랜섬웨어 예방을 위한 윈도우 디펜더 폴더 액세스 제어 켜기

증상 확인: 당신의 파일이 갑자기 암호화되고 있나요?

문서, 사진, 데이터베이스 파일의 확장자가 갑자기 이상하게 바뀌었습니다. 파일을 열 수 없고, 바탕화면에 “당신의 파일이 암호화되었습니다”라는 텍스트 파일이 생성되었습니다. 이는 랜섬웨어 감염의 전형적인 증상입니다. 이 글을 읽고 있다면 아직 감염되기 전이거나, 초기 감염을 막을 수 있는 결정적인 시간일 수 있습니다. 지금부터 설명할 폴더 액세스 제어 기능은 마이크로소프트가 제공하는, 무료이면서도 강력한 랜섬웨어 방어의 최전선입니다.

원인 분석: 랜섬웨어는 어떻게 중요한 파일을 훔치나?

랜섬웨어는 사용자 모르게 시스템에 침투한 후, 특정 디렉토리(문서, 사진, 바탕화면 등)의 파일을 실시간으로 암호화합니다. 전통적인 백신은 악성코드의 서명(패턴)을 기준으로 탐지합니다. 하지만 새로운 변종은 탐지되지 않을 수 있습니다. 폴더 액세스 제어의 핵심은 ‘행위 기반 차단’입니다. 어떤 프로그램이든, 신뢰된 목록에 없으면서 보호된 폴더에 파일을 암호화하듯 대량으로 수정하려는 시도를 감지하면 즉시 차단합니다, 이는 악성코드의 ‘최종 목표’를 막는 사전 차단 시스템입니다.

주의사항: 이 기능은 신뢰할 수 없는 프로그램의 악의적인 행동을 차단하는 동시에, 합법적인 프로그램(백업 소프트웨어, 동기화 도구, 컴파일러 등)의 정상적인 파일 쓰기 작업도 방해할 수 있습니다, 설정 후 평소 사용하던 프로그램이 파일 저장에 실패한다면, 예외 처리를 추가해야 합니다. 모든 중요한 작업 전에는 시스템 복원 지점을 생성하거나 중요한 데이터를 외부 저장장치에 백업하는 습관이 필수입니다.

해결 방법 1: 윈도우 보안 앱을 통한 기본 설정

가장 직관적이고 안전한 방법입니다. 윈도우 10 (버전 1709 이상), 윈도우 11에서 사용 가능합니다.

1. 작업 표시줄의 검색 창 또는 시작 메뉴에서 윈도우 보안을 검색하여 앱을 실행합니다.
2. 왼쪽 메뉴에서 바이러스 및 위협 방지를 클릭합니다.
3. 화면 중앙 아래쪽의 바이러스 및 위협 방지 설정 영역에서 설정 관리 링크를 클릭합니다.
4. 설정 목록을 아래로 스크롤하여 폴더 액세스 제어 항목을 찾습니다.
5. 켬으로 토글을 변경합니다. 바로 활성화됩니다.

활성화 직후, 기본적으로 문서, 사진, 동영상, 바탕화면, 즐겨찾기 폴더가 자동으로 보호됩니다. 이 상태만으로도 대부분의 사용자 데이터는 기본적인 보호를 받게 됩니다.

보호된 폴더 추가 및 제거

NAS 동기화 폴더나 작업용 특정 디렉토리를 추가로 보호해야 할 경우 설정합니다.

1. 위 4번 단계의 폴더 액세스 제어 항목 아래에 있는 보호된 폴더 관리 링크를 클릭합니다.
2. 보호된 폴더 추가 버튼을 클릭하고, 탐색기 창에서 보호할 폴더를 선택합니다. (네트워크 드라이브는 보호 불가)
3. 폴더를 제거하려면 목록에서 해당 폴더를 선택한 후 제거 버튼을 클릭합니다.

해결 방법 2: 레지스트리 편집기를 통한 상세 제어 (고급 사용자)

그룹 정책 편집기가 없는 Windows Home 버전 사용자나, 스크립트를 통한 자동화 배포를 원할 때 사용합니다. 레지스트리 조작은 시스템 불안정을 초래할 수 있으므로, 반드시 레지스트리 백업을 먼저 수행해야 합니다.

1. Win + R 키를 눌러 실행 창을 열고, regedit를 입력하여 레지스트리 편집기를 실행합니다.
2. 왼쪽 탐색 창에서 다음 경로로 이동합니다:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access
3. Controlled Folder Access 키가 없으면 마우스 오른쪽 버튼으로 상위 키(Windows Defender Exploit Guard)를 클릭하고 새로 만들기 > 키를 선택하여 생성합니다.
4. 오른쪽 창에서 마우스 오른쪽 버튼을 클릭하고 새로 만들기 > DWORD (32비트) 값을 선택합니다.
5. 이름을 EnableControlledFolderAccess로 지정하고 더블 클릭하여 값을 설정합니다.
   • 활성화: 값 데이터를 1로 설정.
   • 비활성화: 값 데이터를 0으로 설정.
   • 감사 모드 (권장 초기 설정): 값 데이터를 2로 설정. 이 모드에서는 차단하지 않고 로그만 기록하여 어떤 프로그램이 차단될지 먼저 확인할 수 있습니다.
6. 변경 사항을 적용하려면 컴퓨터를 재시동하거나, 관리자 권한 명령 프롬프트에서 gpupdate /force 명령을 실행합니다.

