1. 랜섬웨어 감염원리

어도비 플래시 플레이어는 원래 자동업데이트가 없었다. 또한 업데이트 과정에서 어도비 사이트를 통한 공식적인 버전체크 과정이 전혀없다.

플래시 플러그인이 아예 설치조차 되어있지 않다면 최소한 설치를 묻는 창이라도 뜨는데, 이미 설치되어 있는 상황에서는 업데이트를 물어보지도 않는다.

그러니까, 익히 알려진대로 IE와 플래시의 취약점 콜라보레이션이 아니라 ActiveX의 특성+플래시 업데이트의 특성이 합해진 결과물이다.

즉, 웹페이지에 접속했는데 플래시 플러그인이 있다 >> 플러그인이 불려와지고보니 페이지에있는 버전이 '나'보다 높다 >> 플러그인은 걔를 통해서 업데이트 콜.

이게 전부였다. 즉, 랜섬웨어 설치파일을 플래시 플러그인으로 등록해두고 플래시 플러그인 최신버전보다 버전번호를 약간 높게해주면 걍 설치되는 구조다.



2. 윈도7 이하버전 랜섬웨어 예방법

이를 막기위해서 약 5년전쯤부터 어도비에서는 플래시 업데이터를 만들었다. 윈7게이들은 윈도우 설치초기에 IE에 플래시 플러그인을 설치하고나면

어느날 컴퓨터가 부팅하자마자 플래시 업데이트 있다고 설치하라는 창 뜨는거 봤을텐데 그게 내가 말하는거다. 업데이트는 반드시 그것으로만 해라.

묻지도않고 그냥 감염되는 랜섬웨어는 어떻게 못해도, 플래시 설치창으로 속여서 업데이트하라고 훼이크치는건 그것에 응하지 않는것으로 예방이 가능하다.



3. 윈도8 이상버전 랜섬웨어 예방법

어도비의 병신같은 업데이트 정책으로 인해서 랜섬웨어 등장이전부터도 플래시로 유발되는 보안문제로 골머리를 썩던 갓마소는

윈8부터 플래시 플러그인이 자사소프트웨어가 아님에도 자사의 업데이트서버를 통해서 업데이트를 지원하기 시작했다.

윈8부터 시작해서 윈8.1, 현재의 윈10까지 윈8 이후버전은 모두 동일한 구조다.

따라서 윈8 이상버전들은 윈7이하처럼 부팅시 플래시 업데이트 창이 뜨지도 않는다.

윈도업데이트만 잘 켜두면 알아서 업데이트된다. 그러니까 윈도업데이트 끄지마라.



4. 여담

아래는 윈도10의 플래시 플레이어 세팅창이다. 윈도7 이하버전들과 다르게 아예 업데이트 설정을 만질수 없게 되어있다. 이유는?

flash.PNG


3번에서 말한대로, 윈도 업데이트로 관리가 되기 때문이다.

그래서 부팅시에 뜨는 플래시 업데이트 팝업도 없고 웹에서 설치나 업데이트 하라는 창도 뜰수가 없다.

list.PNG


그런데도 뜬다면? 100% 구라다. 윈8 이상버전에서 웹이나 데스크탑에 플래시 업뎃창이 뜨면 절대 응하지마라.

참고로, 업데이트명에서는 IE 플래시 플레이어 보안 업데이트라고 되어있는데 엣지브라우저에서도 동일한 플러그인을 사용한다. 즉, IE와 공유한다.



5. 오해

Q. 플래시는 다른브라우저에서도 사용하는데 왜 유독 IE에서만 위험하냐? IE의 취약점 아니냐?

A. 취약점이 아니라 ActiveX 특성때문이다. 다른 브라우저들은 브라우저자체의 플러그인으로서 설치된다. 그래서 시스템에 위해를 가할게 그닥 없다.
반면 AX는 겉보기로는 IE의 플러그인처럼 보여도 실상은 시스템에 설치되는거다. DLL(OCX)형식으로 설치됨.
그래서 IE에서 플래시를 설치하면 전혀다른 데스크탑 프로그램에서도 플래시DLL을 끌어와서 플래시 사용이 가능하다.
이런 특성때문에 IE가 위험한거다. 그와는 별개로 플래시 자체의 보안이슈는 어떤브라우저를 막론하고 모두 위험하므로 업데이트는 항상 잘 받자.