본문 바로가기
랜섬웨어 보호

이메일 피싱에서 시작되는 랜섬웨어 침투 5단계와 사전 차단 전략 2025

KDSys 보안팀
2026-07-01

"거래처에서 온 견적서인 줄 알았습니다. 직원이 첨부 파일을 열었고, 2시간 뒤 전 사무실의 PC 화면에 비트코인을 요구하는 메시지가 떴습니다." — 이것은 특정 기업의 이야기가 아니라, 보안 전문가들이 매일 접하는 전형적인 랜섬웨어 감염 시나리오입니다. 이메일 피싱은 여전히 랜섬웨어 공격의 가장 흔한 초기 침투 경로로 꼽히며, 업계 보고서들은 일관되게 이메일을 통한 악성코드 유입이 전체 사이버 공격에서 매우 높은 비중을 차지한다고 경고하고 있습니다.

문제는 피싱 이메일이 갈수록 정교해지고 있다는 점입니다. 과거에는 어색한 한국어나 의심스러운 발신자 주소로 쉽게 구별할 수 있었지만, 이제는 실제 거래처 이메일 주소를 도용하거나 생성형 AI를 활용해 자연스러운 문장을 작성하는 수법이 일반화되었습니다. 중소기업은 대기업에 비해 전담 보안 인력이 부족하고 이메일 보안 솔루션 도입률도 낮아, 공격자 입장에서 가장 매력적인 타겟이 되고 있습니다.

이 글에서는 이메일 피싱이 어떻게 랜섬웨어 감염까지 이어지는지 5단계 침투 경로를 구체적으로 분석하고, 각 단계에서 적용할 수 있는 실전 차단 전략을 제시합니다. IT 전문가가 아니더라도 우리 회사의 보안 수준을 점검하고 즉시 개선할 수 있는 실행 가이드를 함께 담았습니다.

1단계별 분석: 피싱 이메일에서 랜섬웨어 감염까지의 5단계

랜섬웨어 공격은 영화처럼 한순간에 일어나는 것이 아닙니다. 공격자는 치밀하게 설계된 단계를 거쳐 목표에 접근합니다. 각 단계를 이해하면 어디서 차단해야 하는지가 명확해집니다.

1단계: 정찰 및 타겟 선정

공격자는 먼저 목표 기업의 정보를 수집합니다. 회사 홈페이지의 조직도, SNS에 공개된 직원 정보, 채용 공고에 명시된 사용 소프트웨어 목록까지 모두 활용됩니다. 특히 중소기업은 경영지원팀, 회계팀 등 외부 이메일을 자주 주고받는 부서의 담당자가 1차 타겟이 됩니다. 공격자는 이 정보를 바탕으로 신뢰할 수 있는 발신자를 가장한 이메일을 설계합니다.

2단계: 피싱 이메일 전달

가장 흔한 형태는 견적서, 세금계산서, 배송 추적, 계약서 수정본 등 업무와 직결되는 내용으로 위장한 이메일입니다. 첨부 파일(주로 .zip, .xlsm, .docm, .pdf로 위장한 실행 파일)이나 악성 URL 링크가 포함됩니다. 최근에는 정상적인 클라우드 스토리지(구글 드라이브, 원드라이브 등)의 공유 링크를 악용하여 보안 필터를 우회하는 수법도 증가하고 있습니다.

3단계: 초기 실행 및 드로퍼 설치

직원이 첨부 파일을 열거나 링크를 클릭하면, 악성 매크로가 실행되거나 드로퍼(Dropper)라 불리는 소규모 악성 프로그램이 설치됩니다. 이 단계에서는 아직 눈에 보이는 피해가 없기 때문에 감염 사실을 인지하기 어렵습니다. 드로퍼는 외부 C&C(Command & Control) 서버와 통신하며 본격적인 랜섬웨어 페이로드를 다운로드할 준비를 합니다.

