안녕하세요, 전산실 아저씨입니다. 컴퓨터를 사용하다가 갑자기 바이러스에 걸렸다고 하면 겁부터 덜컥나는데요 검사하고 지우려 해봐도 안 되는 경우가 있어 더 당혹스럽습니다.
경고의 내용은 Trojan:Win32/Wacatac.Blml과 "활성 위협이 수정되지 않았으며 장치에서 실행 중입니다"인데요. 이는 윈도우 백신이 바이러스를 발견했지만, 안타깝게도 제거에는 실패했다는 뜻입니다. 그래서 더욱 빠른 조치가 필요합니다.
신속하게 조치해야 하지만, 올바른 순서대로 차근차근 해결하면 됩니다. 오늘 이 Wacatac 트로이 목마 바이러스의 정체와 감염 경로, 그리고 가장 중요한 '완벽 제거 방법'까지 자세히 알려드리겠습니다.
Trojan:Win32/Wacatac.Blml, 정체가 뭔가요?
Wacatac(와카택)은 마이크로소프트가 분류하는 트로이 목마(Trojan) 악성코드의 한 종류입니다. '트로이 목마'라는 이름처럼, 겉보기에는 정상적인 파일이나 프로그램(게임 설치 파일, 유틸리티 크랙 등)으로 위장하여 사용자 몰래 컴퓨터에 침투합니다.
이 바이러스의 주된 목적은 다음과 같습니다.
- 정보 유출: 사용자의 키보드 입력을 가로채거나(키로깅), 저장된 브라우저 비밀번호, 은행 정보, 암호화폐 지갑 등을 탈취하여 해커에게 전송합니다.
- 추가 악성코드 설치: 컴퓨터의 방화벽을 뚫고 '백도어(Backdoor)'를 만들어, 랜섬웨어나 스파이웨어 같은 더 심각한 악성코드를 추가로 다운로드합니다.
- 시스템 장악: 감염된 PC를 좀비 PC로 만들어, 해커가 원격으로 조종하며 디도스(DDoS) 공격 등에 악용할 수 있습니다.
사진 속의 '심각' 경고는 절대 과장이 아닙니다. 현재 사용자의 PC에서 중요한 정보가 실시간으로 빠져나가고 있을 수도 있는 매우 위험한 상황입니다.
어떻게 감염되었을까요? (주요 감염 경로)
"전 이상한 사이트에 들어간 적이 없는데요?"라고 생각하시는 많은 분이 이 부분에서 당황하시곤 합니다. 하지만 Wacatac 같은 트로이 목마는 생각보다 일상적인 경로로 침투합니다.
- 불법 소프트웨어 및 크랙: 가장 흔한 경로입니다. 유료 프로그램을 무료로 사용하기 위해 P2P 사이트(토렌트 등)에서 다운로드한 파일, 인증 키젠(Keygen) 등에 악성코드가 숨겨져 있을 확률이 매우 높습니다.
- 출처 불명의 이메일 첨부파일: '입사지원서', '구매 영수증', '저작권 위반 경고' 등으로 위장한 이메일의 압축 파일(zip, rar, egg)이나 문서 파일(doc, pdf)을 실행할 때 감염됩니다.
- 위장된 다운로드 버튼: 신뢰할 수 없는 웹사이트에서 자료를 받으려 할 때, 진짜 다운로드 버튼처럼 교묘하게 위장한 가짜 광고나 버튼을 클릭하면 악성코드가 다운로드됩니다.
"활성 위협" : 왜 디펜더가 제거하지 못할까요?
사진 속의 '활성 위험이 수정되지 않았으며 장치에서 실행 중'이라는 메시지가 이 문제의 핵심입니다. 윈도우 디펜더가 바이러스를 제거하지 못하는 이유는 크게 세 가지입니다.
- 활성 감염 상태: 바이러스가 현재 윈도우 시스템 메모리에 상주하며 실시간으로 작동 중입니다. 디펜더가 파일(Wkmax25.dll)을 삭제하려 해도, 바이러스가 스스로를 보호하며 삭제를 방해하고 다시 생성합니다.
- 은폐 기술 및 권한 탈취: Wacatac 같은 최신 악성코드는 자신을 윈도우의 정상적인 시스템 파일처럼 위장하거나, 시스템 관리자 권한을 탈취하여 백신 프로그램의 접근 자체를 차단합니다.
- 시스템 파일 손상: 바이러스가 이미 윈도우의 핵심 파일이나 레지스트리를 변조하여, 디펜더가 정상적인 제거 프로세스를 완료하지 못하는 상태일 수 있습니다.
따라서, 바이러스가 활발하게 작동 중인 '일반 모드'에서는 백신을 100번 돌려도 제거하기 어렵습니다. 바이러스가 잠자는 상태, 즉 '안전 모드'에서 잡아야 합니다.
Wacatac 바이러스 제거 4단계 가이드 (안전 모드)
1단계: 네트워크 연결 즉시 해제 (필수)
가장 먼저 할 일입니다. 즉시 Wi-Fi 연결을 끊고, 유선 랜(LAN) 케이블을 뽑으세요. 바이러스가 해커의 서버와 통신하거나 추가 악성코드를 다운로드하는 것을 물리적으로 차단해야 합니다.
