증상 확인: 랜섬웨어 감염의 징후
갑자기 파일 확장자가 .locked, .encrypted, .crypt 등으로 변경되었나요? 바탕화면에 “당신의 파일이 암호화되었습니다”라는 텍스트 파일이 생성되었다면, 이미 랜섬웨어에 감염된 상태입니다. 예방 조치를 논의하기 전에, 현재 시스템이 안전한지 확인하는 것이 우선입니다. 감염이 의심된다면 즉시 네트워크를 차단(와이파이 연결 해제, 랜선 뽑기)하고 시스템을 종료하십시오. 이 글은 아직 감염되지 않은 시스템을 보호하기 위한 선제적 설정에 관한 것입니다.
원인 분석: 랜섬웨어의 공격 벡터
랜섬웨어는 주로 피싱 메일 첨부파일, 불법 크랙 소프트웨어, 취약한 RDP(원격 데스크톱 프로토콜) 포트를 통해 유입됩니다. 일단 시스템에 침투하면, 사용자 문서, 사진, 데이터베이스 등 중요한 파일을 신속하게 탐색하여 암호화합니다. 마이크로소프트의 윈도우 디펜더는 실시간 보호 기능으로 알려진 멀웨어를 차단그렇지만, 진화하는 랜섬웨어는 이를 우회하려 시도합니다. ‘폴더 액세스 제어’는 이러한 우회 공격에 대한 최후의 방어선 중 하나로, 신뢰할 수 없는 프로세스가 보호된 폴더에 무단으로 접근하는 것을 차단합니다.
해결 방법 1: 윈도우 보안 설정을 통한 기본 활성화
가장 간단하고 공식적인 방법입니다. 윈도우 10(버전 1709 이상) 및 윈도우 11에는 이 기능이 ‘제어된 폴더 액세스’라는 이름으로 기본 내장되어 있습니다.
- 시작 메뉴를 열고 윈도우 보안을 검색하여 앱을 실행하십시오.
- 바이러스 및 위협 방지를 클릭합니다.
- 설정 영역에서 바이러스 및 위협 방지 설정 아래의 관리 설정 링크를 클릭합니다.
- 설정 목록을 아래로 스크롤하여 제어된 폴더 액세스를 찾습니다.
- 해당 토글 스위치를 켬으로 설정합니다.
활성화 직후, 기본적으로 문서, 사진, 동영상, 데스크톱 등 중요한 사용자 폴더가 자동으로 보호됩니다. 특정 프로그램(예: 백업 소프트웨어, 암호 관리자)이 차단된다면, 동일한 설정 페이지의 제어된 폴더 액세스를 통해 허용된 앱에서 예외를 추가할 수 있습니다.
주의사항: 이 기능을 켜기 전에 중요한 작업을 저장하고 모든 프로그램을 종료하십시오. 갑작스러운 액세스 차단으로 인해 정상적인 프로그램이 작동을 멈출 수 있습니다. 특히 AutoCAD, Adobe 제품군, 개발 도구(IDE) 등 사용자 폴더에 자주 접근하는 전문 소프트웨어를 사용한다면, 예외 추가 단계가 필수적입니다.
해결 방법 2: 로컬 그룹 정책을 이용한 고급 구성
윈도우 프로, 엔터프라이즈, 교육 버전을 사용 중이라면, 더 세밀한 제어가 가능합니다. 로컬 그룹 정책 편집기를 통해 네트워크 경로의 폴더까지 보호 범위를 확장할 수 있습니다.
- Win + R 키를 눌러 실행 대화상자를 열고, gpedit.msc를 입력 후 엔터를 누릅니다.
- 왼쪽 트리 메뉴에서 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 제어된 폴더 액세스 경로로 이동합니다.
- 오른쪽 창에서 제어된 폴더 액세스 구성 정책을 더블클릭합니다.
- 사용을 선택한 후, 아래의 옵션 섹션에서 보호 수준을 설정합니다.
- 사용(기본값): 의심스러운 활동을 차단하고 윈도우 보안에 알림을 표시합니다.
- 차단: 알림 없이 조용히 차단합니다. 서버 환경에 적합합니다.
- 감사 모드: 차단하지는 않지만, 이벤트 로그에 기록합니다. 먼저 시스템 영향을 테스트할 때 사용합니다.
- 동일한 정책 폴더 내의 제어된 폴더 액세스에 의해 보호되는 폴더 구성 정책을 더블클릭합니다.
- 사용을 선택하고 표시 버튼을 클릭한 후, 값 이름 열에 보호할 추가 폴더의 전체 경로(예: D:\중요문서 또는 \\NAS\backup)를 입력합니다. 값 열은 비워둡니다.
이 방법을 통해 기본 사용자 폴더 외의 사용자 정의 위치까지 랜섬웨어로부터 보호할 수 있습니다. 정책 적용 후 명령 프롬프트를 관리자 권한으로 실행하여 gpupdate /force 명령어를 입력하면 변경 사항이 즉시 적용됩니다.