4단계: 내부 확산 (Lateral Movement)

다운로드된 악성코드는 감염된 PC의 관리자 권한을 탈취하고, 같은 네트워크에 연결된 다른 PC와 서버로 확산됩니다. 공유 폴더, RDP(원격 데스크톱), Active Directory 취약점 등이 확산 경로로 활용됩니다. 이 단계는 수 시간에서 수 주까지 조용히 진행될 수 있으며, 공격자는 백업 서버의 위치까지 파악하여 복구 수단을 무력화하려 합니다.

5단계: 랜섬웨어 실행 및 암호화

공격자가 충분한 접근 권한을 확보하면 랜섬웨어를 일제히 실행합니다. 주요 업무 파일, 데이터베이스, 백업 파일까지 암호화되고, 화면에는 복호화 비용을 요구하는 랜섬노트가 표시됩니다. 이 시점에서 백업이 무력화되었다면, 기업은 데이터를 영구히 잃거나 거액의 몸값을 지불해야 하는 극한의 선택에 내몰리게 됩니다.

⚠️ 주의사항

랜섬웨어 공격자들은 최근 백업 서버를 1순위 파괴 대상으로 삼고 있습니다. 단순히 네트워크 드라이브에 백업을 저장하는 것만으로는 안전하지 않습니다. 백업 데이터를 네트워크에서 분리(에어갭)하거나, 변경 불가능(Immutable) 백업 방식을 적용해야 합니다.

왜 기존 이메일 보안만으로는 부족한가

많은 중소기업이 이메일 호스팅 서비스에 기본 포함된 스팸 필터를 '이메일 보안'이라고 생각합니다. 하지만 기본 스팸 필터는 알려진 스팸 패턴과 블랙리스트 기반으로 작동하기 때문에, 새로운 수법의 표적형 피싱 이메일은 높은 확률로 통과시킵니다.

보안 전문가들은 일반적으로 이메일 보안을 여러 계층으로 구축할 것을 권장합니다. 이메일 게이트웨이 보안, 엔드포인트 보안, 사용자 교육, 그리고 마지막 방어선으로서의 백업까지 — 이 모든 것이 조화를 이루어야 한 통의 피싱 이메일이 전사적 재앙으로 확대되는 것을 막을 수 있습니다.

보안 계층기본 스팸 필터만 사용다계층 보안 체계 구축
알려진 스팸 차단가능가능
신규 피싱 URL 탐지제한적 (블랙리스트 기반)실시간 URL 검사 및 샌드박스 분석
첨부 파일 악성코드 분석기본 시그니처 검사만행동 기반 분석 + AI 탐지
사용자가 실수로 실행 시대응 수단 없음엔드포인트 보안이 실행 차단
감염 후 확산 방지대응 수단 없음네트워크 세그멘테이션 + EDR 대응
데이터 복구백업 없으면 불가변경 불가 백업으로 신속 복구
직원 보안 인식별도 교육 없음정기적 피싱 시뮬레이션 + 교육
💡 핵심 포인트

보안은 한 가지 솔루션으로 완성되지 않습니다. 이메일 필터링, 엔드포인트 보호, 백업, 사용자 교육이라는 4가지 축이 모두 갖춰져야 피싱 기반 랜섬웨어를 효과적으로 차단할 수 있습니다.

지금 바로 적용 가능한 피싱 대응 체크리스트

아래는 전담 보안 인력이 없는 중소기업에서도 이번 주 안에 시작할 수 있는 실전 체크리스트입니다. 각 항목은 단순한 권고가 아니라, 실행하지 않았을 때 발생하는 위험과 함께 정리했습니다.

