이번에 WannaCry 랜섬웨어때문에 불안해 하시는 분들이 많은 듯 하여 올려봅니다.

 

Microsoft 보안 공지 MS17-010 - 긴급

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

 

위 링크는 지난 3월에 MS에서 발표한 보안 공지입니다. SMB(Server Message Block) 1.0 프로토콜의 취약점을 이용하여 Remote Code Execution을 할 수 있다는 것인데요... 윈도우 업데이트를 매월 꾸준히 해오셨던 분들이라면 별다른 문제가 없으시겠지만, 평소에 윈도우 업데이트를 잘 하지 않는 분들은 취약한 환경일 수 있습니다.

 

아래와 같이 Microsoft®Update 카탈로그 사이트를 통해 각 윈도우 버전별 업데이트 링크를 정리해 두었으니 각자 버전에 맞는 파일을 다운로드 받으셔서 설치하시면 됩니다.

 

윈도우 7 SP1 32비트
March, 2017 Security Only Quality Update for Windows 7 (KB4012212)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

 

윈도우 7 SP1 64비트, 윈도우 서버 2008 R2
March, 2017 Security Only Quality Update for Windows 7 for x64-based Systems (KB4012212)
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

윈도우 8.1 32비트
March, 2017 Security Only Quality Update for Windows 8.1 (KB4012213)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

 

윈도우 8.1 64비트, 윈도우 서버 2012 R2
March, 2017 Security Only Quality Update for Windows 8.1 for x64-based Systems (KB4012213)
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

 

윈도우 10 32비트
Cumulative Update for Windows 10 (KB4012606)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

 

윈도우 10 64비트
Cumulative Update for Windows 10 for x64-based Systems (KB4012606)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

 

윈도우 10 1511 32비트
Cumulative Update for Windows 10 Version 1511 (KB4013198)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu

 

윈도우 10 1511 64비트
Cumulative Update for Windows 10 Version 1511 for x64-based Systems (KB4013198)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

 

윈도우 10 1607 32비트
2017-03 Delta Update for Windows 10 Version 1607 for x86-based Systems (KB4013429)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_delta_13d776b4b814fcc39e483713ad012070466a950b.msu

 

윈도우 10 1607 64비트, 윈도우 서버 2016
2017-03 Delta Update for Windows 10 Version 1607 for x64-based Systems (KB4013429)
2017-03 Delta Update for Windows Server 2016 for x64-based Systems (KB4013429)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu

 

참고로 윈도우 10인데 뒤에 버전 숫자가 뭔지 모르시는 분들은 winver 명령어로 확인 가능하십니다.

 

 

마이크로소프트에서 발표한 보안 업데이트를 적용하는 것이 가장 확실한 방법이지만, 여러가지 사유로 그것이 여의치 않은 상황이라면 SMBv1을 비활성화 시키는 방법도 있습니다.

 

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

 

Windows 기능 켜기/끄기에서 직접 체크를 풀어도 되구요

 

 

 

파워쉘 명령어로 아래와 같이 레지스트리 수정 가능하구요

 

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

 

일반 커맨드 창에서 reg 명령어를 사용하셔도 됩니다. (관리자 권한으로)

 

reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t "REG_DWORD" /d 0 /f

 

단 위 방법으로 레지스트리를 수정하신 경우 리부팅을 하셔야 설정이 적용됩니다.

 

그리고 윈도우 방화벽 설정을 통해 TCP 139, 445 포트를 차단하는 방법이 있는데요... 평소에 윈도우 방화벽을 끄고 사용하시는 분들은 의미가 없겠지만, 켜고 사용하시는 분들은 아래와 같은 커맨드로 막을 수 있습니다. 단 SMB 포트를 차단시키시면 파일 공유를 사용하실 수 없습니다. (내 컴퓨터에 공유 폴더를 설정했을 때, 상대방 컴퓨터에서 접속을 못한다는 말)

 

netsh advfirewall firewall add rule name="DENY-SMB" dir=in action=block protocol=tcp localport=139,445

 

 

개인적인 의견입니다만, 요즘 대부분 가정에서 공유기를 사용하기 때문에 SMB 포트를 포트포워딩 하거나 DMZ, Twin IP 등의 설정을 하지 않으셨다면, 이번 공격의 영향을 받지 않으실 것입니다. 왜냐하면 외부에서 SMB로 들어올 방법이 없기 때문입니다. 대신 평소에 의심되는 파일이나 이메일은 다운로드 하거나 열어보지 않고, 신뢰할 수 없는 링크는 클릭하지 않는 습관을 들이는 것이 중요하다고 생각합니다.