본문으로 바로가기
  1. Home
  2. 컴퓨터/컴퓨터 이야기
  3. 랜섬웨어 복구 프로그램과 예방 방법

랜섬웨어 복구 프로그램과 예방 방법

· 댓글 2 · 바다야크

우리 회사 직원 분이 랜섬웨어 공격을 받았습니다. 랜섬웨어 복구 방법을 문의해와서 예전에 랜섬웨어 후기 글을 보고 북마크해 두었던 랜섬웨어 복구도구를 올린 KISA 자료실 링크를 보내 주었습니다.

KISA 자료실 랜섬웨어 복구 프로그램

랜섬웨어 후기를 올린 분은 해커의 요구를 무시하고 파일 복구를 포기했습니다. 해커가 거액을 요구하기도 했지만, 믿을 수 없었고 랜섬웨어 복구 업체가 있지만, 복구보다는 대부분 해커와 협상을 한다는군요.

랜섬웨어 공격 받은 컴퓨터의 바탕화면
랜섬웨어 공격 받은 컴퓨터의 바탕화면

그래도 혹시나 하는 생각에 암호화된 파일을 그대로 백업해 두었는데, 어느 날 KISA 자료실에 랜섬웨어 복구 프로그램이 있다는 것을 알았답니다. 이분이 공격받은 것은 소니노키비 랜섬웨어였는데, 랜섬웨어 이름에 따라 복구 도구가 있었고 다행히 그 프로그램으로 복구에 성공했습니다.

역시 랜섬웨어가 여러 가지이군요. KISA 자료실에 Ragnar, Hive, Darkside, REvil/Sodinokibi, Djvu, LooCipher, SimpleLocker, Magniber 등 다양한 랜섬웨어 복구 프로그램이 올라와 있는데요, 안타깝게도 저의 동료에게 피해를 준 것은 Makop 랜섬웨어로 아직 복구 도구가 올라오지 않아서 도움을 받지 못했습니다.

구글 드라이브 버전관리

그나마 다행이라면 중요한 파일은 구글 드라이브에 저장해 놓아서 복구할 수 있었습니다. 다만, 파일을 하나씩 공격받기 이전의 버전으로 일일이 돌려놓아야 해서 매우 지루한 작업을 해야 했습니다. 그래도 구글 드라이브 덕분에 파일을 살릴 수 있어서 천만다행이죠.

구글 드라이브 버전관리
구글 드라이브 버전관리

구글 드라이브에는 파일 별로 버전관리 메뉴가 있습니다. 이 메뉴로 파일이 변경된 이력을 확인할 수 있습니다.

구글 드라이브 이전 파일 다운로드
구글 드라이브 이전 파일 다운로드

또한, 파일 버전을 선택해서 다운로드할 수 있습니다. 파일마다가 아니라 폴더 단위로 이전 시간으로 복구할 수 있는 기능이 있다면 훨씬 편하겠네요.

랜섬웨어에 공격을 받았다면, 그리고 해커와의 협상을 하지 않겠다면 암호화된 파일을 버리지 마시고 그대로 백업해 두세요. 언제인지는 모르지만, 복구 도구를 기대할 수 있습니다.

언제 올라올지 모르는 복구도구를 마냥 기다릴 수 없다면 미리 당하지 않도록 철저히 대비하는 수밖에 없는데요, 해커와 협상을 위해 돈을 주어도 돈만 받고 먹튀하는 경우가 많다고 하네요. 예방이 최고인데요, 당하지 않으려면 어떻게 공격하는지 그들의 수법을 알아야겠습니다.

랜섬웨어 공격 어떻게 받았나

윈도우 원격데스크톱 접속 로그
윈도우 원격데스크톱 접속 로그

동료는 랜섬웨어 복구 프로그램의 도움을 받지 못했지만, 어떻게 공격을 받았는지는 확인했습니다. 해커는 윈도우의 원격데스크톱의 접속 포트인 3389를 통해서 공격했는데요, 로그를 확인해 보니 몇 개월 전부터 접속 권한을 받으려고 여러 번 시도가 있었군요.

그렇지 않아도 회사에서는 원격데스크톱 사용을 지양해왔습니다. 그러나 동료는 외부에 자주 나가다 보니 어쩔 수 없이 원격데스크톱을 사용해 왔나 봅니다. 다른 방법이 있기는 하지만, 솔직히 원격데스크톱이 편하잖아요. 매일 사용하는 컴퓨터라서 자료를 찾기도, 작업하기도 수월합니다. 그나마 공유 폴더를 통해 다른 컴퓨터로 피해가 확산되지 않아서 다행인데요, 정말 큰일 날 뻔했습니다.