  1. 이메일 첨부 파일 실행 전 확장자 확인 정책 수립 — .exe, .scr, .js, .vbs 등 실행 가능한 확장자가 포함된 파일은 즉시 삭제하도록 전 직원에게 공지합니다. 공격자는 '견적서.pdf.exe'처럼 이중 확장자를 사용하여 속이므로, Windows 탐색기에서 '알려진 파일 확장명 숨기기' 옵션을 반드시 해제해야 합니다.
  2. 매크로 실행 기본 차단 설정 — Microsoft Office에서 매크로를 '모두 차단'으로 설정하고, 업무상 반드시 필요한 경우에만 IT 담당자가 승인하는 프로세스를 만듭니다. Office 매크로는 악성코드 초기 실행의 가장 흔한 수단 중 하나입니다.
  3. 다중 인증(MFA) 전면 도입 — 이메일 계정, VPN, 원격 데스크톱, 클라우드 서비스 등 모든 업무 시스템에 MFA를 적용합니다. 피싱으로 비밀번호가 유출되더라도 MFA가 있으면 계정 탈취를 차단할 수 있습니다.
  4. 월 1회 피싱 시뮬레이션 교육 실시 — 실제 피싱과 유사한 테스트 이메일을 직원에게 발송하고, 클릭한 직원에게 즉각적인 교육 콘텐츠를 제공합니다. 반복 훈련을 통해 피싱 이메일 클릭률을 지속적으로 낮출 수 있다는 것이 보안 교육 업계의 공통된 견해입니다.
  5. 3-2-1 백업 원칙 준수 — 중요 데이터의 사본 3개를, 2가지 다른 매체에, 1개는 오프사이트(또는 클라우드)에 보관합니다. 특히 백업 데이터는 랜섬웨어가 암호화할 수 없도록 네트워크에서 분리되거나 변경 불가능한 형태로 저장해야 합니다.
  6. RDP(원격 데스크톱) 접근 제한 — 외부에서 직접 RDP로 접속할 수 있는 환경은 랜섬웨어의 주요 확산 경로입니다. VPN을 통해서만 접근하도록 제한하고, 사용하지 않는 RDP 포트는 즉시 차단합니다.
  7. 관리자 권한 최소화 — 일반 업무 PC에서는 관리자 계정 대신 표준 사용자 계정을 사용하도록 합니다. 악성코드가 실행되더라도 관리자 권한이 없으면 시스템 전체를 장악하기 어려워집니다.
  8. 개인정보보호법 준수 점검 — 한국의 개인정보보호법은 개인정보처리자에게 기술적·관리적 보호조치를 의무화하고 있습니다. 랜섬웨어로 인한 개인정보 유출 시 과징금과 손해배상 책임이 발생할 수 있으므로, 보안 체계 구축은 법적 의무이기도 합니다.

실전 시나리오: 피싱 한 통이 만든 업무 마비

"세금계산서 재발행" 피싱의 전형적 흐름

경리 담당자 A씨는 오전 9시에 거래처 B사의 이름으로 된 이메일을 받았습니다. 제목은 "[긴급] 11월 세금계산서 수정 재발행 건"이었고, 첨부 파일은 '세금계산서_수정본.zip'이었습니다. 발신 이메일 주소는 B사의 실제 도메인과 한 글자만 달랐지만(예: @b-corp.co.kr → @b-c0rp.co.kr), A씨는 바쁜 업무 중에 이를 구별하지 못했습니다.

ZIP 파일 안에는 .scr 확장자의 실행 파일이 있었고, A씨가 이를 실행한 순간 드로퍼가 설치되었습니다. 약 3시간 후, 사내 공유 폴더의 파일들이 하나씩 암호화되기 시작했습니다. NAS에 저장된 백업 파일도 네트워크 드라이브로 연결되어 있었기 때문에 함께 암호화되었습니다. 결국 이 회사는 약 2주간의 업무 마비를 겪었고, 거래처와의 납기 지연으로 인한 손실까지 감수해야 했습니다.

