안녕하세요 최근 USB 메모리를 PC에 연결했는데, "이 앱이 디바이스를 변경할 수 있도록 허용하시겠어요?"라는 팝업창이 떠서 당황하신 분들이 계실 겁니다.
특히 프로그램 이름이 'Microsoft ® Windows Based Script Host'이고 확인된 게시자가 'Microsoft Windows'로 표시되어, 윈도우의 정상적인 업데이트나 기능인가 싶어 '예'를 눌러야 하나 고민되시죠.
사실 저도 과거에 비슷한 팝업을 보고 '이게 뭐지?' 하고 자세히 살펴본 경험이 있거든요. ^^ 결론부터 말씀드리면, 이는 USB를 통해 감염되는 악성코드일 확률이 매우 높으니 절대 '예'를 누르시면 안 됩니다. 오늘 이 팝업의 정체와 왜 위험한지, 그리고 어떻게 대처해야 하는지 자세히 알려드리겠습니다.
[원인] 이 팝업의 정체는 무엇일까요?
많은 분이 'Microsoft'라는 이름 때문에 혼란을 겪으십니다. 하지만 자세히 들여다보면 함정이 숨어있습니다. 예시 이미지의 '프로그램 위치'를 자세히 살펴보겠습니다.
"C:\Windows\System32\wscript.exe" "F:\sysvolume\wu638035.vbs" /elevated
이 명령어를 쉽게 풀어서 설명해 드리겠습니다.
- "C:\Windows\System32\wscript.exe": 이것은 'Windows Script Host'라는 윈도우의 정상적인 프로그램입니다. 컴퓨터가 VBScript(.vbs)나 JScript(.js) 같은 스크립트 언어를 알아듣고 실행할 수 있도록 도와주는 '실행 도구'나 '번역기' 같은 역할을 합니다. 이 파일 자체는 악성코드가 아닙니다.
- "F:\sysvolume\wu638035.vbs": 이것이 바로 악성코드의 본체입니다.
F:는 사용자가 연결한 USB 드라이브를 의미할 가능성이 큽니다. 즉, USB 내부에 숨겨진 'sysvolume'라는 폴더 안의 'wu638035.vbs'라는 스크립트 파일을 실행하라는 명령입니다. (파일 이름은 감염 시마다 무작위로 변경될 수 있습니다) - /elevated: 이 스크립트를 '관리자 권한'으로 실행하라는 명령어입니다.
즉, 이 팝업의 정체는 "윈도우의 정상적인 실행 도구(wscript.exe)를 이용해서, 당신의 USB(F:)에 숨어있는 악성 스크립트 파일(.vbs)을 관리자 권한으로 실행하겠다"라는 뜻입니다.
악성코드가 윈도우의 정상 프로그램을 이용하기 때문에, 팝업창에는 '확인된 게시자: Microsoft Windows'라고 뜨는 것입니다. 사용자를 속이기 위한 매우 교묘한 수법입니다.
[위험성] '예' 버튼을 누르면 어떻게 되나요?
만약 이 팝업에서 '예'를 누른다면, 여러분은 악성코드에게 PC를 제어할 수 있는 '관리자 권한'을 넘겨주게 됩니다. 이는 집 현관문 비밀번호를 도둑에게 직접 알려주는 것과 같습니다.
'예'를 눌렀을 때 발생할 수 있는 대표적인 피해는 다음과 같습니다.
- PC 감염 및 확산: 악성 스크립트가 PC의 중요 시스템 파일에 자신을 복제하고, 향후 연결되는 다른 USB 드라이브에도 자신을 복제하여 전파시키는 '웜(Worm)' 바이러스의 형태를 띨 수 있습니다.
- 개인정보 유출: PC에 저장된 인터넷 브라우저의 비밀번호, 공인인증서, 개인 문서 파일 등을 해커의 서버로 전송할 수 있습니다.
- 랜섬웨어 감염: 이 스크립트가 '다운로더' 역할을 하여, PC의 모든 파일을 암호화하고 돈을 요구하는 랜섬웨어를 추가로 설치할 수 있습니다.
- 좀비 PC 전락: 사용자의 PC가 해커의 명령을 받는 좀비 PC가 되어, 다른 곳을 공격(DDoS)하는 데 악용될 수 있습니다.
[해결책] 지금 당장 이렇게 조치하세요
이런 팝업이 떴다면 당황하지 마시고 다음 순서대로 조치하시기 바랍니다.
1. 즉각적인 조치: '아니요' 클릭 및 USB 분리
팝업창에서 절대 '예'를 누르지 마시고, '아니요'를 선택하세요. 그리고 즉시 해당 USB 드라이브를 '하드웨어 안전하게 제거' 기능을 이용해 PC에서 분리합니다.
2. PC 정밀 검사
이미 '예'를 눌렀거나, 누르지 않았더라도 찜찜하다면 즉시 PC를 정밀 검사해야 합니다. 윈도우에 기본으로 설치된 'Microsoft Defender' (또는 사용 중인 백신 프로그램)를 실행하여 '전체 검사'를 수행하세요. 보다 확실한 확인을 위해 'Malwarebytes'와 같은 신뢰할 수 있는 악성코드 전문 제거 도구를 추가로 설치하여 검사하는 것을 권장합니다.
3. USB 드라이브 포맷 (데이터 주의!)
문제가 된 USB 드라이브는 반드시 포맷(Format)하는 것이 가장 안전합니다. [경고] 포맷 시 USB 안의 모든 데이터가 삭제됩니다. 만약 USB에 중요한 자료가 있다면, 안전한 다른 PC(가급적이면 최신 백신이 설치된)에서 백신 검사를 먼저 수행한 뒤 필요한 파일만 백업하고 포맷을 진행하세요. 포맷은 해당 드라이브를 마우스 오른쪽 버튼으로 클릭한 뒤 '포맷'을 선택하여 진행할 수 있습니다.
마무리하며: 의심스러운 팝업은 항상 '아니요'
USB 악성코드는 이처럼 윈도우의 정상적인 기능을 위장하여 사용자의 허가를 얻어내려는 시도를 합니다. 'Microsoft'라는 이름이 보인다고 해서 무조건 신뢰해서는 안 됩니다.
가장 중요한 것은, 내가 직접 실행하지 않았거나 정체를 정확히 알 수 없는 프로그램, 특히 '관리자 권한'을 요구하는 팝업은 항상 '아니요'를 누르는 습관입니다. 또한, 공용 PC에서 사용했거나 출처가 불분명한 USB는 연결 시 항상 백신 검사를 먼저 수행하는 것이 좋습니다.
오늘 정보가 여러분의 소중한 PC를 안전하게 지키는 데 도움이 되길 바랍니다. ^^