윈도우 원격데스크톱은 매우 편리하지만, 오래전부터 해킹에 대한 우려가 많았습니다. 편리한 만큼 많이들 사용하는데요, 코로나로 재택근무가 늘어서 더욱 사용하는 분이  많아졌습니다. 저도 원격데스크톱의 편리성 때문에 비싸더라도 윈도우10을 프로 버전을 구매했지요. 그러나 많이 사용하는 만큼 해커가 탐을 내는 공격 루트가 됩니다.

랜섬웨어 예방 방법 추천

동료가 겪은 원격데스크톱은 랜섬웨어 공격 중 하나의 통로일 뿐 컴퓨터가 인터넷에 연결되어 있다면 어떤 방법으로 시도해 올지 모릅니다. 열 사람이 도둑 하나 못 잡는다는 말이 있는데, 사전에 차단하도록 꾸준히 노력하는 수밖에 없습니다. 이미 많은 예방 방법이 나왔고 대부분 아는 내용이지만, 몇 가지를 정리해 보았습니다.

  • 외부 네트워크 연결 프로그램 사용 중지 또는 보안성이 높은 프로그램으로 변경
  • OS 업데이트 최신 상태 유지
  • 주기적인 백업
  • 클라우드 서비스 활용
  • IE 대신 크롬 사용
  • 공유 폴더 제거 또는 접속 권한 제한 설정
  • 이메일 첨부 파일 주의
  • 크롬북 사용

외부 네트워크 연결 프로그램이란 원격데스크톱, FTP, 텔넷과 같은 인터넷을 통해 외부에서 접속할 수 있는 프로그램을 말하는데요, 사용하지 않는 것이 안전합니다. 널리 사용하는 프로그램이라서 해커에게 쉬운 먹잇감이 될 수 있기 때문인데요, 꼭 사용해야 한다면 윈도우 원격데스크톱 대신에 구글 원격데스크톱을, FTP 서버는 SFTP로, 텔넷은 SSH로 바꾸는 것이 안전하겠습니다.

윈도우 원격데스크톱은 오래전부터 취약한 점애 대해 말이 많았는데요, 어쩔 수 없이 사용해야 한다면 구글 원격데스크톱으로 바꾸는 것을 권합니다. 윈도우 원격데스크톱보다는 불편하지만, 3389 포트처럼 외부에서 접속 시도할 수 있는 공개된 노출이 없고, 보안성이 높으며, 윈도우10 프로보다 낮은 버전에서 사용 가능하고 구글 크롬만 있으면 되므로 부담도 적습니다. 

추천하고 싶은 방법은 클라우드 서비스를 활용하는 것입니다. 특정 컴퓨터에 파일을 몰아서 저장하기보다는 스토리지 클라우드에 저장하고, 가능하다면 문서 작업도 컴퓨터에 설치된 프로그램보다는 구글 문서처럼 웹 브라우저만 있으면 작업할 수 있는 클라우드 서비스를 이용하는 것이 좋습니다.

이렇게 업무 방법을 바꾼다면 원격데스크톱이 필요 없습니다. 작업할 때 꼭 저 컴퓨터만 사용해야 한다는 제한이 없어지죠. 웹브라우저만 실행할 수 있다면 그것이 데스크톱이든, 노트북이든 상관없습니다.

크롬북 참 좋은데...

이렇게 클라우드 환경으로 업무 체질을 바꾼다면 하드웨어부터 외부 해킹의 공격을 한층 안전하게 보호할 수 있습니다. 그래서 나온 것이 크롬북입니다. 크롬북은 컴퓨터이지만, 크롬이 운영체제인 컴퓨터이죠. 그러니까 컴퓨터인데 구글 크롬만 실행할 수 있는데요, 일반 컴퓨터와는 달리 구글 크롬의 확장 외에는 프로그램을 설치할 수 없어서 답답할 수 있겠지만, 그만큼 해커도 해킹하기가 어렵습니다.

OS 업데이트? 백신? 백업? 전혀 신경 쓸 필요가 없습니다. 구글 크롬처럼 크롬북이 알아서 업데이트하고, 샌드박스·운영체제의 무결성 확인과 같은 안정된 장치로 백신이 없어도 되며, 파일은 클라우드에 저장되므로 백업 걱정도 없습니다. 해킹에 대한 걱정 없이 업무에만 집중하면 됩니다. 외부 프로그램을 설치할 수 없으니 회사에서도 직원의 개인적인 행동으로 인한 해킹 피해에 대한 걱정을 줄일 수 있습니다.

