월요일 아침, 출근한 직원이 PC를 켜자 바탕화면이 바뀌어 있습니다. 파일 확장자가 모두 낯선 문자열로 변경되었고, 화면에는 비트코인 지불을 요구하는 메시지가 떠 있습니다. 공유 폴더를 열어보니 서버에 저장된 수천 개의 파일도 이미 암호화된 상태입니다. IT 담당자인 당신에게 전화가 쏟아지기 시작합니다.
이것은 가상의 이야기가 아닙니다. 한국인터넷진흥원(KISA)에 접수되는 랜섬웨어 피해 신고는 해마다 꾸준히 발생하고 있으며, 특히 보안 인력이 부족한 중소기업이 주요 타깃이 되고 있습니다. 문제는 많은 기업이 감염 '이전'의 예방에만 관심을 기울이고, 정작 감염 '이후'에 무엇을 해야 하는지는 준비하지 않는다는 점입니다. 감염 후 첫 몇 시간의 대응이 데이터 복구 가능성과 사업 피해 규모를 결정합니다.
이 글에서는 랜섬웨어 감염이 확인된 순간부터 정상 업무 복귀까지, IT 담당자가 따라야 할 단계별 대응 절차를 실전 체크리스트 형태로 정리합니다. 당장 인쇄해서 서버실 벽에 붙여두셔도 좋습니다.
1단계: 즉시 격리 — 확산을 막는 골든타임 (감염 후 0~1시간)
랜섬웨어 대응에서 가장 중요한 원칙은 "확산 차단이 복구보다 먼저"라는 것입니다. 랜섬웨어의 상당수는 네트워크를 통해 횡적으로 이동(Lateral Movement)하며, 공유 폴더, NAS, 심지어 클라우드 동기화 드라이브까지 감염시킵니다. 첫 번째 감염 PC를 발견한 순간부터 시간과의 싸움이 시작됩니다.
- 감염된 장비의 네트워크 즉시 차단: LAN 케이블을 물리적으로 뽑고, Wi-Fi를 비활성화합니다. 전원은 끄지 마세요. 메모리에 암호화 키가 남아있을 수 있어 포렌식에 중요합니다.
- 공유 폴더 및 네트워크 드라이브 접근 차단: 파일 서버의 SMB 공유를 일시 중단하거나, 스위치 포트를 차단하여 추가 감염 경로를 봉쇄합니다.
- 전사 긴급 공지: 모든 직원에게 즉시 알려 의심스러운 파일 실행을 중단시킵니다. 이때 이메일이 아닌 메신저나 전화를 사용하세요. 이메일 서버도 감염되었을 수 있습니다.
- 백업 시스템 격리: 백업 저장소(NAS, 외장 HDD, 클라우드 동기화)가 감염되지 않았는지 즉시 확인하고, 확인 전까지 백업 장비를 네트워크에서 분리합니다.
- 감염 범위 초기 파악: 어떤 장비들이 감염되었는지, 어떤 파일 확장자로 변경되었는지, 랜섬노트 파일명은 무엇인지 기록합니다.
감염된 PC의 전원을 바로 끄는 것은 피하세요. 일부 랜섬웨어는 메모리에서만 동작하며, 전원을 끄면 복호화에 필요한 정보가 사라질 수 있습니다. 단, 암호화가 실시간으로 진행 중인 것이 명백히 확인되면, 추가 피해를 막기 위해 강제 종료를 고려할 수 있습니다. 상황에 따른 판단이 필요합니다.
2단계: 상황 분석 및 신고 — 무엇에 감염되었는지 파악하라 (1~12시간)
격리가 완료되면, 당장 복구에 뛰어들고 싶은 마음을 누르고 정확한 상황 분석을 먼저 수행해야 합니다. 어떤 종류의 랜섬웨어인지에 따라 복구 가능성과 대응 방법이 완전히 달라지기 때문입니다.
