소프트웨어 악성코드 범람 시대, 이제 사용자 계정 컨트롤은 필수!

사용자 PC (연결된 외부 장치 및 네트워크 폴더 경로 포함)에 있는 개인 파일을 암호화시키고 인질삼아 사용자로 하여금 돈을 입금하도록 협박하는 랜섬웨어, Cryptolocker가 생성한 바탕화면 월페이퍼 

악성코드 범람 시대, 이제 사용자 계정 컨트롤은 필수! 

 사용자의 개인 파일들을 암호화하였으니, 주어진 시간 내에 돈을 지불할 것을 요구하는, 악성코드Cryptolocker의 협박 메세지

 컴퓨터 문서에 암호를 걸어 놓고 이를 빌미로 돈을 요구하는 악성코드인 랜섬웨어(ransomeware)가 국내 다수의 금융사 PC에 유포된 것으로 확인돼 금융가에 다시 보안 비상이 걸렸다.

 23일 보안업계에 따르면 최근 시중 은행과 생명보험사, 증권사 등 8개 금융사에 설치된 PC에서 랜섬웨어인 크립토락커(cryptolocker)가 동시에 발견됐다.  

 랜섬웨어가 발견된 PC들에선 '개인 파일이 암호화됐다'는 문구와 함께 경고화면이 떴으며, 암호를 풀려면 400달러나 400유로에 해당하는 비트코인을 3일 안에 지급해야 한다는 메시지도 포함됐다.

보안업계는 감염된 PC들에 공통으로 '야후 메신저'가 설치돼 있어 이번 크립토락커 감염이 야후 메신저를 통해 이뤄진 것으로 추정하고 있다. 

 

 

주어진 시간 내에 돈을 지불하면 대부분의 경우 자신이 암호화한 파일들을 해독해주지만, 그렇지 않은 경우도 있다. 그러나 이에 응하지 않고 무작정 악성코드를 삭제하거나 주어진 시간을 넘기는 경우 암호화된 파일을 복구할 수 없다. 

 특히, 이번에 발견된 크립토락커는 문서(Document)·엑셀,파워포인트 파일 등만 암호화했지만 바이러스 치료 후에도 해당 파일이 전부 파괴돼 피해가 큰 것으로 전해졌다.

 보안업체 관계자는 "랜섬웨어 감염을 막기 위해서는 윈도나 인터넷 브라우저의 최신 보안 패치로 업데이트하고 수상한 웹페이지 방문은 자제하는 등 기본 보안수칙에 충실해야 한다"고 말했다.

  

케이벤치 2014년 1월 23일자 


 요즘은 하루가 다르게 다양한 악성코드가 빠르게 유포되고 있고, 변종 악성코드나 백신에서 탐지가 불가능한 악성코드도 급속도로 증가하는 추세입니다. 또한 이상한 사이트나 유사 사이트 뿐만 아니라 친숙한 언론 사이트나 SNS, 해킹된 사이트를 통해서도 악성코드가 유포되고 있습니다. 더이상 온라인 상에서 믿을 수 있는 곳이 없습니다.

 백신의 실시간 감지로는 악성코드의 실행 및 악성코드의 작업을 막는데에는 한계가 있으며, 요즘 악성코드는 백신에서 감지하지 못하도록 후킹하게 합니다. 더구나 정기 검사를 통해 백신이 모든 악성코드를 잡아내는 것이 쉽지않습니다. 심지어 진단율 및 치료율이 높은 카스퍼스키 백신을 사용한다 할지라도 말입니다.

 제1의 방어막인 방화벽, 제2의 방어막인 백신마저 뚫린다면 여러분은 최후의 방어막을 갖고 있습니까? 그 때 유일한 방어막은 오직 사용자 계정 컨트롤 (UAC, User Account Control) 밖에 없습니다. 백신에서도 악성코드를 감지하지 못한다면, 그 것이 실행되기 전에 UAC 경고창에서 실행을 할 것인지 못하게 할 것인지 여러분이 최후의 선택을 할 수 있습니다.

 물론 UAC가 악성코드가 관리자 권한을 얻는 것을 막는데에 있어 100% 만병 통치약은 아닙니다. 다음과 같은 경우 악성코드가 UAC를 회피하고 실행될 수도 있습니다. 특히 최근에 유행하고 있는 랜섬웨어인 크립토락커 (Cryptolocker)는 UAC를 회피하고 사용자 PC에 있는 개인 자료들을 암호화해서 역암호화를 해주는 대가로 돈을 요구하고 있습니다. 하지만 이 악성코드의 변종은 볼륨 쉐도우 카피 (Volume Shadow Copy)라는 중요 시스템 파일 백업본마저도 파괴하려는 특성을 보이는데, 이 때 여전히 UAC에서의 사용자 승인이 필요하게 됩니다.

1. 악성코드가 시스템에 의해 실행되는 것처럼 속이는 경우. UAC는 사용자가 Windows 설정을 바꾸거나 프로그램을 실행할 때에 경고 메세지가 뜨므로 이 때는 속수무책일 수도 있습니다.

 

2. 악성코드가 UAC를 우회하는 경우. 마이크로소프트가 Windows Vista부터 UAC를 도입한 이후, UAC는 크레커들이 악성코드를 목표 PC에서 실행시키는데에 있어 큰 걸림돌이 되어왔습니다. 그 때 이후로 UAC를 우회할 수 있는 다양한 방법들이 나오고 있으며, 마이크로소프트는 이에 대해 보안 업데이트를 꾸준히 내놓고 있습니다.

