윈도우10의 랜섬웨어 방지 기능, 제어된 폴더 액세스 사용 방법

점점 늘어나는 랜섬피해

갑자기 컴퓨터에 저장된 파일들의 확장자가 알 수 없는 것으로 바뀌면서, 주요 문서 파일들을 모두 열 수 없게 되었다는, 랜섬웨어에 감염된 사례를 심심치 않게 만나게 됩니다.

뉴스나 인터넷 커뮤니티 등 직접적인 관계가 없는 사례들이 늘어나는 것은 물론, 최근에는 친한 지인들 중에도 랜섬웨어에 당했다는 경우를 접하는 등 그 사례가 점점 늘고 있습니다.

랜섬웨어에 감염된 지인들로 부터 복구 방법이 없는지, 혹시 해독키가 발표된 랜섬웨어가 아닌지 확인해 달라는 부탁을 받고 살펴보기도 했는데, 안타깝게도 새로 감염된 랜섬웨어가 구 버전일 가능성은 아예 없다고 보는 게 속편합니다.

최근 랜섬웨어에 감염된 지인은 윈도우7에 인터넷 익스플로러 조합으로 컴퓨터를 사용했던 것으로 확인되었습니다.

별도의 백신은 사용 했고, 평소 메일의 첨부 파일이나 정체 불명의 파일은 실행하지 말라는 조언은 잘 지켰지만, 지원이 끝난 윈도우7 운영체제와 인터넷 익스플로러의 조합이 문제였네요.

윈도우10의 마이크로소프트 디펜더

그나마 랜섬웨어 감염 당일 컴퓨터에 장착하지 않았던 USB 메모리에 저장해 두었던, 아주 약간의 문서 파일들 덕에 그나마 최악의 상태는 면할 수 있고, 지인은 낡은 윈도우7 컴퓨터를 폐기하고 윈도우10 설치된 새 노트북을 구입했습니다.

그리고 윈도우10 컴퓨터의 초기 설정을 도와주면서, 기본 설치되어 있던 마이크로소프트 디펜더 백신과는 별도로 한 가지 설정을 추가했습니다.

마이크로소프트 디펜더 백신은 마이크로소프트에서 무료로 제공하는 백신 소프트웨어입니다.

간혹 전문 업체의 백신에 비해 기능이나 안정성이 떨어지는 것으로 생각하는 사람들도 있지만, 마이크로소프트 디펜더 백신은 백신 테스트에서 최상위권의 점수를 받고 있으며, 개인적으로는 매우 신뢰하는 백신 프로그램이기도 합니다.

윈도우10의 랜섬웨어 방지

윈도우10의 랜섬웨어 방지 기능을 켜려면, [설정]-[업데이트 및 보안] 항목을 열고

[Windows 보안] - [바이러스 및 위협 방지] 항목으로 들어갑니다.

[바이러스 및 위협 방지] 화면을 아래로 내려 [랜섬웨어 방지 관리] 항목으로 들어갑니다.

[랜섬웨어 방지] 항목의 [제어된 폴더 액세스] 항목이 오늘 살펴볼 내용으로, [끔]이라고 설정된 스위치를 클릭해 [켬]으로 바꿔줍니다.

[제어된 폴더 액세스] 항목을 켜면 3개의 추가 옵션이 표시되는데, 이 중 [보호된 폴더] 항목을 클릭합니다.

[보호된 폴더] 항목에는 [Windows 시스템 폴더가 기본적으로 보호됩니다] 라는 메시지와 함께 문서, 사진, 동영상, 음악 폴더 들이 미리 등록되어 있습니다.

저는 데이터 저장용으로 사용하는 D:\ 드라이브와 H:\ 드라이브를 추가로 등록하기 위해 [보호된 폴더 추가] 버튼을 클릭했습니다.

[보호된 폴더 추가] 버튼을 클릭하면 흔히 보던 파일 경로 상자가 열리는데, 저는 H:\ 드라이브를 통째로 선택(왼쪽 드라이브 목록에서 H:\ 드라이브 클릭)한 뒤 [폴더 선택] 버튼을 클릭했습니다.

이렇게 D:\와 H:\ 드라이브를 추가로 등록했습니다.

화이트리스트 방식, 불편함과 안전함

제어된 폴더 액세스 기능을 처음 켜고 드라이브를 추가하면, 딱히 뭔가 달라진 게 보이지 않습니다.

그런데 한 두시간 컴퓨터를 사용하면서 프로그램을 실행하고 파일을 저장하는 등의 작업을 진행하다 보면, 평소에는 보이지 않던 에러 메시지를 겪게 됩니다.

이 화면은 얼마 전 살펴봤던 AnyBurn의 파일 저장 대화 상자입니다.

AnyBurn으로 이미지 파일을 저장하려고 파일 이름을 설정했는데 [파일이 없습니다. 파일 이름을 확인하고 다시 시도하십시오]라는 에러 메시지가 뜹니다.