해결 방법 3: 레지스트리 편집을 통한 수동 설정
윈도우 홈 버전처럼 그룹 정책 편집기가 없는 경우, 또는 스크립트를 통한 대량 배포를 고려할 때 이 방법을 사용합니다. 레지스트리 편집은 시스템에 치명적인 변경을 가할 수 있으므로 각별한 주의가 필요합니다.
백업의 중요성: 레지스트리 편집기를(regedit) 실행하기 전에, 반드시 현재 사용자 키를 백업하십시오. 상단 메뉴에서 파일 > 내보내기를 선택하고, 범위를 ‘모두’로 한 후 안전한 위치에 파일을 저장합니다. 잘못된 편집은 시스템 불안정을 초래할 수 있습니다. 이처럼 소프트웨어 측면에서 시스템의 무결성을 지키는 것만큼이나, 기기 자체의 수명을 관리하는 것도 매우 중요합니다. 특히 이동 중 작업이 많다면 스마트폰 배터리 수명 연장: 80%까지만 충전하는 보호 기능을 활용해 보세요. 운영체제의 안전과 하드웨어의 내구성을 동시에 챙기는 것이 가장 현명한 기기 관리 방법입니다.
- Win + R 키를 눌러 실행 대화상자를 열고, regedit를 입력 후 엔터를 누릅니다.
- 왼쪽 트리 메뉴에서 다음 경로로 이동합니다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access
- Controlled Folder Access 키가 존재하지 않는다면, Windows Defender Exploit Guard 키를 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 키를 선택하여 직접 생성합니다.
- Controlled Folder Access 키를 선택한 상태에서, 오른쪽 창을 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > DWORD(32비트) 값을 선택합니다.
- 새 값의 이름을 EnableControlledFolderAccess로 지정하고 더블클릭하여 값을 편집합니다.
- 1: 제어된 폴더 액세스를 켬 (기본/차단 모드)
- 2: 감사 모드로 설정
- 0: 제어된 폴더 액세스를 끔
- 보호할 추가 폴더를 지정하려면, 동일한 위치에 새 키를 생성합니다. Controlled Folder Access 키를 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 키를 선택하여 이름을 ProtectedFolders로 지정합니다.
- ProtectedFolders 키를 선택한 상태에서, 오른쪽 창을 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 문자열 값을 선택합니다. 값 이름은 임의의 숫자(예: 1)로 하고, 값 데이터는 보호할 폴더의 전체 경로(예: C:\Finances)로 입력합니다.
레지스트리 편집 후 컴퓨터를 재부팅해야 설정이 완전히 적용됩니다. 이 방법은 시스템의 깊은 부분을 직접 제어하므로, 각 단계를 정확히 따라가는 것이 중요합니다.
주의사항 및 예방 체크리스트
폴더 액세스 제어는 강력한 도구이지만, 만능은 아닙니다. 이를 최대한 효과적으로 활용하기 위해 반드시 병행해야 할 보안 관행은 다음과 같습니다.
- 정기적 백업의 원칙 3-2-1: 최소 3개의 데이터 사본을, 2가지 다른 매체에, 그중 1부는 오프사이트(외부 저장소, 클라우드)에 보관하십시오. 랜섬웨어의 가장 확실한 치료법은 암호화되지 않은 백업에서 복원하는 것입니다.
- 소프트웨어 최신 상태 유지: 윈도우 업데이트를 자동으로 설정하고, 특히 보안 업데이트는 지체 없이 적용하십시오. 오피스, 자바, 어도비 리더 등 제3자 프로그램의 업데이트도 동일하게 중요합니다.
- 계정 권한 최소화: 일상적인 작업에는 관리자(Administrator) 계정이 아닌 표준 사용자(Standard User) 계정을 사용하십시오. 이렇게 하면 악성 코드가 시스템 전체에 침투하는 것을 근본적으로 제한할 수 있습니다.
- 의심스러운 메일과 링크 경계: 발신처를 모르는 메일의 첨부파일을 열거나 링크를 클릭하지 마십시오. URL을 주의 깊게 확인하십시오.
전문가 팁: 제어된 폴더 액세스가 작동하는지 실전 테스트를 해보는 것을 추천합니다. 공인된 테스트 도구인 ‘테스트 파일’을 다운로드하여 실행해 보십시오. 윈도우 디펜더가 이를 차단하고 알림을 표시한다면 설정이 정상적으로 작동하고 있는 것입니다. 또한, 이벤트 뷰어(eventvwr.msc)에서 응용 프로그램 및 서비스 로그 > Microsoft > Windows > Windows Defender > Operational 경로의 로그를 확인하면 차단된 시도에 대한 상세한 기록을 분석할 수 있습니다. 이는 보안 태세를 평가하는 데 유용한 자료가 됩니다.
About the Author