랜섬웨어 종류 식별
감염된 파일의 확장자와 랜섬노트 내용을 기반으로 랜섬웨어 종류를 식별할 수 있습니다. No More Ransom 프로젝트(nomoreransom.org)의 'Crypto Sheriff' 도구를 활용하면 랜섬웨어 유형을 확인하고, 이미 알려진 복호화 도구가 존재하는지 확인할 수 있습니다. 과거 버전이거나 이미 키가 공개된 랜섬웨어라면 비용 없이 복구가 가능한 경우도 있습니다.
법적 의무 신고
한국에서 랜섬웨어 감염은 단순한 IT 사고가 아닐 수 있습니다. 개인정보보호법에 따라, 개인정보가 포함된 데이터가 유출되었거나 유출 가능성이 있는 경우 다음 의무가 발생합니다.
- 개인정보보호위원회 신고: 개인정보 유출이 확인되면 지체 없이(72시간 이내) 신고해야 합니다.
- 정보주체(고객) 통지: 유출된 개인정보의 항목, 시점, 대처 방법 등을 정보주체에게 통지해야 합니다.
- KISA 침해사고 신고: 118 전화 또는 KISA 인터넷침해대응센터 웹사이트를 통해 신고하면, 기술적 지원을 받을 수 있습니다.
최근 랜섬웨어 공격 그룹들은 단순 암호화를 넘어 데이터를 탈취한 후 공개 협박하는 '이중 갈취(Double Extortion)' 전략을 사용합니다. 따라서 암호화 피해만 확인할 것이 아니라, 데이터 유출 여부도 반드시 조사해야 합니다. 네트워크 로그에서 대량의 외부 전송 기록이 있는지 확인하세요.
3단계: 복구 실행 — 백업이 있는 경우와 없는 경우 (12~72시간)
상황 분석이 완료되면 본격적인 복구에 착수합니다. 여기서 백업의 존재 여부와 품질이 기업의 운명을 가릅니다. 아래 비교표를 통해 백업 유무에 따른 대응 경로 차이를 확인하세요.
| 구분 | 정상 백업 보유 시 | 백업 미보유 또는 백업도 감염 시 |
|---|---|---|
| 복구 가능성 | 높음 — 백업 시점까지 복원 가능 | 매우 낮음 — 복호화 도구 존재 여부에 의존 |
| 예상 복구 시간 | 수 시간 ~ 1~2일 | 수 일 ~ 수 주, 또는 복구 불가 |
| 비용 | 내부 인건비 수준 | 전문 복구 업체 비용, 또는 데이터 영구 손실 |
| 데이터 손실 범위 | 마지막 백업 이후 변경분만 손실 | 전체 데이터 손실 가능 |
| 업무 중단 기간 | 최소화 가능 | 장기 중단 불가피 |
| 랜섬 지불 유혹 | 낮음 | 높음 (하지만 지불해도 복구 보장 없음) |
백업이 있는 경우: 복구 절차
- 백업 무결성 검증: 복원하기 전에 백업 데이터 자체가 감염되지 않았는지 반드시 확인합니다. 격리된 환경(샌드박스 또는 별도 네트워크)에서 테스트 복원을 먼저 수행하세요.
- 감염 장비 초기화: 감염된 PC와 서버는 OS를 완전히 재설치합니다. 기존 환경 위에 복원하면 잠복한 악성코드가 재활성화될 수 있습니다.
- 시스템 복원 후 보안 패치 적용: OS 재설치 후 최신 보안 업데이트를 모두 적용한 다음 백업 데이터를 복원합니다.
- 단계적 네트워크 재연결: 복원된 장비를 한꺼번에 네트워크에 연결하지 말고, 하나씩 연결하며 이상 징후를 모니터링합니다.
백업이 없는 경우: 선택지
- 공개 복호화 도구 확인: No More Ransom, KISA 등에서 해당 랜섬웨어의 복호화 도구가 공개되었는지 확인합니다.