2단계: 윈도우 '안전 모드'로 부팅하기
'안전 모드'는 윈도우 운영에 필요한 최소한의 파일과 드라이버만 로드하는 특수 모드입니다. 대부분의 악성코드는 이 모드에서 실행되지 못합니다.
시작 메뉴에서 '전원' 아이콘을 클릭합니다.
키보드의 Shift 키를 누른 상태로 '다시 시작'을 클릭합니다.
잠시 후 파란색 '옵션 선택' 화면이 나타납니다.
문제 해결 > 고급 옵션 > 시작 설정 > 다시 시작 버튼을 차례대로 클릭합니다.
PC가 재부팅된 후 '시작 설정' 목록이 나타나면, 키보드의 숫자 4 또는 F4 키를 눌러 '안전 모드 사용'을 선택합니다. (인터넷 연결이 필요 없는 4번을 강력히 추천합니다.)
3단계: 안전 모드에서 정밀검사
검은 화면의 안전 모드로 부팅되었다면, 이제 바이러스는 힘을 쓰지 못하는 상태입니다.
- 명령 프롬프트(관리자) 실행
- 시작 버튼을 우클릭한 후 '터미널(관리자)' 또는 **'명령 프롬프트(관리자)'**를 선택하세요.
- 디펜더 실행 파일 위치로 이동 (중요)
- 디펜더의 실행 파일은 C:\ProgramData라는 숨겨진 폴더 안에 있습니다. 아래 명령어를 그대로 복사해서 붙여넣고 엔터 키를 누르세요.
cd "C:\ProgramData\Microsoft\Windows Defender\Platform\" - 팁: 위 명령어를 입력한 후 dir을 쳐보면 4.18.2... 같은 버전의 폴더가 보일 겁니다. 그 폴더로 한 번 더 들어가야 합니다.
dir - (폴더 이름을 확인한 후)
cd 4.18.2xxxx.x (방금 확인한 숫자 폴더 이름) - 만약 이 경로가 없다면 cd "C:\Program Files\Windows Defender" 로 시도해 보세요.
- 디펜더의 실행 파일은 C:\ProgramData라는 숨겨진 폴더 안에 있습니다. 아래 명령어를 그대로 복사해서 붙여넣고 엔터 키를 누르세요.
- 검사 실행
- 이제 MpCmdRun.exe라는 파일을 실행할 차례입니다.
- (추천) 전체 정밀 검사:
MpCmdRun.exe -Scan -ScanType 2 - (빠른 검사):
MpCmdRun.exe -Scan -ScanType 1
- 검사 시작
- 엔터 키를 누르면 그래픽 창 없이, 이 까만색 명령 프롬프트 창에서 검사가 시작됩니다. 완료될 때까지 창을 끄지 말고 기다리셔야 합니다. (정밀 검사는 1시간 이상 걸릴 수 있습니다.)
4단계: 2차 백신으로 교차 검사 (필수)
디펜더로 제거한 후에도, 놓쳤을지 모르는 잔여 파일을 제거하기 위해 '확인 사살'이 필요합니다. ^^
가급적 다른 PC에서 신뢰할 수 있는 2차 백신(ex: Malwarebytes 무료 버전 또는 V3 Lite)을 다운로드하여 USB에 담아온 뒤, 안전 모드에서 설치하고 '정밀 검사'를 한 번 더 실행하는 것을 강력히 권장합니다.
모든 검사와 제거 작업이 완료되었다면, PC를 재부팅하여 일반 모드로 돌아온 뒤 네트워크를 다시 연결하고 디펜더에서 위협이 사라졌는지 확인합니다.
최후의 수단: 윈도우 재설치 (포맷)
만약 위의 모든 방법으로도 바이러스가 제거되지 않거나, 제거 후에도 PC가 계속 느려지고 이상 증상을 보인다면, 이는 바이러스가 시스템 깊숙한 곳까지 손상시켰다는 의미일 수 있습니다.
이 경우, 불안하게 사용하시는 것보다 가장 안전하고 확실한 방법은 윈도우를 완전히 재설치(포맷)하는 것입니다. 중요한 개인 파일(문서, 사진 등)만 백업한 뒤, 클린 설치를 진행해야 합니다.
직접 포맷이 어려우시다면, 서비스 센터나 전문 PC 수리점에 방문하여 '악성코드 감염으로 인한 윈도우 재설치'를 요청하시는 것이 시간과 정신 건강을 아끼는 길일 수 있습니다.
Wacatac 트로이 목마는 사용자의 정보를 노리는 매우 심각한 위협입니다. 절대 '나중에 해결해야지' 하고 방치하지 마시고, 오늘 알려드린 '안전 모드 검사'를 통해 즉시 조치하시기 바랍니다.
가장 중요한 것은 역시 '예방'입니다. 앞으로는 신뢰할 수 없는 파일이나 프로그램은 절대 실행하지 않는 보안 습관을 들이시는 것을 강력히 당부드립니다. 부디 문제가 잘 해결되시길 바랍니다.
