전 세계적으로 랜섬웨어 피해가 곳곳에서 발생하고 있는 가운데, 다행스럽게도 대한민국은 상대적으로 그 피해가 적은편이다. 하지만 일부 영화관의 광고판이나 기업들의 자료가 날라가는 피하사례도 접수되었다고 하니 그 누구도 안심할 수 없는 상황이다. 조금은 소강상태에 접어들었다는 이야기도 나오고 있지만, 랜섬웨어에 감염되면 그 피해가 워낙 심각하기 때문에 계속 조심해서 나쁠것은 없다. 필자는 랜섬웨어에 대한 이야기가 나오는 것을 보고, SMB포트 차단 방법을 포함한 랜섬웨어 예방방법을 정리해서 포스팅 했었다. 많은 사람들이 작성된 글을 보고 이런저런 댓글을 달았는데, 많은 사람들이 포트번호에 대한 것과 윈도우 상에 나타난 표시가 맞는지에 대한 의문을 가지고 있었다. 그래서 사람들이 질문한 내용들을 바탕으로 궁금증에 대한 내용을 정리해본다.


    ▲ 워너크라이에 피해를 입었을 때 나타나는 랜섬웨어 메시지


     참고로 랜섬웨어 예방을 위한 설정방법을 알고 싶다면 필자가 이전에 작성한 다음 글을 참고하자.


    랜섬웨어 피해예방을 위한 윈도우 SMB포트차단 방법, 최선은 백업http://donghun.kr/2477



    1. 윈도우10은 어떻게 해야하나요?


     사람들의 질문 중 많은 부분을 차지한 것은 윈도우10은 어떻게 해야하는지에 대한 부분이다. 윈도우10도 윈도우7과 기본적으로는 같은 방법으로 설정이 가능하다. 처음에 제어판을 여는 과정이 조금 틀리긴 한데, 윈도우10의 경우 설정 검색에서 방화벽을 검색해서 윈도우7과 동일한 방법으로 설정을 진행하면 된다. 그리고 윈도우10의 경우 SMB포트 차단이 가능한 또 하나의 방법이 있는데, 바로 위 화면에서 보는 것과 같다. 설정에서 프로그램 및 기능을 활성화하고나서 Windows 기능 켜기/끄기를 클릭하면 세부 항목이 나오고, 항목중에 'SMB 1.0/CFS 파일 공유 지원'의 체크표시를 해제하면 된다.



    2. 인바운드 규칙에 헷갈리는 표시가 있어요!


     사람들이 많이 질문한 두번째 내용은 위 화면에서 인바운드 규칙에 추가된 SMB차단 규칙에 빨간색 금지표시가 되어 있는 것이다. 사람들은 이것이 다른 규칙처럼 녹색 갊매기 표시가 되어 있어야 하는 것이 아니냐고 질문을 했는데, 결론적으로 빨간색 금지표시가 맞다. 이 표시는 해당규칙에 포함된 포트나 기타 경로등을 연결차단한다는 의미이고, 녹색 갈매기는 연결허용 한다는 의미다. 우리가 랜섬웨어 피해를 막기위해 파일공유포트를 차단하고자 했기 때문에, 빨간색 금지표시가 맞는 것이다. 그리고 이 화면에서 2번 부분을 보면 규칙 사용 안함이라고 되어 있는데, 이를 보고 규칙이 적용되는 것이 아니냐고 질문한 분들도 상당수 있다. 결론적으로 규칙 사용 안함으로 보이는 것이 규칙을 적용하고 있는 것이다. 규칙을 사용 하지 않으려면 저곳을 클릭하라는 의미로 실제 적용된 모습의 반대 메시지를 보여준다.


    ▲ TCP, UDP 모두 차단하는 포트 설정


    3. 포트 설정에서 137-139 하고 139 하고 차이가 뭔가요?


     마지막으로 알아볼 부분은 우리가 SMB포트를 차단하면서, 연결차단을 설정한 포트번호에 관한 것이다. 최근 이슈가된 랜섬웨어 중 하나인 워너크라이가 네트워크에 연결된 PC를 대상으로 하고 파일과 장치를 공유하는 포트를 이용하기 때문에, 우리는 이를 막아야 한다. 윈도우에는 각기 다른 기능을 지원하는 다수의 포트가 존재한다. 이 중 137과 138은 UDP의 파일 및 장치 공유포트이고 139는 TCP의 파일 및 장치 공유포트이다. 그리고 445는 네트워크 드라이브 포트이다. 그래서 인터넷 검색을 해보면 SMB포트 차단을 안내하면서 139포트만 차단하도록 알려주는 경우도 있다. 그런데 우리도 모르는 사이 TCP나 UDP 모두 사용할 수 있기 때문에, 확실한 차단을 위해서는 137-139라고 적어서 모두 차단하는 것이 맞다.


    ▲ TCP만 차단하는 포트 설정



     워너크라이가 앞으로 어떤 방식으로 우리를 또 공격할지 모른다. 위 그림을 보면 새로운 변종이 나타나서 공격할 수 있고, 워너크라이 공격이 돈이 된다고 생각하는 다른 해커들이 변종은 아니지만 똑같은 워너크라이를 이용해서 돈벌이를 시도할 가능성도 있다. 그래서 우리가 할 수 있는 예방조치는 다 하는 것이 좋다. 그 조치라는 것이 복잡하고 까다로우면 꼭 해야할까라는 생각을 할수도 있지만, 시간이 얼마 걸리지 않으니 꼭 하기 바란다. 다시 한번 정리하면 SMB포트를 차단하고, 윈도우 보안 업데이트, 사용중인 백신 업데이트를 반드시 하기 바랍니다. 그리고 무엇보다 중요한 것은 중요한 파일을 외장하드나 외장메모리에 백업해두는 것이다.



    Posted by 멀티라이프 (Ha Donghun)