최근 랜섬웨어 공격과 동시에 윈도우의 비트라커 공격이 무척 늘어나고 있습니다.
비트라커는 랜섬웨어는 아니지만 하드디스크를 암호화한다는 점에서 랜섬웨어와 유사합니다. 비트라커(BitLocker)는 사실 랜섬웨어가 아니라, Windows의 정식 기능인 드라이브 암호화 도구입니다. 하지만, 최근 몇몇 공격자들이 이 정상적인 기능을 악용해 랜섬웨어처럼 사용하는 사례가 보고되면서 문제가 되고 있습니다.
따라서 여기서 말하는 "비트라커 랜섬웨어"는 공격자가 비트라커를 이용해 사용자 시스템의 드라이브를 암호화한 뒤 복호화 키를 요구하는 방식의 공격을 의미합니다.
🎯 공격으로부터 윈도우를 보호하기 위한 구체적인 방법은 다음과 같습니다:
✅ 1. 관리자 권한 보호
- 비트라커 활성화를 위해서는 관리자 권한이 필요합니다.
- 일반 사용자 계정은 관리자 권한을 제거하고, 관리가 필요할 경우 UAC(User Account Control) 승인 후 작업하도록 구성합니다.
✅ 2. 로컬 그룹 정책 제한
- 비트라커 기능이 악용되지 않도록 정책을 조정합니다.
➤ 비트라커 자동 실행 방지 설정:
- gpedit.msc 실행 (로컬 그룹 정책 편집기)
- 다음 경로로 이동:
-
복사편집컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화
- “BitLocker를 사용하여 드라이브 암호화 허용” 설정을 사용 안 함으로 설정
➤ 외부 저장소 자동 암호화 방지:
- 비트라커가 자동으로 외장 드라이브를 암호화하지 않도록 설정
✅ 3. BitLocker 비활성화 (사용하지 않는다면)
- 제어판 > BitLocker 드라이브 암호화 에서 모든 드라이브의 BitLocker를 해제합니다.
- 기업 환경에서는 Intune, GPO, SCCM 등을 통해 중앙 제어 가능합니다.
✅ 4. 백업 전략 강화
- 정기적이고 오프라인 보관이 가능한 백업을 유지하세요.
- 네트워크에서 분리된 외장 디스크 또는 클라우드 기반 백업 솔루션 사용 권장
- 백업은 복원 가능한 유일한 수단이 될 수 있습니다.
✅ 5. 권한 최소화 원칙 적용
- 사용자 및 애플리케이션에 필요 이상으로 높은 권한 부여 금지
- 특히 RDP(원격 데스크톱) 접근 시 강력한 인증 방식 적용 (2단계 인증 포함)
✅ 6. 정기적인 보안 업데이트
- Windows OS 및 프로그램에 최신 보안 패치 적용 필요
- 특히 SMB 취약점, RDP 취약점, 암호화 관련 보안 취약점에 대한 업데이트 중요
✅ 7. 안티랜섬웨어 및 EDR 도구 사용
- Microsoft Defender, Bitdefender, SentinelOne, CrowdStrike 등 엔드포인트 보안 솔루션 사용
- 의심스러운 비트라커 실행 탐지 및 차단 기능 있는 보안 솔루션 활용
- AVAST 또는 EMSISOFT 추천 (비밀번호 보호로 백신 무력화 방지)
✅ 8. 로그 모니터링 및 이벤트 감지
- 이벤트 로그에 아래와 같은 활동 탐지 설정:
- BitLocker Management 이벤트 로그
- Windows Security Auditing에서 관리자 권한 획득 또는 시스템 변경 흔적 확인
✅ 9. RDP 제한 및 MFA 적용
- 외부에서 시스템 접근이 가능하다면 RDP 포트를 폐쇄하거나 VPN 내부로만 허용
- 다중 인증 (MFA) 을 통해 계정 탈취로 인한 피해 최소화
🔐 보너스: PowerShell 명령어로 비트라커 상태 확인
powershell
Get-BitLockerVolume
- 각 드라이브에 대해 비트라커 활성화 여부를 확인할 수 있습니다.
