랜섬웨어 방어를 위한 윈도우 SMB 포트 차단 방법

2017 보안 동향 및 트랜드를 비추어볼 때 최대의 화두는 단연 랜섬웨어라고 할 수 있겠습니다.

서버나 개인 PC에 있는 파일을 감염시켜 단기간 또는 장기간에 걸친 해독이 불가하도록 암호화하는 방법을 통하여 그 대가로 비트코인 등의 금전을 요구하는 사례가 빈번히 발생하고 있어 전세계 및 국내 보안 기관 및 업체에서는 주의를 당부하고 있습니다.

랜섬웨어의 감염 경로는 아주 다양하고 그 다양한 공격 패턴을 100% 방어하기는 힘이 들겠지만, 기관 및 기업에서는 안랩 MDS를 비롯한 랜섬웨어 방어 장비를 도입하거나 e-mail 보안 장비를 도입하여 랜섬웨어의 침투 자체를 방어하는 방법이 가장 우선적인 방법입니다.

하지만 일반적인 개인 사용자들은 고가의 장비 도입이 불가하므로 소프트웨어적인 예방을 해야하는데요, 윈도우 업데이트와 바이러스 백신 업데이트는 기본으로 인터넷 진흥원이나 보안 관련 자료를 참고하여 랜섬웨어의 감염을 차단해야 하겠습니다.

그 중 최근 문제가 되었던 SMB 포트를 통해 랜섬웨어 감염을 위한 악성코드 실행 문제는 아래의 방법으로 개인 PC나 서버에서 실행 자체를 방지할 수 있는데요, 윈도우 방화벽에 룰을 추가하거나 아니면 SMB 사용 서비스 포트를 차단하는 방법이 있습니다.

udp/137

udp/138

tcp/139

tcp/445

아래는 윈도우 10 이상의 운영체제에서 SMB 포트를 방화벽 룰 설정 없이 사용하지 않도록 설정하는 방법입니다.

우선 제어판을 통해 프로그램 제거 또는 변경 페이지를 열고 좌측의 Windows 기능 켜기/끄기 항목으로 이동합니다.

`

새롭게 뜨는 Windows 기능 창에서 SMB 1.0/CIFS 파일 공유 지원 항목을 체크 해제하여 SMB 사용을 원천적으로 차단하여 랜섬웨어의 실행과 전파를 방지합니다.

윈도우 운영체제는 자동으로 실행에 필요한 파일과 설치 및 제거를 마무리하고, 마지막으로 변경사항 적용을 위해 다시 시작 버튼을 눌러 SMB 랜섬웨어 방어를 위한 설정을 마무리하게 됩니다.

기본적인 지식이 없으신 분들도 체크 해제만으로 SMB 포트를 통한 랜섬웨어를 차단하는 방법을 손쉽게 설정하실 수 있겠습니다.

위 방법은 랜섬웨어의 다양한 공격 및 전파 루트 중 주로 사용하게 되는 서비스 포트를 차단한 것으로, 랜섬웨어를 100% 차단할 수는 없습니다.

기업이나 관공서의 경우 랜섬웨어 보안 장비의 에이전트 프로그램을 반드시 설치하여 랜섬웨어를 방어하기 바라며, 개인적인 사용자들을 최소한의 방어 체계인 윈도우 업데이트와 보안 백신 업데이트를 수시로 진행하기 바랍니다.

이번 SMB 랜섬웨어의 경우 5월 초에 언론에 보도되었지만, 실제 윈도우 보안 패치는 2월에 패치가 된 상태를 봐도 알 수 있겠습니다.

감사합니다.