 

3. 관리자 권한이 필요없는 경우. UAC는 프로그램에 의한 프로그램 및 시스템 폴더 내부에서 쓰기 및 수정 작업, 프로그램에 의한 레지스트리 쓰기 및 수정 작업이 이루어지려고 할 때에 경고 메세지를 띄웁니다. 하지만 악성코드가 그러한 작업을 진행하지 않는다면 UAC는 속수무책일 수 있습니다. 하지만 악성코드가 진행하려는 작업의 특성 상 관리자 권한은 필요할 수 밖에 없습니다.

 그럼에도 불구하고 UAC에 걸리지 않거나 우회하는 악성코드에 비해 아직까지는 UAC에서의 사용자 승인이 필요한 악성코드들이 대부분입니다. 한마디로 UAC에서의 승인 단계에서 악성 코드의 실행을 막을 수 있는 가능성이 아직까지는 높다는 것입니다. 사용자가 주의와 관심만 더 가진다면, 악성코드를 완벽하게 예방할 수는 없어도 악성코드의 감염 가능성을 확연히 많이 낮출 수 있습니다. 그 중에서 UAC를 이용하는 것은 이제 필수가 된 셈입니다.

악성코드 감염 가능성을 낮추는 방법 10가지

 

 

 

1. UAC 기능이 없고 기술 지원이 중단된 운영체제인 Windows XP에 대한 사용을 자제하고 Windows 7 이상의 운영체제를 사용한다. 

 

2. 진단율이 높은 백신을 사용하여, 악성코드가 침입했을 때 치료할 수 있는 가능성을 높인다. 그리고 성능과 기능이 미약한 Windows 방화벽보다는 사설 방화벽을 반드시 사용한다.

 

3. 모든 작업이 사용자의 승인없이 관리자 권한으로 진행되는 Administrator 계정에 대한 사용을 자제하고, 일반 관리자 계정 및 표준 계정을 사용한다. 또한 UAC를 절대 끄지 않는다. 

 

4. 제어판에 있는 '사용자 계정 컨트롤 설정 변경'에서 '컴퓨터 변경 내용에 대한 알림 조건 조건 선택' 설정값을 4단계 중에서 최고 단계인 '항상 알림'으로 지정한다.

 

5. 프로그램을 실행할 때에 '사용자 계정 컨트롤' 알림창이 뜨더라도 귀찮아하지 말고 신중히 실행 여부를 선택한다. 특히 ActiveX 실행 허용과 관련된 '사용자 계정 컨트롤' 알림창이 뜰 경우에는 주의를 기울여야 한다. 

 

-Internet Explorer의 인터넷 옵션에서 '보안'탭에 있는 인터넷 항목에서 '보호 모드 사용 (Internet Explorer를 다시 시작해야 함)(P)'를 설정한다. 

 

-가급적 Internet Explorer를 관리자 권한으로 실행시키지 않는다. 

 

-가끔씩 ActiveX를 실행시킬 때에 '비보호 모드에서 실행'을 요청하는 경우가 있는데 이 경우 신중하게 판단하여 승인한다. 

 

-관리자 권한이 필요없는 프로그램은 절대로 '관리자 권한으로 실행'하지 않으며 관리자 권한이 필요한 프로그램도 '사용자 계정 컨트롤' 알림창이 뜰 때에 신중히 판단하여 승인한다. 

 

6. Windows 업데이트를 통해 중요 업데이트를 꾸준히 설치한다.

 

7. 최근에는 악성코드가 외부 장치 및 스마트기기, 그리고 네트워크 폴더를 노리는 사례가 속출하고 있으므로, 필요할 때에만 외부 장치를 PC에 연결하고 그 이외에는 연결을 자제한다. 그리고 중요한 파일들은 절대 PC에 보관하지 않으며 필요할 경우 백업본을 마련하여 비교적 안전한 곳에 저장한다. 

 

8. 백신 및 방화벽, 그리고 UAC는 악성코드 예방에 있어 100% 완벽한 수단이 아니므로, 스스로 이상한 파일에 대한 실행을 삼가해야하고 이상한 사이트에 대한 접속을 자제해야한다.

 

9. 자주 방문하고 친숙한 사이트라고 할지라도 상시로 악성코드가 삽입될 가능성이 있으므로 항상 모든 사이트에 대해서 경계해야한다.

 

10. 언론 사이트의 광고는 외주업체에 의해 관리되는데, 그들은 서버 관리가 매우 허술한 편에 속한다. 광고에 악성코드가 삽입될 가능성이 다소 높다. 인터넷 기사를 볼 때 언론 사이트에서보다는 보안 수준이 언론 사이트보다 높은 포탈의 뉴스 사이트에서 보는 것을 추천한다.  

 

*참고로 호스트 파일이 변경되지 못하도록 특정 백신이나 방화벽을 통해 호스트 파일을 잠글 것을 권장한다. 

* 많은 관심과 공감, 그리고 활발한 댓글과 스크랩은 블로거를 춤추게 합니다. 

* 여러분의 꿈이 Richemont 님의 유일한 행복입니다.

* Richemont's Blog : https://blog.naver.com/taskmgr/