해결 방법 3: PowerShell 명령어를 이용한 빠른 배포 및 확인

여러 대의 컴퓨터를 관리하거나 명령줄 인터페이스를 선호하는 시스템 관리자에게 특히 적합한 방식으로, 대규모 환경에서도 효율적인 운영이 가능하다는 점에서 더99스프링과 같은 고급 관리 도구를 함께 참고하면 이해에 도움이 됩니다.

1. 관리자 권한으로 PowerShell을 실행합니다. (시작 메뉴에서 ‘PowerShell’ 검색 후 ‘관리자 권한으로 실행’)
2. 현재 상태를 확인하려면 다음 명령어를 입력합니다:
   
   Get-MpPreference | Select-Object EnableControlledFolderAccess
   
   결과가 1이면 활성화, 0이면 비활성화, 2면 감사 모드입니다.
3. 기능을 활성화하려면 다음 명령어를 입력합니다:
   
   Set-MpPreference -EnableControlledFolderAccess Enabled
4. 감사 모드로 설정하려면:
   
   Set-MpPreference -EnableControlledFolderAccess AuditMode
5. 비활성화하려면:
   
   Set-MpPreference -EnableControlledFolderAccess Disabled
6. 보호된 폴더 목록을 확인하려면:
   
   Get-MpPreference | Select-Object -ExpandProperty ControlledFolderAccessProtectedFolders
7. 폴더를 추가하려면 (예: D:\CriticalData 폴더):
   
   Add-MpPreference -ControlledFolderAccessProtectedFolders “D:\CriticalData”
8. 허용된 응용 프로그램을 추가하려면 (예: 합법적인 백업 프로그램의 경로):
   
   Add-MpPreference -ControlledFolderAccessAllowedApplications “C:\Program Files\BackupSoft\backup.exe”

주의사항 및 예외 처리: 기능을 방해하지 않고 완벽하게 사용하기

기능을 켜고 나서 정상적인 프로그램이 작동하지 않는다면, 다음과 같이 조치합니다.

• 허용된 앱 추가: ‘윈도우 보안’ > ‘바이러스 및 위협 방지’ > ‘설정 관리’ > ‘폴더 액세스 제어’ 아래의 앱 허용 링크를 클릭합니다. 여기서 차단 이력도 확인 가능하며, 최근 차단된 앱 허용 버튼을 클릭하거나 허용된 앱 추가 버튼을 통해 프로그램 실행 파일(.exe)을 직접 지정할 수 있습니다.
• 차단 이력 확인: ‘윈도우 보안’ > ‘방화벽 및 네트워크 보호’에서 오른쪽의 고급 설정 링크를 클릭하면 ‘고급 보안이 포함된 Windows Defender 방화벽’ 콘솔이 열립니다. 여기서 왼쪽의 모니터링 > 보안 연결을 클릭하면 다양한 로그를 필터링하여 확인할 수 있습니다. 보다 상세한 이벤트는 ‘이벤트 뷰어’에서 응용 프로그램 및 서비스 로그 > Microsoft > Windows > Windows Defender > Operational 로그를 확인합니다. 이벤트 ID 1123이 폴더 액세스 차단 로그입니다.
• 성능 영향: 일반적인 문서 작업에서는 체감 성능 저하가 거의 없습니다, 하지만 수만 개의 소규모 파일을 동시에 처리하는 작업(소프트웨어 빌드, 대용량 데이터베이스 작업, 비디오 편집 캐시 생성 등)에서는 약간의 지연이 발생할 수 있습니다. 이 경우 해당 작업 디렉토리를 보호 목록에서 제외하거나, 작업 중에만 기능을 일시적으로 감사 모드로 전환하는 것을 고려합니다.

전문가 팁: 단일 기능에 의존하지 않는 다층 방어 구축

폴더 액세스 제어는 훌륭한 안전장치이지만, 유일한 방어선이 되어서는 안 됩니다. 랜섬웨어 공격 체인을 단계별로 차단하는 다층 방어를 구성해야 합니다.

1. 입구 차단: 의심스러운 이메일 첨부파일과 링크를 클릭하지 않습니다. 브라우저 스크립트 차단 확장 프로그램을 사용하고, 만일의 상황에 대비해 스마트폰 분실 시 구글 내 기기 찾기로 데이터 원격 삭제 방법까지 미리 숙지해 두는 것이 안전합니다.
2. 실행 차단: 윈도우 디펜더의 ‘핵심 격리’ 내 메모리 무결성 기능을 반드시 켜 둡니다. 이는 커널 수준의 악성코드 삽입을 막습니다.
3, 확산 차단: 네트워크 공유 폴더에 불필요한 쓰기 권한을 부여하지 않습니다. 관리자 계정으로 평시에 사용하지 않습니다.
4. 피해 최소화: 3-2-1 백업 원칙을 준수합니다. 중요한 데이터의 사본 3개를, 2가지 다른 매체에, 그중 1개는 오프사이트(외부 저장장치, 클라우드)에 보관합니다. 이 백업은 주기적으로 연결을 끊어야 합니다(랜섬웨어가 네트워크 드라이브나 항상 연결된 외장하드의 파일도 암호화할 수 있음).

폴더 액세스 제어를 감사 모드로 1주일 정도 운영해 보십시오. 이벤트 뷰어의 로그를 확인하면 당신의 시스템에서 어떤 프로그램이 평소에 어떻게 동작하는지 파악할 수 있습니다. 이 ‘시스템에 대한 이해’가 바로 가장 훌륭한 보안 설정의 시작점입니다.