- 전문 복구 업체 상담: 일부 업체는 특정 랜섬웨어 변종에 대한 복구 기술을 보유하고 있을 수 있습니다. 다만 비용이 상당하며 보장은 없습니다.
- 랜섬 지불은 최후의 수단: 보안 전문가와 수사기관 대부분은 랜섬 지불을 권장하지 않습니다. 지불해도 복호화 키를 받지 못하는 경우가 보고되고 있으며, 지불 자체가 추가 공격을 유인할 수 있습니다.
랜섬 지불은 범죄 조직에 자금을 제공하는 행위이며, 일부 국가에서는 제재 대상 조직에 대한 지불이 법적 문제를 야기할 수 있습니다. 반드시 법률 자문을 받은 후 결정하세요.
4단계: 재발 방지 — 같은 일을 두 번 겪지 않기 위한 조치
복구가 완료되었다고 끝이 아닙니다. 동일한 취약점이 그대로 남아있다면 재감염은 시간문제입니다. 사고 후 반드시 수행해야 할 재발 방지 조치를 정리합니다.
- 침입 경로 분석(근본 원인 분석): 랜섬웨어가 어떤 경로로 유입되었는지 반드시 파악합니다. 피싱 이메일인지, RDP(원격 데스크톱) 취약점인지, VPN 설정 미흡인지에 따라 보완 조치가 달라집니다.
- 보안 패치 및 업데이트 전면 점검: OS, 응용 프로그램, 네트워크 장비의 펌웨어까지 최신 상태로 업데이트합니다. 알려진 취약점을 악용하는 것이 가장 흔한 침입 방식 중 하나입니다.
- 계정 및 비밀번호 전면 변경: 관리자 계정을 포함한 모든 계정의 비밀번호를 변경하고, 가능한 모든 시스템에 다중인증(MFA)을 적용합니다.
- 백업 전략 재수립: 3-2-1 백업 원칙(3개의 데이터 사본, 2종류의 저장매체, 1개는 오프사이트 보관)을 점검하고, 백업에 대한 정기적인 복원 테스트를 일정에 포함시킵니다.
- 직원 보안 교육: 피싱 이메일 식별, 의심 파일 처리 절차 등에 대한 교육을 실시합니다. 기술적 보안만큼 사람의 보안 인식이 중요합니다.
- EDR/보안 솔루션 도입 또는 강화: 기존 안티바이러스만으로는 최신 랜섬웨어를 탐지하기 어렵습니다. 행위 기반 탐지, 실시간 모니터링이 가능한 엔드포인트 보안 솔루션 도입을 검토합니다.
실전 시나리오: 백업이 살린 중소 제조기업
한 중소 제조기업에서 직원이 거래처를 사칭한 이메일의 첨부파일을 열면서 랜섬웨어에 감염되었습니다. 파일 서버의 설계도면과 거래처 데이터가 모두 암호화되었고, 공격자는 상당한 금액의 비트코인을 요구했습니다. 다행히 이 기업은 이미지 기반 백업 솔루션을 통해 매일 자동 백업을 수행하고 있었고, 백업 저장소는 별도 네트워크 세그먼트에 격리되어 있었습니다. IT 담당자는 감염 장비를 즉시 네트워크에서 분리하고, 감염되지 않은 백업으로부터 전날 시점으로 시스템을 복원했습니다. 업무 중단은 약 반나절 수준에 그쳤고, 랜섬을 지불하지 않았습니다. 이후 침입 경로가 된 이메일 보안을 강화하고, 전 직원 대상 피싱 대응 교육을 실시했습니다.
이 사례에서 핵심은 단 두 가지입니다. 첫째, 백업이 존재했고, 둘째, 백업이 감염되지 않도록 격리되어 있었다는 것입니다. 만약 백업이 같은 네트워크에 있었다면 함께 암호화되어 무용지물이 되었을 것입니다.