이 시나리오는 보안 전문가들이 흔히 접하는 전형적인 패턴을 재구성한 것입니다. 핵심 교훈은 세 가지입니다. 첫째, 발신자 주소를 꼼꼼히 확인하는 습관만으로도 초기 감염을 막을 수 있었습니다. 둘째, 매크로 및 실행 파일 차단 정책이 있었다면 드로퍼 설치가 불가능했을 것입니다. 셋째, 백업이 네트워크에서 분리되어 있었다면 데이터 복구가 가능했을 것입니다.

다계층 보안 + 백업: 최후의 방어선이 중요한 이유

보안 업계에는 "침해는 시간 문제(It's not if, but when)"라는 격언이 있습니다. 아무리 완벽한 이메일 필터링과 직원 교육을 갖추더라도, 언젠가는 한 건의 피싱이 방어선을 뚫을 수 있다는 의미입니다. 이때 마지막으로 기업을 구하는 것은 안전하게 보존된 백업 데이터입니다.

Acronis Cyber Protect는 이러한 다계층 방어 철학을 하나의 플랫폼에 통합한 솔루션입니다. 공개적으로 알려진 핵심 기능을 중심으로 정리하면 다음과 같습니다.

  • AI 기반 행동 탐지 — 시그니처에 의존하지 않고, 파일의 비정상적인 행동 패턴(대량 암호화 시도 등)을 실시간으로 탐지하여 랜섬웨어 실행을 차단합니다.
  • 이미지 기반 전체 백업 — OS, 애플리케이션, 설정, 데이터를 포함한 전체 시스템 이미지를 백업하여, 감염 시 시스템 전체를 감염 이전 시점으로 복원할 수 있습니다.
  • 백업 데이터 자체 보호 — 백업 프로세스와 저장소를 자체적으로 보호하여 랜섬웨어가 백업 파일을 훼손하는 것을 방지합니다.
  • 클라우드 백업 연동 — 로컬 백업과 별도로 클라우드에 복제본을 저장하여 물리적 재해나 랜섬웨어 동시 감염에도 복구 가능성을 확보합니다.
  • URL 필터링 및 취약점 진단 — 피싱 이메일에 포함된 악성 URL 접근을 차단하고, 시스템의 알려진 취약점을 진단하여 패치 우선순위를 안내합니다.
💡 핵심 포인트

Acronis Cyber Protect가 차별화되는 지점은 '보안'과 '백업'을 하나의 에이전트로 통합 관리한다는 것입니다. 별도의 백업 솔루션과 별도의 엔드포인트 보안을 따로 운영할 때 발생하는 관리 복잡성과 비용을 줄이면서, 보안 사각지대를 최소화할 수 있습니다.

이메일 피싱 대응, 기술과 인식 양쪽을 잡아야 합니다

이메일 피싱에서 시작되는 랜섬웨어 공격은 기술적 취약점과 인적 취약점을 동시에 파고드는 복합적인 위협입니다. 스팸 필터 하나, 백신 하나로는 결코 막을 수 없으며, 이메일 보안 → 엔드포인트 보호 → 네트워크 제어 → 백업 → 사용자 교육의 전 과정이 유기적으로 작동해야 합니다.

특히 중소기업이라면 한정된 예산과 인력으로 이 모든 것을 구축하는 것이 부담스러울 수 있습니다. 이때 Acronis Cyber Protect처럼 보안과 백업이 통합된 솔루션을 도입하면, 복수의 솔루션을 개별 관리하는 것보다 효율적으로 보안 체계를 수립할 수 있습니다.

KDSys는 Acronis 공인 파트너로서, 단순 라이선스 판매가 아닌 고객사 환경 분석부터 백업 정책 설계, 도입, 운영 교육까지 전 과정을 지원합니다. 피싱 이메일 한 통이 우리 회사의 모든 데이터를 인질로 잡기 전에, 지금 바로 보안 체계를 점검하시기 바랍니다. KDSys에 무료 보안 상담을 요청하시면, 현재 환경에 맞는 맞춤형 랜섬웨어 대응 방안을 안내해 드리겠습니다.