다 ^^

 

우리회사는 일단 보안 솔루션을 구매하여 1차적으로 대응하기로 했다. 서버에도 문제가 있는 모양인데 일단 개인컴퓨터를 보호하는게 급선무! 이므로 이 부분에 집중해서 업무를 시작했다. 지금 대충 알아본바로는 무료로는 window defender이나 avast가 괜찮아 보이는데 자세한 사항은 다음 포스팅에서 알아보도록 하자.

 

 

*여러가지 블로그 글을 참고하였지만 그중에 가장 정리가 잘 되어있던 블로그 backblaze.com를 참고하시면 더 좋을듯하다!