안드로이드에도 구글 크롬이 있는데요? 크롬북의 크롬은 안드로이드 핸드폰·태블릿에서 실행하는 크롬 모바일 앱이 아닙니다. 데스크톱·노트북에서 실행되는 PC용 구글 크롬입니다. 데스크톱 컴퓨터에서 사용하는 습관 그대로 크롬을 사용할 수 있습니다. 모바일 앱이 아니라는 점은 정말이지 큰 차이입니다.

이렇게 크롬북이 좋다는 것을 알면서도 몇 번 사용하고 말았습니다. 왜냐하면 요즘 노트북에 비해 두꺼워서 들고 다니기 불편하고 해상도가 낮아서 답답하더라고요. 요즘 노트북처럼 얇고 가벼우면서 해상도를 높여서 나오면 좋겠지만, 문제는 크롬만 실행되는 크롬북은 가격 경쟁력이 낮습니다.

하드웨어 스펙을 높이려면 가격도 높아지는데, 이 가격이면 저라도 노트북을 구매합니다. 크롬북을 사면 업데이트·바이러스·해킹·백업 걱정이 없다고 하지만, 높은 가격 대를 보면 내가 조심해서 사용하면 되겠지 생각을 바꾸게 됩니다. 가격 경쟁력이 없는 제품을 내놓기에는 제조사도 부담이 많이 될 것입니다.

두께만 얇았으면 좋겠는데 가격이 저렴한 제품은 대부분 두껍고 투박해서 얇은 두께의 윈도우 태블릿을 구글 크롬북으로 만들어서 사용하기도 했습니다. 안드로이드 태블릿은 다양한데 크롬 태블릿이 없다는 것이 참 아쉽습니다. 나온다고 했다가 무산된 것으로 알고 있는데요, 하기는 일반 컴퓨터용 구글 크롬이라서 제대로 사용하기 위해서는 키보드가 꼭 필요합니다.

그럼에도 크롬북을 말씀드린 이유는 개인적으로 안타깝기 때문입니다. 구글 크롬만 돌릴 수 있어도 할 수 있는 일이 참 많습니다. 크롬북으로도 충분히 업무를 볼 수 있는 곳이라면, 그래서 크롬북으로 바꾸었다면 랜섬웨어뿐만 아니라 다른 해킹과 바이러스에도 안전합니다. 사용자가 크롬 외에는 뭘 해 볼 수 없는 것처럼 해커도 그만큼 답답할 것입니다.

포토샵을 돌려야 하고 동영상 전용 편집 프로그램이 필요하거나 윈도우 전용 프로그램을 사용해야 해서 크롬북이 어렵다면, OS를 항상 최신 버전으로 업데이트하고, 백신을 운영하며, 공격을 받더라도 언제든지 복구할 수 있도록 백업을 주기적으로 열심히하고 관리 해야 합니다. 백업만큼은 스토리지 클라우드를 권합니다.

아울러 해커에게 공격 빌미를 제공하는 환경을 제거하고, 피해가 확대되는 공유 폴더 같은 네트워크 설정을 없애며, 보안성이 취약한 프로그램을 사용하지 않아야 합니다. 내가 쉽게 접근할 수 있다면 해커도 쉽게 접근할 수 있습니다. 내가 편하면 해커도 편합니다. 불편하더라도 해커가 어려워하도록 관리해야 합니다.

💬 댓글 2
logo

Makop 랜섬웨어 (= Carlos 랜섬웨어) 바탕 화면 메시지군요.

아마도 원격 제어(RDP)로 접속해서 화면을 보면서 랜섬웨어 공격을 진행했을 듯합니다.

logo

화면을 보면서 공격하는 랜섬웨어라니 끔찍하군요.
알려주셔서 고맙습니다.

이름을 저장합니다.

최근글 thumbnail 윈도우10 네트워크 공유 폴더 접속이 안 될 때 thumbnail 접이식 샤오미 전기 모기채 추천 (2) thumbnail 충전식 온수 찜질기 전기 핫팩 사용후기 (1) thumbnail 카카오톡 받은 선물 다시 선물하기 thumbnail 윈도우11 기본앱 삭제 프로그램 레보 언인스톨러 (3) thumbnail 보온병 겸용 여행용 전기포트 사용후기 thumbnail C언어 시리얼 통신 브레이크(break) 신호 전송 방법 (2) thumbnail 윈도우11 키보드 반응속도 빠르게
대단하지요? ^^ 💬바다야크 샤오미는 뭐 다만드네요ㅋ 💬인생은꿀맛 기억해 주셔서 고맙습니다.⋯ 💬바다야크 감사합니다. 너무나도 감사합⋯ 💬U@PIA [승인대기] 💬짱구노리