랜섬웨어 대응 긴급 체크리스트 (인쇄용)
아래 체크리스트를 인쇄하여 IT 담당자 자리 또는 서버실에 비치하세요. 위기 상황에서는 머릿속이 하얘지기 마련이므로, 눈에 보이는 절차서가 실수를 줄여줍니다.
| 단계 | 조치 항목 | 완료 확인 |
|---|---|---|
| 즉시 격리 (0~1시간) | 감염 장비 네트워크 케이블 분리 / Wi-Fi 차단 | ☐ |
| 공유 폴더 및 파일 서버 접근 차단 | ☐ | |
| 백업 저장소 네트워크 분리 | ☐ | |
| 전사 긴급 공지 발송 (메신저/전화) | ☐ | |
| 감염 장비 목록 및 랜섬노트 내용 기록 | ☐ | |
| 상황 분석 (1~12시간) | 랜섬웨어 종류 식별 (No More Ransom 등) | ☐ |
| 공개 복호화 도구 존재 여부 확인 | ☐ | |
| 개인정보 유출 여부 조사 | ☐ | |
| KISA 신고 / 개인정보보호위원회 신고 (해당 시) | ☐ | |
| 복구 실행 (12~72시간) | 백업 무결성 검증 (격리 환경 테스트 복원) | ☐ |
| 감염 장비 OS 재설치 + 보안 패치 적용 | ☐ | |
| 검증된 백업으로 데이터 복원 | ☐ | |
| 단계적 네트워크 재연결 및 모니터링 | ☐ | |
| 재발 방지 (72시간~) | 침입 경로 분석 및 해당 취약점 제거 | ☐ |
| 전체 계정 비밀번호 변경 + MFA 적용 | ☐ | |
| 백업 전략 재수립 (3-2-1 원칙 점검) | ☐ | |
| 직원 보안 교육 실시 | ☐ |
마무리: 대응 절차는 '사고 후'가 아니라 '사고 전'에 준비하는 것
랜섬웨어 감염은 이제 "만약(if)"이 아니라 "언제(when)"의 문제라고 보안 전문가들은 입을 모읍니다. 완벽한 예방은 불가능하지만, 체계적인 대응 절차와 안전한 백업이 있다면 피해를 최소화하고 빠르게 일상으로 복귀할 수 있습니다.
이 글에서 반복적으로 강조한 핵심을 정리하면 다음과 같습니다.
- 골든타임에 격리하라: 확산 차단이 모든 것보다 먼저입니다.
- 당황하지 말고 절차를 따르라: 미리 준비된 체크리스트가 위기 때 빛을 발합니다.
- 백업이 최후의 방어선이다: 그리고 그 백업은 반드시 감염되지 않도록 격리되어야 합니다.
- 사고 후 재발 방지까지가 대응이다: 근본 원인을 제거하지 않으면 재감염됩니다.
Acronis Cyber Protect는 이미지 기반 전체 백업, AI 기반 랜섬웨어 행위 탐지, 그리고 백업 데이터에 대한 자체 보호 기능을 통합 제공합니다. 백업과 보안을 별도로 운영하는 것이 아니라 하나의 플랫폼에서 관리할 수 있어, 중소기업 IT 담당자가 한정된 리소스로도 효과적인 랜섬웨어 대응 체계를 구축할 수 있습니다.
KDSys는 Acronis 공식 파트너로서, 단순한 라이선스 판매를 넘어 기업 환경에 맞는 백업 전략 수립, 솔루션 구축, 운영 교육, 그리고 장애 발생 시 기술 지원까지 원스톱으로 제공합니다. 랜섬웨어 대응 체계를 갖추고 싶지만 어디서부터 시작해야 할지 모르겠다면, KDSys에 문의하세요. 현재 환경을 진단하고 최적의 보호 전략을 제안해 드립니다.