파일을 불러오는 대화상자도 아니고, 단지 파일을 저장하기 위해 이름을 정하고 확인 버튼을 클릭했을 뿐인데, 파일이 없다는 에러 메시지가 뜹니다.

이것은 [제어된 폴더 액세스] 기능이 파일을 저장하려는 작업에 제동을 거는 것으로, 정상적인 작동 방식입니다.

즉 랜섬웨어의 경우 백그라운드에서 사용자의 파일을 암호화시키면서 확장자를 바꾸게 되는데, [제어된 폴더 액세스] 기능은 일단 모든 프로그램들의 파일 저장/변경 기능에 제동을 걸고 보는 방식입니다.

일단 모든 응용 프로그램을 차단했다가 사용자가 정상 프로그램의 실행을 허용하는, 일명 '화이트리스트' 방식입니다.

그리고 윈도우 오른쪽 하단의 알림 표시를 클릭해보면, [허용되지 않은 변경이 차단됨]이라는 새 알림이 떠 있고, 앞서 실행했던 AnyBurn을 비롯한 응용 프로그램들의 변경이 차단되었다는 메시지가 떠 있습니다.

사용자가 의도적으로 실행한 프로그램의 변경이 차단된 경우, 정상 작동하도록 화이트리스트에 등록해야 하는데 알림 표시 상단의 [설정] 버튼을 클릭합니다.

[보호 기록] 페이지가 열리고 자단된 내역들이 표시되면 하단의 [제어된 폴더 액세스 설정] 항목의 [작업]을 클릭하고 [디바이스에서 허용] 항목을 클릭합니다.

이렇게 설정하면 해당 응용프로그램은 차단 해제되며, 이후 사용자가 제한 설정한 폴더에 자유롭게 접근할 수 있게 됩니다.

[제한된 폴더 액세스] 기능을 사용하기로 결정하고 켠 직후라면, 차단된 정상 프로그램을 화이트리스트에 등록하는 작업을 한동안 반복해야 합니다.

물론 차단된 목록에서 허용하는 방법 뿐 아니라 사용자가 직접 프로그램을 허용 설정할 수도 있습니다.

[제어된 폴더 액세스를 통해 앱 허용] 항목을 클릭하고

[허용된 앱 추가] 버튼을 클릭해 허용할 프로그램의 경로와 실행 파일을 직접 지정해 주는 방식입니다.

개인적으로는 프로그램을 직접 허용 등록하기 보다 차단되었다는 메시지가 뜨면 하나씩 허용하곤 하는데, 화이트리스트 등록 방식은 사용자가 직접 선택하면 되겠습니다.

실제 [제어된 폴더 액세스] 기능을 켠 직후 정상 프로그램이 차단되고 화이트리스트에 등록하는 방식이 살짝 불편합니다.

하지만 화이트리스트에 한 번 등록하면 더 이상 실행에 제약을 받지 않는 만큼, 설정 초기 단계를 지나면 딱히 불편할 것이 없는 방식입니다.

무료로 사용할 수 있는 장점이 있지만, 윈도우 보안 설정 깊숙히 숨겨져 있어 아예 존재를 모르는 경우도 많고 인터페이스 역시 제대로 작동하는 기능인지 의심될 정도로 매우 단순합니다.

아울러 [제어된 폴더 액세스] 설정을 변경하는 과정에서 사용자 계정 컨트롤 화면이 반복 표시되는 점 역시 불편할 수 있는데, 개인적으로는 안전을 위한 불편함이라 생각합니다.

랜섬웨어에 호되게 당해 본 지인은 이 정도는 충분히 감수할만한 불편함이라는 반응이었고, 꽤 강력한 보안 도구인 만큼 안전하게 사용할 것을 권합니다.

관련글

• 2020/08/03 - 안랩 세이프 트랜잭션 시작 유형 설정 방법 및 삭제 방법
• 2019/03/12 - 랜섬웨어 첨부파일 담은 경찰청 출석통지서, 헌법재판소, 저작권 안내 메일
• 2018/08/17 - 노턴 시큐리티 백신 삭제/재설치 방법. 업데이트 무한 반복되는 노턴 시큐리티
• 2018/03/29 - 노턴 모바일 시큐리티 백신의 '손상된 네트워크' 진단 오류 메시지와 해결 방법
• 2016/08/21 - 무거워진 Avast 백신과 이별, AVG 인터넷 시큐리티 6개월 무료버전 설치 과정
• 2016/03/04 - 협박성, 허위 바이러스 경고창으로 설치 유도하는 스마트폰 백신, 청소 프로그램 주의
• 2016/02/26 - 랜섬웨어 전용 백신 앱체크(AppCheck) 사용법. 랜섬웨어에 걸리지 않으려면?