🎯 비트라커로 부터 시스템을 보호하기 위한 스크립트 및 그룹 정책
🛡️ 1. PowerShell 스크립트: 비트라커 비활성화 및 보호 조치
powershell
# 실행 전 관리자 권한으로 PowerShell을 열어야 함
# 모든 드라이브의 BitLocker 상태 확인
Get-BitLockerVolume
# 모든 드라이브에서 BitLocker 해제
Get-BitLockerVolume | ForEach-Object {
if ($_.ProtectionStatus -eq 'On') {
Disable-BitLocker -MountPoint $_.MountPoint
}
}
# 비트라커 서비스 비활성화
Stop-Service -Name BDESVC -Force
Set-Service -Name BDESVC -StartupType Disabled
# 자동 BitLocker 암호화를 방지하는 레지스트리 수정
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "EnableBDE" -Value 0 -Type DWord
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "RDVConfigureBDE" -Value 0 -Type DWord
Write-Host "BitLocker 해제 및 정책 적용 완료"
🏛️ 2. 그룹 정책 템플릿 설정 (GPO)
아래 항목들은 gpedit.msc 또는 AD 그룹 정책(GPMC)에서 적용할 수 있습니다:
📁 경로:
복사편집
컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화
📋 설정 목록:
설정 이름권장 설정설명
"BitLocker 드라이브 암호화를 허용하지 않음" | 사용 | 비트라커 자체를 비활성화 |
"운영 체제 드라이브에 BitLocker 사용 구성" | 사용 > 암호화 안 함 | 자동 암호화 차단 |
"BitLocker에 TPM이 필요함" | 사용 | TPM이 없으면 비트라커 작동 불가 |
"BitLocker를 사용한 외장 드라이브 자동 암호화 허용 안 함" | 사용 | USB 등 자동 암호화 방지 |
"BitLocker 백업 키를 Active Directory에 저장" | 사용 | 키 유실 시 복구 대비 (기업 환경용) |
"BitLocker PIN 요구 안 함" | 사용 안 함 | 사용자 동의 없이 설정 방지 |
🧱 3. 로컬 보안 정책 조정 (추가 조치)
경로: secpol.msc > 로컬 정책 > 사용자 권한 할당
- "드라이브 암호화를 위한 BitLocker 보안 구성 관리" 권한을 관리자만 유지하도록 설정
- "디스크 관리" 권한 최소화
✅ 적용 방법 요약:
- 개인 사용자: PowerShell 스크립트 실행 + gpedit.msc 설정
- 기업 사용자: GPO 템플릿 구성 후 AD에 배포
- EDR/MDM 환경: 스크립트 배포 또는 정책 JSON으로 변환하여 Intune 등에서 적용
비트라커 위험성을 인지하시고 백업과 엔드포인트 보안에 더욱 신경쓰고 관리하여 안전한 시스템 보안을 유지할 수 있으면 좋겠습니다.
감사합니다.
어베스트코리아 (주)소프트메일
AVAST 백신 한국총판 | 소프트메일
AVAST 백신 한국총판 (주)소프트메일입니다. AVAST 기업용 백신 구매관련 문의해 주세요.
www.avastkorea.com
'새로운 소식' 카테고리의 다른 글
[EMSISOFT] 클라우드 기반 보호와 엔드포인트 보호의 차이 (1) | 2025.07.16 |
---|---|
고클*을 넘어서는 글로벌 표준! ‘CCleaner’로 느려진 PC를 강력하게 최적화 (1) | 2025.07.15 |
즉시 PC 성능 향상! ‘CCleaner’로 느려진 PC를 간편하게 최적화하세요 - 할인판매가격도 확인해 보세요 (1) | 2025.07.15 |
EMSISOFT 2025.7의 새로운 기능: 유지 관리 릴리스 (0) | 2025.07.10 |
Avast, iOS용 (아이폰/아이패드) 안티바이러스 앱 ‘Avast Mobile Security’ 최신 업데이트 발표 (2) | 2025.07.08 |